Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Membuat kebijakan IAM untuk mengakses sumber daya CloudWatch Log Aurora dapat mengakses CloudWatch Log untuk mengekspor data log audit dari cluster Aurora DB. Namun, Anda harus terlebih dahulu membuat kebijakan IAM yang menyediakan grup log dan izin aliran log yang memungkinkan Aurora mengakses Log. CloudWatch Kebijakan berikut menambahkan izin yang diperlukan oleh Aurora untuk mengakses Log CloudWatch Amazon atas nama Anda, dan izin minimum yang diperlukan untuk membuat grup log dan mengekspor data. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] } ``` ------ Anda dapat mengubah kebijakan ARNs dalam untuk membatasi akses ke AWS Wilayah dan akun tertentu. Anda dapat menggunakan langkah-langkah berikut untuk membuat kebijakan IAM yang memberikan izin minimum yang diperlukan bagi Aurora untuk mengakses CloudWatch Log atas nama Anda. Untuk mengizinkan Aurora akses penuh ke CloudWatch Log, Anda dapat melewati langkah-langkah ini dan menggunakan kebijakan IAM yang `CloudWatchLogsFullAccess` telah ditentukan sebelumnya alih-alih membuat sendiri. *Untuk informasi selengkapnya, lihat [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch di Panduan Pengguna](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl) Amazon. CloudWatch * **Untuk membuat kebijakan IAM untuk memberikan akses ke sumber daya CloudWatch Log** 1. Buka [konsol IAM](https://console.aws.amazon.com/iam/home?#home). 1. Di panel navigasi, pilih **Kebijakan**. 1. Pilih **Buat kebijakan**. 1. Di tab **Editor visual**, pilih **Pilih layanan**, lalu pilih **CloudWatch Logs**. 1. Untuk **Tindakan**, pilih **Perluas semua** (di sebelah kanan), lalu pilih izin CloudWatch Log Amazon yang diperlukan untuk kebijakan IAM. Pastikan izin berikut dipilih: + `CreateLogGroup` + `CreateLogStream` + `DescribeLogStreams` + `GetLogEvents` + `PutLogEvents` + `PutRetentionPolicy` 1. Pilih **Sumber Daya** dan pilih **Tambahkan ARN** untuk **grup log**. 1. Di kotak dialog **Tambahkan ARN**, masukkan nilai berikut: + **Wilayah** — AWS Wilayah atau `*` + **Akun** – Nomor akun atau `*` + **Nama Grup Log** – `/aws/rds/*` 1. Di kotak dialog **Tambahkan ARN**, pilih **Tambahkan**. 1. Pilih **Tambahkan ARN** untuk **log stream**. 1. Di kotak dialog **Tambahkan ARN**, masukkan nilai berikut: + **Wilayah** — AWS Wilayah atau `*` + **Akun** – Nomor akun atau `*` + **Nama Grup Log** – `/aws/rds/*` + **Nama Log Stream** – `*` 1. Di kotak dialog **Tambahkan ARN**, pilih **Tambahkan**. 1. Pilih **Tinjau kebijakan**. 1. Atur **Nama** untuk nama kebijakan IAM Anda, misalnya `AmazonRDSCloudWatchLogs`. Anda menggunakan nama ini saat membuat peran IAM untuk dikaitkan dengan klaster DB Aurora Anda. Anda juga dapat menambahkan nilai **Deskripsi** opsional. 1. Pilih **Buat kebijakan**. 1. Selesaikan langkah-langkah dalam [Membuat peran IAM untuk memungkinkan Amazon Aurora mengakses layanan AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).