本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM將流程記錄發佈到 CloudWatch 記錄檔的角色
與流程記錄相關聯的IAM角色必須具有足夠的權限,才能將流程記錄發佈到記錄檔中指定的 CloudWatch 記錄群組。IAM角色必須屬於您的 AWS 帳戶。
附加至您IAM角色的IAM原則必須至少包含下列權限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
確保您的角色具有下列信任政策,以允許流程日誌服務擔任角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
建議您使用 aws:SourceAccount 和 aws:SourceArn 條件金鑰,保護自己免受混淆代理人問題的困擾。例如,您可以將下列條件區塊新增至先前的信任政策。來源帳戶是流程記錄檔的擁有者,來源ARN是流程記錄檔ARN。如果您不知道流程記錄 ID,可以ARN使用萬用字元 (*) 取代該部分,然後在建立流程記錄檔後更新原則。
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}建立流程記錄的IAM角色
您可以如上所述更新現有的角色。或者,您可以使用下列程序建立新的角色以搭配流程日誌使用。您將在建立流程日誌時指定此角色。
建立流程記錄的IAM角色
在開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇政策。
-
選擇 Create policy (建立政策)。
-
在 Create policy (建立政策) 頁面上,執行下列動作:
-
選擇JSON。
-
將此視窗的內容取代為本節開頭的許可政策。
-
選擇 Next (下一步)。
-
輸入原則的名稱以及選擇性的說明和標記,然後選擇 [建立原則]。
-
-
在導覽窗格中,選擇 Roles (角色)。
-
選擇 Create Role (建立角色)。
-
對於 Trusted entity type (信任的實體類型),選擇 Custom trust policy (自訂信任政策)。對於 Custom trust policy (自訂信任政策),將
"Principal": {},取代為下列內容,然後選擇 Next (下一步)。"Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, -
在 Add permissions (新增許可) 頁面上,選取您先前在此程序中建立的政策的核取方塊,然後選擇 Next (下一步)。
-
輸入您角色的名稱,然後選擇性提供描述。
-
選擇 Create Role (建立角色)。
