Etapa 1: criar um fluxo de entrega do Firehose

Importante

Antes de concluir as etapas a seguir, você deve usar uma política de acesso para que o Firehose possa acessar o bucket do Amazon S3. Para obter mais informações, consulte Controlling Access no Amazon Data Firehose Developer Guide.

Todas as etapas desta seção (Etapa 1) devem ser realizadas na conta destinatária dos dados do log.

Leste dos EUA (N. da Virgínia) é a região usada nos exemplos de comando a seguir. Substitua essa região pela região correta da implantação.

Para criar um fluxo de entrega do Firehose para ser usado como destino

Criar um bucket do Amazon S3:


aws s3api create-bucket --bucket amzn-s3-demo-bucket --create-bucket-configuration LocationConstraint=us-east-1

Crie o perfil do IAM que concede ao Firehose permissão para colocar dados no bucket.

Primeiro, use um editor de texto para criar uma política de confiança em um arquivo ~/TrustPolicyForFirehose.json.


{ "Statement": { "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId":"222222222222" } } } }

Crie a função do IAM, especificando o arquivo de política de confiança que você acabou de criar.


aws iam create-role \ 
    --role-name FirehosetoS3Role \ 
    --assume-role-policy-document file://~/TrustPolicyForFirehose.json

A saída deste comando será parecida com o exemplo a seguir. Anote os valores do nome da função e do ARN da função.


{
    "Role": {
        "Path": "/",
        "RoleName": "FirehosetoS3Role",
        "RoleId": "AROAR3BXASEKW7K635M53",
        "Arn": "arn:aws:iam::222222222222:role/FirehosetoS3Role",
        "CreateDate": "2021-02-02T07:53:10+00:00",
        "AssumeRolePolicyDocument": {
            "Statement": {
                "Effect": "Allow",
                "Principal": {
                    "Service": "firehose.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEquals": {
                        "sts:ExternalId": "222222222222"
                    }
                }
            }
        }
    }
}

Crie uma política de permissões para definir as ações que o Firehose pode realizar na sua conta.

Primeiro, use um editor de texto para criar a seguinte política de permissões em um arquivo chamado ~/PermissionsForFirehose.json. Dependendo do caso de uso, pode ser necessário adicionar mais permissões a esse arquivo.


{
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
    }]
}

Insira o seguinte comando para associar a política de permissões que você acabou de criar aoa perfil do IAM.


aws iam put-role-policy --role-name FirehosetoS3Role --policy-name Permissions-Policy-For-Firehose-To-S3 --policy-document file://~/PermissionsForFirehose.json

Insira o comando a seguir para criar o fluxo de entrega do Firehose. Substitua my-role-arn e amzn-s3-demo-bucket2-arn pelos valores corretos para a sua implantação.


aws firehose create-delivery-stream \
   --delivery-stream-name 'my-delivery-stream' \
   --s3-destination-configuration \
  '{"RoleARN": "arn:aws:iam::222222222222:role/FirehosetoS3Role", "BucketARN": "arn:aws:s3:::amzn-s3-demo-bucket"}'

A saída deve ser semelhante à seguinte:


{
    "DeliveryStreamARN": "arn:aws:firehose:us-east-1:222222222222:deliverystream/my-delivery-stream"
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Assinaturas entre contas e entre regiões ao nível da conta usando o Firehose

Etapa 2: Criar um destino