Eine IAM-Richtlinie für den Zugriff auf CloudWatch Logs-Ressourcen erstellen - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine IAM-Richtlinie für den Zugriff auf CloudWatch Logs-Ressourcen erstellen

Aurora kann auf CloudWatch Logs zugreifen, um Audit-Log-Daten aus einem Aurora-DB-Cluster zu exportieren. Sie müssen jedoch zunächst eine IAM-Richtlinie erstellen, die die Protokollgruppen- und Protokollstream-Berechtigungen bereitstellt, die Aurora den Zugriff auf CloudWatch Logs ermöglichen.

Die folgende Richtlinie fügt die Berechtigungen hinzu, die Aurora benötigt, um in Ihrem Namen auf Amazon CloudWatch Logs zuzugreifen, und die erforderlichen Mindestberechtigungen, um Protokollgruppen zu erstellen und Daten zu exportieren.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

Sie können die ARNs in der Richtlinie enthaltenen Änderungen ändern, um den Zugriff auf eine bestimmte AWS Region und ein bestimmtes Konto zu beschränken.

Sie können die folgenden Schritte verwenden, um eine IAM-Richtlinie zu erstellen, die die Mindestberechtigungen für Aurora bereitstellt, um in Ihrem Namen auf CloudWatch Logs zuzugreifen. Um Aurora vollen Zugriff auf CloudWatch Logs zu gewähren, können Sie diese Schritte überspringen und die CloudWatchLogsFullAccess vordefinierte IAM-Richtlinie verwenden, anstatt Ihre eigene zu erstellen. Weitere Informationen finden Sie unter Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für CloudWatch Protokolle im CloudWatch Amazon-Benutzerhandbuch.

So erstellen Sie eine IAM-Richtlinie, um Zugriff auf Ihre Logs-Ressourcen zu gewähren CloudWatch

  1. Öffnen Sie die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie auf der Registerkarte Visual Editor die Option Service auswählen und dann CloudWatchLogs aus.

  5. Wählen Sie für Aktionen die Option Alle erweitern (rechts) und wählen Sie dann die Amazon CloudWatch Logs-Berechtigungen aus, die für die IAM-Richtlinie erforderlich sind.

    Vergewissern Sie sich, dass die folgenden Berechtigungen ausgewählt sind:

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. Wählen Sie Ressourcen und dann ARN hinzufügen für log-group (Protokollgruppe).

  7. Geben Sie im Dialogfeld ARN(s) hinzufügen die folgenden Werte ein:

    • Region — Eine AWS Region oder *

    • Konto – Eine Kontonummer oder *

    • Protokollgruppenname/aws/rds/*

  8. Wählen Sie im Dialogfeld Add ARN(s) (ARN(s) hinzufügen) Add (Hinzufügen).

  9. Wählen Sie ARN hinzufügen für log-stream (Protokollstream).

  10. Geben Sie im Dialogfeld ARN(s) hinzufügen die folgenden Werte ein:

    • Region — Eine AWS Region oder *

    • Konto – Eine Kontonummer oder *

    • Protokollgruppenname/aws/rds/*

    • Protokollstreamname*

  11. Wählen Sie im Dialogfeld Add ARN(s) (ARN(s) hinzufügen) Add (Hinzufügen).

  12. Wählen Sie Richtlinie prüfen.

  13. Stellen Sie Name auf einen Namen für Ihre IAM-Zugriffsrichtlinie ein, zum Beispiel AmazonRDSCloudWatchLogs. Sie verwenden diesen Namen, wenn Sie eine IAM-Rolle erstellen, um sie Ihrem Aurora-DB-Cluster zuzuweisen. Sie können auch einen optionalen Wert für Description (Beschreibung) hinzufügen.

  14. Wählen Sie Richtlinie erstellen aus.

  15. Führen Sie die Schritte unter au Erstellen einer IAM-Rolle, um Amazon Aurora den Zugriff auf AWS-Services zu erlauben.