CloudWatch と Firehose 間の信頼 - Amazon CloudWatch

CloudWatch と Firehose 間の信頼

Firehose 配信ストリームは、Firehose への書き込みアクセス許可を持つ IAM ロールを通じて CloudWatch を信頼する必要があります。このアクセス許可は、CloudWatch メトリクスストリームが使用する 1 つの Firehose 配信ストリームに制限できます。IAM ロールは、streams.metrics.cloudwatch.amazonaws.com サービスプリンシパルを信頼する必要があります。

CloudWatch コンソールを使用してメトリクスストリームを作成する場合は、CloudWatch で、適切なアクセス許可があるロールを作成できます。別の方法を使用してメトリクスストリームを作成する場合、または IAM ロール自体を作成する場合は、次のアクセス許可ポリシーと信頼ポリシーを含める必要があります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:firehose:us-east-1:account-id:deliverystream/*"
        }
    ]
}
JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "streams.metrics.cloudwatch.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

メトリクスデータは、メトリクスストリームリソースを所有するソースに代わって、CloudWatch によって送信先の Firehose 配信ストリームにストリーミングされます。