Membuat kebijakan IAM untuk mengakses sumber daya CloudWatch Log - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan IAM untuk mengakses sumber daya CloudWatch Log

Aurora dapat mengakses CloudWatch Log untuk mengekspor data log audit dari cluster Aurora DB. Namun, Anda harus terlebih dahulu membuat kebijakan IAM yang menyediakan grup log dan izin aliran log yang memungkinkan Aurora mengakses Log. CloudWatch

Kebijakan berikut menambahkan izin yang diperlukan oleh Aurora untuk mengakses Log CloudWatch Amazon atas nama Anda, dan izin minimum yang diperlukan untuk membuat grup log dan mengekspor data.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

Anda dapat mengubah kebijakan ARNs dalam untuk membatasi akses ke AWS Wilayah dan akun tertentu.

Anda dapat menggunakan langkah-langkah berikut untuk membuat kebijakan IAM yang memberikan izin minimum yang diperlukan bagi Aurora untuk mengakses CloudWatch Log atas nama Anda. Untuk mengizinkan Aurora akses penuh ke CloudWatch Log, Anda dapat melewati langkah-langkah ini dan menggunakan kebijakan IAM yang CloudWatchLogsFullAccess telah ditentukan sebelumnya alih-alih membuat sendiri. Untuk informasi selengkapnya, lihat Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch di Panduan Pengguna Amazon. CloudWatch

Untuk membuat kebijakan IAM untuk memberikan akses ke sumber daya CloudWatch Log

  1. Buka konsol IAM.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di tab Editor visual, pilih Pilih layanan, lalu pilih CloudWatch Logs.

  5. Untuk Tindakan, pilih Perluas semua (di sebelah kanan), lalu pilih izin CloudWatch Log Amazon yang diperlukan untuk kebijakan IAM.

    Pastikan izin berikut dipilih:

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. Pilih Sumber Daya dan pilih Tambahkan ARN untuk grup log.

  7. Di kotak dialog Tambahkan ARN, masukkan nilai berikut:

    • Wilayah — AWS Wilayah atau *

    • Akun – Nomor akun atau *

    • Nama Grup Log/aws/rds/*

  8. Di kotak dialog Tambahkan ARN, pilih Tambahkan.

  9. Pilih Tambahkan ARN untuk log stream.

  10. Di kotak dialog Tambahkan ARN, masukkan nilai berikut:

    • Wilayah — AWS Wilayah atau *

    • Akun – Nomor akun atau *

    • Nama Grup Log/aws/rds/*

    • Nama Log Stream*

  11. Di kotak dialog Tambahkan ARN, pilih Tambahkan.

  12. Pilih Tinjau kebijakan.

  13. Atur Nama untuk nama kebijakan IAM Anda, misalnya AmazonRDSCloudWatchLogs. Anda menggunakan nama ini saat membuat peran IAM untuk dikaitkan dengan klaster DB Aurora Anda. Anda juga dapat menambahkan nilai Deskripsi opsional.

  14. Pilih Buat kebijakan.

  15. Selesaikan langkah-langkah dalam Membuat peran IAM untuk mengizinkan Amazon Aurora mengakses layanan AWS.