View a markdown version of this page

Autorisations supplémentaires pour la livraison des journaux - Amazon Managed Streaming for Apache Kafka

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations supplémentaires pour la livraison des journaux

Si vous configurez la livraison des journaux sur le réplicateur, ajoutez les instructions appropriées ci-dessous à la politique de base. Vous n'avez besoin que des extraits correspondant aux destinations que vous activez.

Destination Amazon CloudWatch Logs

Ajoutez l'instruction suivante lorsque vous êtes cloudWatchLogs.enabled true dans la logDelivery configuration.

{
    "Sid": "CloudWatchLogsLogDeliveryActions",
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogDelivery",
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups",
        "logs:ListLogDeliveries"
    ],
    "Resource": [
        "*"
    ]
}
Destination Amazon S3

Ajoutez les instructions suivantes lorsque s3.enabled c'est true le cas. Remplacez <logBucketName> par le nom de votre compartiment de destination.

[
    {
        "Sid": "S3LogDeliveryActions",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogDelivery",
            "logs:ListLogDeliveries"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Sid": "S3BucketLogDeliveryActions",
        "Effect": "Allow",
        "Action": [
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy"
        ],
        "Resource": "arn:aws:s3:::<logBucketName>"
    }
]
Destination Firehose

Ajoutez les instructions suivantes lorsque firehose.enabled c'est true le cas. <accountID>Remplacez-le par votre Compte AWS identifiant.

[
    {
        "Sid": "FirehoseLogDeliveryActions",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogDelivery",
            "logs:ListLogDeliveries",
            "firehose:TagDeliveryStream"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Sid": "FirehoseLogDeliveryServiceLinkedRole",
        "Effect": "Allow",
        "Action": [
            "iam:CreateServiceLinkedRole"
        ],
        "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
    }
]

Pour plus d'informations sur les autorisations des journaux vendus, consultez la section Activation de la journalisation à partir des services. AWS