Creazione di una policy IAM per accedere alle CloudWatch risorse Logs - Amazon Aurora

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una policy IAM per accedere alle CloudWatch risorse Logs

Aurora può accedere ai CloudWatch log per esportare i dati dei log di controllo da un cluster Aurora DB. Tuttavia, devi prima creare una policy IAM che fornisca le autorizzazioni per il gruppo di log e il flusso di log che consentono ad Aurora di accedere ai CloudWatch log.

La seguente policy aggiunge le autorizzazioni richieste da Aurora per accedere ad CloudWatch Amazon Logs per tuo conto e le autorizzazioni minime richieste per creare gruppi di log ed esportare dati.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

Puoi modificare la ARNs policy per limitare l'accesso a una regione e a un account specifici AWS .

Puoi utilizzare i seguenti passaggi per creare una policy IAM che fornisca le autorizzazioni minime richieste ad Aurora per CloudWatch accedere ai log per tuo conto. Per consentire ad Aurora l'accesso completo ai CloudWatch log, puoi saltare questi passaggi e utilizzare la policy IAM CloudWatchLogsFullAccess predefinita invece di crearne una tua. Per ulteriori informazioni, consulta Using Identity-Based Policy (IAM policies) for CloudWatch Logs nella Amazon User Guide. CloudWatch

Per creare una policy IAM per concedere l'accesso alle tue risorse Logs CloudWatch

  1. Aprire la console IAM.

  2. Nel riquadro di navigazione, scegli Policy.

  3. Scegliere Create Policy (Crea policy).

  4. Nella scheda Visual Editor, scegli Scegli un servizio, quindi scegli CloudWatchLogs.

  5. Per Actions, scegli Espandi tutto (a destra), quindi scegli le autorizzazioni Amazon CloudWatch Logs necessarie per la policy IAM.

    Verificare che le seguenti autorizzazioni siano selezionate:

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. Scegliere Resources (Risorse) e selezionare Add ARN (Aggiungi ARN) per log-group (gruppo di log).

  7. Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), immettere i seguenti valori:

    • Regione: una AWS regione o *

    • Account – Un numero di account o *

    • Log Group Name (Nome gruppo di log/aws/rds/*

  8. Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), scegliere Add (Aggiungi).

  9. Scegliere Add ARN (Aggiungi ARN) per log-stream (flusso di log).

  10. Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), immettere i seguenti valori:

    • Regione: una AWS regione o *

    • Account – Un numero di account o *

    • Log Group Name (Nome gruppo di log/aws/rds/*

    • Log Stream Name (Nome flusso di log*

  11. Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), scegliere Add (Aggiungi).

  12. Scegliere Review policy (Esamina policy).

  13. Impostare Name (Nome) su un nome per la policy IAM, ad esempio AmazonRDSCloudWatchLogs. Questo nome viene utilizzato quando si crea un ruolo IAM e lo si associa al cluster DB Aurora. È anche possibile aggiungere un valore Description (Descrizione) facoltativo.

  14. Seleziona Create Policy (Crea policy).

  15. Completa le fasi descritte in Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS.