本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 IAM 政策來存取 CloudWatch Logs 資源
<a name="AuroraMySQL.Integrating.Authorizing.IAM.CWCreatePolicy"></a>

Aurora 可以存取 CloudWatch Logs，以便從 Aurora 資料庫叢集匯出稽核日誌資料。不過，您必須先建立 IAM 政策來提供日誌群組和日誌串流許可，以允許 Aurora 存取 CloudWatch Logs。

下列政策新增讓 Aurora 代表您存取 Amazon CloudWatch Logs 所需的許可，以及建立日誌群組和匯出資料所需的最低許可。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}
```

------

您可以修改政策中的 ARNs，以限制對特定AWS區域和帳戶的存取。

您可以使用下列步驟來建立 IAM 政策，以提供讓 Aurora 代表您存取 CloudWatch Logs 所需的最低許可。若要允許 Aurora 完整存取 CloudWatch Logs，您可以略過這些步驟，並使用 `CloudWatchLogsFullAccess` 預先定義的 IAM 政策，而不需自行建立。如需詳細資訊，請參閱《Amazon CloudWatch 使用者指南》**中的[針對 CloudWatch Logs 使用以身分為基礎的政策 (IAM 政策)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl)。

**建立 IAM 政策以授權存取 CloudWatch Logs 資源**

1. 開啟 [ IAM 主控台](https://console.aws.amazon.com/iam/home?#home)。

1. 在導覽窗格中，選擇**政策**。

1. 選擇 **Create policy** (建立政策)。

1. 在 **Visual editor (視覺化編輯器)** 標籤中，選擇 **Choose a service (選擇服務)**，然後選擇 **CloudWatch Logs**。

1. 對於 **Actions** (動作)，選擇 **Expand all** (全部展開) (右側)，然後選擇 IAM 政策所需的 Amazon CloudWatch Logs 許可。

   確保已選取下列許可：
   + `CreateLogGroup`
   + `CreateLogStream`
   + `DescribeLogStreams`
   + `GetLogEvents`
   + `PutLogEvents`
   + `PutRetentionPolicy`

1. 選擇 **Resources (資源)**，然後對 **log-group** 選擇 **Add ARN (新增 ARN)**。

1. 在 **Add ARN(s) (新增 ARN)** 對話方塊中，輸入下列值：
   + **區域** – AWS區域或 `*`
   + **Account (帳戶)** – 帳號或 `*`
   + **Log Group Name** (日誌群組名稱) – `/aws/rds/*`

1. 在 **Add ARN(s) (新增 ARN)** 對話方塊中，選擇 **Add (新增)**。

1. 對於 **log-stream**，選擇 **Add ARN (新增 ARN)**。

1. 在 **Add ARN(s) (新增 ARN)** 對話方塊中，輸入下列值：
   + **區域** – AWS區域或 `*`
   + **Account (帳戶)** – 帳號或 `*`
   + **Log Group Name** (日誌群組名稱) – `/aws/rds/*`
   + **Log Stream Name (日誌串流名稱**)`*` – 

1. 在 **Add ARN(s) (新增 ARN)** 對話方塊中，選擇 **Add (新增)**。

1. 選擇 **Review policy (檢閱政策)**。

1. 將 **Name (名稱)** 設為您的 IAM 政策名稱，例如 `AmazonRDSCloudWatchLogs`。當您建立要與 Aurora 資料庫叢集相關聯的 IAM 角色時，您可以使用此名稱。您也可以新增選用的 **Description (描述) **值。

1. 選擇 **Create policy** (建立政策)。

1. 完成「[建立 IAM 角色以允許 Amazon Aurora 存取 AWS 服務](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md)」中的步驟。