Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Création d'une politique IAM pour accéder aux ressources CloudWatch des journaux Aurora peut accéder aux CloudWatch journaux pour exporter les données des journaux d'audit à partir d'un cluster de base de données Aurora. Cependant, vous devez d'abord créer une politique IAM qui fournit les autorisations de groupe de journaux et de flux de journaux qui permettent à Aurora d'accéder aux CloudWatch journaux. La politique suivante ajoute les autorisations requises par Aurora pour accéder à Amazon CloudWatch Logs en votre nom, ainsi que les autorisations minimales requises pour créer des groupes de journaux et exporter des données. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] } ``` ------ Vous pouvez modifier le contenu ARNs de la politique pour restreindre l'accès à une AWS région et à un compte spécifiques. Vous pouvez suivre les étapes suivantes pour créer une politique IAM qui fournit les autorisations minimales requises pour qu'Aurora accède aux CloudWatch journaux en votre nom. Pour autoriser Aurora à accéder pleinement aux CloudWatch journaux, vous pouvez ignorer ces étapes et utiliser la politique IAM `CloudWatchLogsFullAccess` prédéfinie au lieu de créer la vôtre. Pour plus d'informations, consultez la section [Utilisation de politiques basées sur l'identité (politiques IAM) pour les CloudWatch journaux dans le guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl) de l'utilisateur *Amazon CloudWatch *. **Pour créer une politique IAM afin d'accorder l'accès à vos ressources CloudWatch Logs** 1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/home?#home). 1. Dans le panneau de navigation, choisissez **Politiques**. 1. Choisissez **Create Policy** (Créer une politique). 1. Dans l'onglet **Éditeur visuel**, **choisissez Choisir un service**, puis **CloudWatchLogs**. 1. Pour **Actions**, choisissez **Expand all** (sur la droite), puis choisissez les autorisations Amazon CloudWatch Logs nécessaires pour la politique IAM. Assurez-vous que les autorisations suivantes sont sélectionnées : + `CreateLogGroup` + `CreateLogStream` + `DescribeLogStreams` + `GetLogEvents` + `PutLogEvents` + `PutRetentionPolicy` 1. Choisissez **Resources (Ressources)**, puis **Add ARN (Ajouter un ARN)** pour **log-group**. 1. Dans la boîte de dialogue **Add ARN(s) (Ajouter un ou des ARN)**, entrez les valeurs suivantes : + **Région** — Une AWS région ou `*` + **Account (Compte)** – Numéro de compte ou `*` + **Nom du groupe de journaux** – `/aws/rds/*` 1. Dans la boîte de dialogue **Add ARN(s) (Ajouter un ou des ARN)**, choisissez **Ajouter**. 1. Choisissez **Add ARN (Ajouter un ARN)** pour **log-stream**. 1. Dans la boîte de dialogue **Add ARN(s) (Ajouter un ou des ARN)**, entrez les valeurs suivantes : + **Région** — Une AWS région ou `*` + **Account (Compte)** – Numéro de compte ou `*` + **Nom du groupe de journaux** – `/aws/rds/*` + **Log Stream Name (Nom du flux de journaux** – `*` 1. Dans la boîte de dialogue **Add ARN(s) (Ajouter un ou des ARN)**, choisissez **Ajouter**. 1. Choisissez **Examiner une stratégie**. 1. Dans ** Name (Name)**, attribuez un nom à votre stratégie IAM, par exemple `AmazonRDSCloudWatchLogs`. Vous utilisez ce nom lorsque vous créez un rôle IAM à associer à votre cluster de base de données Aurora. Vous pouvez également ajouter une valeur **Description** facultative. 1. Choisissez **Créer une stratégie**. 1. Suivez les étapes de [Création d'un rôle IAM pour permettre à Amazon Aurora d'accéder aux services AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).