Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di una policy IAM per l'accesso alle risorse CloudWatch Logs
Aurora può accedere a CloudWatch Logs per esportare i dati dei log di controllo da un cluster DB Aurora. Tuttavia, è necessario innanzitutto creare una policy IAM che assegni le autorizzazioni del gruppo di log e del flusso di log che consentano ad Aurora di accedere a CloudWatch Logs.
La seguente policy aggiunge le autorizzazioni che Aurora richiede per accedere ad Amazon CloudWatch Logs per tuo conto e il numero minimo di autorizzazioni necessarie per creare i gruppi di log ed esportare i dati.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] }
È possibile modificare gli ARN nella policy per limitare l'accesso a una regione e a un account AWS specifici.
È possibile seguire i passaggi seguenti per creare una policy IAM che conceda le autorizzazioni minime necessarie affinché Aurora possa accedere a CloudWatch Logs per tuo conto. Per consentire ad Aurora l'accesso completo a CloudWatch Logs, puoi saltare questi passaggi e utilizzare la policy IAM predefinita CloudWatchLogsFullAccess invece di crearne una nuova. Per ulteriori informazioni, consulta Utilizzo delle policy basate su identità (policy IAM) per CloudWatch Logs nella Guida per l'utente di Amazon CloudWatch.
Per creare una policy IAM per consentire l'accesso alle risorse CloudWatch Logs
-
Aprire la console IAM
. -
Nel pannello di navigazione, selezionare Policies (Policy).
-
Scegli Create Policy (Crea policy).
-
Nella scheda Visual editor (Editor visivo), selezionare Choose a service (Scegli un servizio) e scegliere CloudWatch Logs (Log di CloudWatch).
-
Per Actions (Operazioni), scegliere Expand all (Espandi tutto) (a destra), quindi scegliere le autorizzazioni Amazon CloudWatch Logs necessarie per la policy IAM.
Verificare che le seguenti autorizzazioni siano selezionate:
-
CreateLogGroup -
CreateLogStream -
DescribeLogStreams -
GetLogEvents -
PutLogEvents -
PutRetentionPolicy
-
-
Scegliere Resources (Risorse) e selezionare Add ARN (Aggiungi ARN) per log-group (gruppo di log).
-
Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), immettere i seguenti valori:
-
Regione: una regione AWS o
* -
Account – Un numero di account o
* -
Log Group Name (Nome gruppo di log –
/aws/rds/*
-
-
Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), scegliere Add (Aggiungi).
-
Scegliere Add ARN (Aggiungi ARN) per log-stream (flusso di log).
-
Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), immettere i seguenti valori:
-
Regione: una regione AWS o
* -
Account – Un numero di account o
* -
Log Group Name (Nome gruppo di log –
/aws/rds/* -
Log Stream Name (Nome flusso di log –
*
-
-
Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), scegliere Add (Aggiungi).
-
Scegliere Review policy (Esamina policy).
-
Impostare Name (Nome) su un nome per la policy IAM, ad esempio
AmazonRDSCloudWatchLogs. Questo nome viene utilizzato quando si crea un ruolo IAM e lo si associa al cluster DB Aurora. È anche possibile aggiungere un valore Description (Descrizione) facoltativo. -
Seleziona Create Policy (Crea policy).
Completa le fasi descritte in Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS.
