本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
流程日誌可以直接將流程日誌資料發佈至 Firehose。您可以選擇將流量日誌發佈至與資源監視器相同的帳號或發佈至不同的帳號。
先決條件
發佈至 Firehose 時,流程日誌資料會以純文字格式發佈至 Firehose 交付串流。您必須先建立 Firehose 交付串流。如需建立交付串流的步驟,請參閱《Amazon Data Firehose 開發人員指南》中的建立 Amazon Data Firehose 交付串流。
定價
需支付標準擷取和交付費用。如需詳細資訊,請開啟 Amazon CloudWatch 定價
跨帳戶交付的 IAM 角色
發佈至 Kinesis Data Firehose 時,您可以選擇與要監控的資源位於同一帳戶 (來源帳戶) 或不同帳戶 (目的地帳戶) 中的交付串流。若要啟用將流量日誌跨帳戶交付至 Firehose,您必須在來源帳戶中建立 IAM 角色,並在目的地帳戶中建立 IAM 角色。
來源帳戶角色
在來源帳戶中,建立授予下列許可的角色。在此範例中,角色的名稱是 mySourceRole,但您可以為此角色選擇其他名稱。最後一個陳述式允許目的地帳戶中的角色擔任此角色。條件陳述式可確保此角色僅傳遞至日誌交付服務,而且只有在監控指定的資源時才會傳遞。建立政策時,請使用條件金鑰 iam:AssociatedResourceARN 指定要監控的 VPC、網路介面或子網路。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::source-account:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:region:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}確保此角色具有下列信任政策,以允許日誌交付服務擔任角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} 目的地帳戶角色
在目的地帳戶中,建立名稱開頭為 AWSLogDeliveryFirehoseCrossAccountRole 的角色。此角色必須授予下列許可。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}請確保此角色具有下列信任政策,可讓您在來源帳戶中建立的角色擔任此角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
} 