IAM-Rolle zum Veröffentlichen von Flow-Protokollen in CloudWatch Logs - Amazon Virtual Private Cloud
Erstellen einer IAM-Rolle für Flow-Protokolle

IAM-Rolle zum Veröffentlichen von Flow-Protokollen in CloudWatch Logs

Die mit Ihrem Flow-Protokoll verknüpfte IAM-Rolle muss über ausreichende Berechtigungen zum Veröffentlichen von Flow-Protokollen für die angegebene Protokollgruppe in CloudWatch Logs verfügen. Die IAM-Rolle muss zu Ihrem AWS-Konto gehören.

Die IAM-Richtlinie, die mit Ihrer IAM-Rolle verknüpft ist, muss mindestens folgende Berechtigungen enthalten:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Stellen Sie sicher, dass Ihre Rolle die folgende Vertrauensrichtlinie hat, die es dem Flow-Protokollservice erlaubt, die Rolle zu übernehmen.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wir empfehlen Ihnen, die aws:SourceAccount- und aws:SourceArn-Bedingungsschlüssel zu verwenden, um sich vor dem Problem des verwirrten Stellvertreters zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das Quellkonto ist der Eigentümer des Flow-Protokolls und der Quell-ARN ist der Flow Protokoll-ARN. Wenn Sie die Flow-Protokoll-ID nicht kennen, können Sie diesen Teil des ARN durch einen Platzhalter (*) ersetzen und dann die Richtlinie aktualisieren, nachdem Sie das Flow-Protokoll erstellt haben.

"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Erstellen einer IAM-Rolle für Flow-Protokolle

Sie können eine vorhandene Rolle wie oben beschrieben aktualisieren. Alternativ können Sie mit dem folgenden Verfahren eine neue Rolle für Flow-Protokolle erstellen. Sie geben diese Rolle an, wenn Sie das Flow-Protokoll erstellen.

So erstellen Sie eine IAM-Rolle für Flow-Protokolle

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies aus.

  3. Wählen Sie Richtlinie erstellen aus.

  4. Führen Sie auf der Seite Create policy (Richtlinie erstellen) die folgenden Schritte aus:

    1. Wählen Sie JSON.

    2. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.

    3. Wählen Sie Weiter aus.

    4. Geben Sie einen Namen und eine optionale Beschreibung sowie Tags für Ihre Richtlinie ein und wählen Sie dann Richtlinie erstellen aus.

  5. Wählen Sie im Navigationsbereich Rollen aus.

  6. Wählen Sie Create role (Rolle erstellen) aus.

  7. Für Trusted entity type (Vertrauenstyp der Entität), wählen Sie Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie). Für Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie "Principal": {}, mit Folgendem und wählen Sie Next (Weiter).

    "Principal": {
   "Service": "vpc-flow-logs.amazonaws.com"
},

  8. Wählen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend Next (Weiter).

  9. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.

  10. Wählen Sie Create role (Rolle erstellen) aus.