# CloudWatch Logs 리소스에 액세스할 수 있는 IAM 정책 생성 Aurora은 CloudWatch Logs에 액세스하여 Aurora DB 클러스터에서 감사 로그 데이터를 내보낼 수 있습니다. 하지만 Aurora에서 CloudWatch Logs에 액세스하도록 허용하는 로그 그룹 및 로그 스트림 권한을 제공하는 IAM 정책을 먼저 생성해야 합니다. 다음 정책은 사용자 대신 Aurora Amazon CloudWatch Logs에 액세스하는 데 필요한 권한과 로그 그룹을 생성하고 데이터를 내보내는 데 필요한 최소 권한을 추가합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] } ``` ------ 정책의 ARN을 수정하여 특정 AWS 리전 및 계정에 대한 액세스를 제한할 수 있습니다. 다음 단계를 사용하여 사용자 대신 Aurora에서 CloudWatch Logs에 액세스하는 데 필요한 최소 권한을 제공하는 IAM 정책을 생성할 수 있습니다. Aurora에서 CloudWatch Logs에 대한 모든 액세스를 허용하려면 이러한 단계를 건너뛰고 정책을 직접 생성하는 대신 `CloudWatchLogsFullAccess` 미리 정의된 IAM 정책을 사용할 수 있습니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [CloudWatch Logs에 대한 자격 증명 기반 정책(IAM 정책) 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl)을 참조하십시오. **CloudWatch Logs 리소스에 대한 액세스 권한을 부여하는 IAM 정책 생성 방법** 1. [IAM 콘솔](https://console.aws.amazon.com/iam/home?#home)을 엽니다. 1. 탐색 창에서 **정책**을 선택합니다. 1. [**Create policy**]를 선택합니다. 1. [**Visual editor**] 탭에서 [**Choose a service**]를 선택한 다음 [**CloudWatch Logs**]를 선택합니다. 1. **작업**에서 **Expand all(모두 확장)**(오른쪽에 있음)을 선택한 후 IAM 정책에 필요한 Amazon CloudWatch Logs 권한을 선택합니다. 다음 권한이 선택되었는지 확인합니다. + `CreateLogGroup` + `CreateLogStream` + `DescribeLogStreams` + `GetLogEvents` + `PutLogEvents` + `PutRetentionPolicy` 1. [**Resources**]를 선택하고 **log-group**에 대해 [**Add ARN**]을 선택합니다. 1. [**Add ARN(s)**] 대화 상자에서 다음 값을 입력합니다. + **리전** - AWS 리전 또는 `*` + **계정** – 계정 번호 또는 `*` + **로그 그룹 이름** – `/aws/rds/*` 1. [**Add ARN(s)**] 대화 상자에서 [**Add**]를 선택합니다. 1. [**log-stream**]에 대해 [**Add ARN**]을 선택합니다. 1. [**Add ARN(s)**] 대화 상자에서 다음 값을 입력합니다. + **리전** - AWS 리전 또는 `*` + **계정** – 계정 번호 또는 `*` + **로그 그룹 이름** – `/aws/rds/*` + **로그 Stream Name** – `*` 1. [**Add ARN(s)**] 대화 상자에서 [**Add**]를 선택합니다. 1. **정책 검토**(Review policy)를 선택합니다. 1. [** Name**]을 IAM 정책의 이름으로 설정합니다(예: `AmazonRDSCloudWatchLogs`). IAM 역할을 만들어 Aurora DB 클러스터와 연결할 때 이 이름을 사용합니다. **Description** 값(선택 사항)을 추가할 수도 있습니다. 1. [**Create policy**]를 선택합니다. 1. [Amazon Aurora에서 AWS 서비스에 액세스하도록 허용하는 IAM 역할 생성](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md)의 단계를 수행합니다.