Amazon 日誌中的 Transit Gateway 流程 CloudWatch 日誌記錄 - Amazon VPC
IAM用於將流程記錄發佈至 CloudWatch 記錄的角色IAM使用者傳遞角色的權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 日誌中的 Transit Gateway 流程 CloudWatch 日誌記錄

流程日誌可以將流程日誌資料直接發佈到 Amazon CloudWatch。

發佈到 CloudWatch 記錄檔時,流程記錄資料會發佈至記錄群組,且每個傳輸閘道在記錄群組中都有唯一的記錄資料流。日誌串流包含流量日誌記錄。您可以建立多個流量日誌,將資料發佈至相同的日誌群組。若相同日誌群組中的一或多個流量日誌內存在相同的傳輸閘道,它便會擁有一個合併日誌串流。若您指定其中一個流量日誌應擷取拒絕流量,並且指定其他流量日誌應擷取接受流量,則合併日誌串流便會擷取所有流量。

將流程記錄發佈到記錄檔時,付費記錄的資料擷取和封存費用將適用。 CloudWatch 如需詳細資訊,請參閱 Amazon CloudWatch 定價

在記 CloudWatch 錄中,時間記欄位對應於流程記錄中擷取的開始時間。此ingestionTime欄位提供 CloudWatch Logs 接收流程記錄的日期和時間。該時間戳記晚於流量日誌記錄中擷取的結束時間。

如需有關 CloudWatch 日誌的詳細資訊,請參閱 Amazon 日 CloudWatch 誌使用者指南中的傳送至 CloudWatch 日誌的日誌。

目錄

IAM用於將流程記錄發佈至 CloudWatch 記錄的角色

與流程記錄相關聯的IAM角色必須具有足夠的權限,才能將流程記錄發佈到記錄檔中指定的 CloudWatch 記錄群組。IAM角色必須屬於您的 AWS 帳戶.

附加至您IAM角色的IAM原則必須至少包含下列權限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

同時確認您的角色具有允許流量日誌服務擔任角色的信任關係。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

建議您使用 aws:SourceAccountaws:SourceArn 條件金鑰,保護自己免受混淆代理人問題的困擾。例如,您可以將下列條件區塊新增至先前的信任政策。來源帳戶是流程記錄檔的擁有者,來源ARN是流程記錄檔ARN。如果您不知道流程記錄 ID,可以ARN使用萬用字元 (*) 取代該部分,然後在建立流程記錄檔後更新原則。

"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

IAM使用者傳遞角色的權限

使用者還必須擁有對與流程記錄相關聯之IAM角色使用iam:PassRole動作的權限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["iam:PassRole"],
      "Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
    }
  ]
}