Création d'une politique IAM pour accéder aux ressources CloudWatch des journaux - Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une politique IAM pour accéder aux ressources CloudWatch des journaux

Aurora peut accéder aux CloudWatch journaux pour exporter les données des journaux d'audit à partir d'un cluster de base de données Aurora. Cependant, vous devez d'abord créer une politique IAM qui fournit les autorisations de groupe de journaux et de flux de journaux qui permettent à Aurora d'accéder aux CloudWatch journaux.

La politique suivante ajoute les autorisations requises par Aurora pour accéder à Amazon CloudWatch Logs en votre nom, ainsi que les autorisations minimales requises pour créer des groupes de journaux et exporter des données.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

Vous pouvez modifier le contenu ARNs de la politique pour restreindre l'accès à une AWS région et à un compte spécifiques.

Vous pouvez suivre les étapes suivantes pour créer une politique IAM qui fournit les autorisations minimales requises pour qu'Aurora accède aux CloudWatch journaux en votre nom. Pour autoriser Aurora à accéder pleinement aux CloudWatch journaux, vous pouvez ignorer ces étapes et utiliser la politique IAM CloudWatchLogsFullAccess prédéfinie au lieu de créer la vôtre. Pour plus d'informations, consultez la section Utilisation de politiques basées sur l'identité (politiques IAM) pour les CloudWatch journaux dans le guide de l'utilisateur Amazon CloudWatch .

Pour créer une politique IAM afin d'accorder l'accès à vos ressources CloudWatch Logs

  1. Ouvrez la console IAM.

  2. Dans le volet de navigation, choisissez Politiques.

  3. Choisissez Create Policy (Créer une politique).

  4. Dans l'onglet Éditeur visuel, choisissez Choisir un service, puis CloudWatchLogs.

  5. Pour Actions, choisissez Expand all (sur la droite), puis choisissez les autorisations Amazon CloudWatch Logs nécessaires pour la politique IAM.

    Assurez-vous que les autorisations suivantes sont sélectionnées :

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. Choisissez Resources (Ressources), puis Add ARN (Ajouter un ARN) pour log-group.

  7. Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), entrez les valeurs suivantes :

    • Région — Une AWS région ou *

    • Account (Compte) – Numéro de compte ou *

    • Nom du groupe de journaux/aws/rds/*

  8. Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), choisissez Ajouter.

  9. Choisissez Add ARN (Ajouter un ARN) pour log-stream.

  10. Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), entrez les valeurs suivantes :

    • Région — Une AWS région ou *

    • Account (Compte) – Numéro de compte ou *

    • Nom du groupe de journaux/aws/rds/*

    • Log Stream Name (Nom du flux de journaux*

  11. Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), choisissez Ajouter.

  12. Choisissez Examiner une stratégie.

  13. Dans Name (Name), attribuez un nom à votre stratégie IAM, par exemple AmazonRDSCloudWatchLogs. Vous utilisez ce nom lorsque vous créez un rôle IAM à associer à votre cluster de base de données Aurora. Vous pouvez également ajouter une valeur Description facultative.

  14. Choisissez Créer une stratégie.

  15. Suivez les étapes de Création d'un rôle IAM pour autoriser Amazon Aurora à accéder aux services AWS.