CloudWatch Logs 리소스에 액세스할 수 있는 IAM 정책 생성 - Amazon Aurora

CloudWatch Logs 리소스에 액세스할 수 있는 IAM 정책 생성

Aurora은 CloudWatch Logs에 액세스하여 Aurora DB 클러스터에서 감사 로그 데이터를 내보낼 수 있습니다. 하지만 Aurora에서 CloudWatch Logs에 액세스하도록 허용하는 로그 그룹 및 로그 스트림 권한을 제공하는 IAM 정책을 먼저 생성해야 합니다.

다음 정책은 사용자 대신 Aurora Amazon CloudWatch Logs에 액세스하는 데 필요한 권한과 로그 그룹을 생성하고 데이터를 내보내는 데 필요한 최소 권한을 추가합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

정책의 ARN을 수정하여 특정 AWS 리전 및 계정에 대한 액세스를 제한할 수 있습니다.

다음 단계를 사용하여 사용자 대신 Aurora에서 CloudWatch Logs에 액세스하는 데 필요한 최소 권한을 제공하는 IAM 정책을 생성할 수 있습니다. Aurora에서 CloudWatch Logs에 대한 모든 액세스를 허용하려면 이러한 단계를 건너뛰고 정책을 직접 생성하는 대신 CloudWatchLogsFullAccess 미리 정의된 IAM 정책을 사용할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서CloudWatch Logs에 대한 자격 증명 기반 정책(IAM 정책) 사용을 참조하십시오.

CloudWatch Logs 리소스에 대한 액세스 권한을 부여하는 IAM 정책 생성 방법

  1. IAM 콘솔을 엽니다.

  2. 탐색 창에서 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. [Visual editor] 탭에서 [Choose a service]를 선택한 다음 [CloudWatch Logs]를 선택합니다.

  5. 작업에서 Expand all(모두 확장)(오른쪽에 있음)을 선택한 후 IAM 정책에 필요한 Amazon CloudWatch Logs 권한을 선택합니다.

    다음 권한이 선택되었는지 확인합니다.

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. [Resources]를 선택하고 log-group에 대해 [Add ARN]을 선택합니다.

  7. [Add ARN(s)] 대화 상자에서 다음 값을 입력합니다.

    • 리전 - AWS 리전 또는 *

    • 계정 – 계정 번호 또는 *

    • 로그 그룹 이름/aws/rds/*

  8. [Add ARN(s)] 대화 상자에서 [Add]를 선택합니다.

  9. [log-stream]에 대해 [Add ARN]을 선택합니다.

  10. [Add ARN(s)] 대화 상자에서 다음 값을 입력합니다.

    • 리전 - AWS 리전 또는 *

    • 계정 – 계정 번호 또는 *

    • 로그 그룹 이름/aws/rds/*

    • 로그 Stream Name*

  11. [Add ARN(s)] 대화 상자에서 [Add]를 선택합니다.

  12. 정책 검토(Review policy)를 선택합니다.

  13. [ Name]을 IAM 정책의 이름으로 설정합니다(예: AmazonRDSCloudWatchLogs). IAM 역할을 만들어 Aurora DB 클러스터와 연결할 때 이 이름을 사용합니다. Description 값(선택 사항)을 추가할 수도 있습니다.

  14. [Create policy]를 선택합니다.

  15. Amazon Aurora에서 AWS 서비스에 액세스하도록 허용하는 IAM 역할 생성의 단계를 수행합니다.