本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
用於將流程日誌發佈至 CloudWatch Logs 的 IAM 角色
與您流量日誌關聯的 IAM 角色必須具有足夠的許可,將流量日誌發佈到 CloudWatch Logs 中指定的日誌群組。IAM 角色必須屬於您的帳戶 AWS 。
與您 IAM 角色連線的 IAM 政策必須包含至少下列任一許可:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
確保您的角色具有下列信任政策,以允許流程日誌服務擔任角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
建議您使用 aws:SourceAccount 和 aws:SourceArn 條件金鑰,保護自己免受混淆代理人問題的困擾。例如,您可以將下列條件區塊新增至先前的信任政策。來源帳戶是流量日誌的擁有者,且來源 ARN 是流量日誌 ARN。如果您不清楚流量日誌 ID,您可以使用萬用字元 (*) 取代該部分的 ARN,然後在建立流量日誌之後更新政策。
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}建立流程日誌的 IAM 角色
您可以如上所述更新現有的角色。或者,您可以使用下列程序建立新的角色以搭配流程日誌使用。您將在建立流程日誌時指定此角色。
建立流量日誌的 IAM 角色
開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在導覽窗格中,選擇政策。
-
選擇 Create policy (建立政策)。
-
在 Create policy (建立政策) 頁面上,執行下列動作:
-
選擇 JSON。
-
將此視窗的內容取代為本節開頭的許可政策。
-
選擇 Next (下一步)。
-
輸入您的政策的名稱,以及可選的描述和標籤,然後選擇 建立政策。
-
-
在導覽窗格中,選擇 Roles (角色)。
-
選擇 Create Role (建立角色)。
-
對於 Trusted entity type (信任的實體類型),選擇 Custom trust policy (自訂信任政策)。對於 Custom trust policy (自訂信任政策),將
"Principal": {},取代為下列內容,然後選擇 Next (下一步)。"Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, -
在 Add permissions (新增許可) 頁面上,選取您先前在此程序中建立的政策的核取方塊,然後選擇 Next (下一步)。
-
輸入您角色的名稱,然後選擇性提供描述。
-
選擇 Create Role (建立角色)。
