Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Transit Gateway et Flow Logs enregistrent dans Amazon Data Firehose
**Topics**
+ [Rôles IAM pour la diffusion entre comptes](#flow-logs-kinesis-iam)
+ [Création du rôle du compte source](flowlog-fh-create-source.md)
+ [Création du rôle du compte de destination](flowlog-fh-create-destination.md)
+ [Créez un journal de flux qui sera publié sur Firehose](flow-logs-kinesis-create.md)
Les journaux de flux peuvent publier les données des journaux de flux directement dans Firehose. Vous pouvez choisir de publier les journaux de flux sur le même compte que le moniteur de ressources ou sur un autre compte.
**Conditions préalables**
Lors de la publication sur Firehose, les données du journal de flux sont publiées dans un flux de diffusion Firehose, au format texte brut. Vous devez d'abord avoir créé un flux de diffusion Firehose. Pour connaître les étapes de création d'un flux de diffusion, consultez la section [Création d'un flux de diffusion Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) dans le manuel du développeur *Amazon Data Firehose*.
**Tarification**
Des frais d'ingestion et de diffusion standard s'appliquent. Pour plus d'informations, ouvrez [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), sélectionnez **Logs** et recherchez **Vended Logs**.
## Rôles IAM pour la diffusion entre comptes
Lorsque vous publiez sur Kinesis Data Firehose, vous pouvez choisir un flux de diffusion qui se trouve dans le même compte que la ressource à surveiller (le compte source) ou dans un compte différent (le compte de destination). Pour permettre la transmission des journaux de flux entre comptes à Firehose, vous devez créer un rôle IAM dans le compte source et un rôle IAM dans le compte de destination.
**Topics**
+ [Rôle du compte source](#flow-logs-kinesis-iam-role-source)
+ [Rôle du compte de destination](#flow-logs-kinesis-iam-role-destination)
### Rôle du compte source
Dans le compte source, créez un rôle qui accorde les autorisations suivantes. Dans cet exemple, le rôle a pour nom `mySourceRole`, mais vous pouvez choisir un nom différent. La dernière instruction permet au rôle dans le compte de destination d'assumer ce rôle. Les instructions de condition garantissent que ce rôle est transmis uniquement au service de diffusion de journaux, et uniquement lors de la surveillance de la ressource spécifiée. Lorsque vous créez votre politique, spécifiez les VPCs interfaces réseau ou les sous-réseaux que vous surveillez à l'aide de la clé `iam:AssociatedResourceARN` de condition.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Assurez-vous que ce rôle possède la politique de confiance suivante, qui permet au service de diffusion de journaux d'assumer ce rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Rôle du compte de destination
Dans le compte de destination, créez un rôle dont le nom commence par **AWSLogDeliveryFirehoseCrossAccountRole**. Ce rôle doit accorder les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Assurez-vous que ce rôle possède la politique de confiance suivante, qui permet au rôle que vous avez créé dans le compte source d'assumer ce rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Création du rôle de compte source AWS Transit Gateway Flow Logs pour Amazon Data Firehose
À partir du compte source, créez le rôle source dans la Gestion des identités et des accès AWS console.
**Pour créer le rôle du compte source**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Sélectionnez **Create policy** (Créer une politique).
1. Sur la page Create policy (Créer une stratégie), procédez comme suit :
1. Choisissez **JSON**.
1. Remplacez le contenu de cette fenêtre par la politique d'autorisations au début de cette section.
1. Choisissez **Next: Tags** (Suivant : Balises), puis **Next: Review** (Suivant : Vérification).
1. Saisissez un nom pour votre politique ainsi qu'une description facultative, puis choisissez **Create policy** (Créer une politique).
1. Dans le panneau de navigation, choisissez **Roles** (Rôles).
1. Sélectionnez **Create role** (Créer un rôle).
1. Pour **Trusted entity type** (Type d'entité de confiance), choisissez **Custom trust policy** (Politique de confiance personnalisée). Pour **Custom trust policy** (Politique de confiance personnalisée), remplacez `"Principal": {},` par ce qui suit, qui spécifie le service de diffusion de journaux. Choisissez **Suivant**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Sur la page **Add permissions** (Ajouter des autorisations), cochez la case correspondant à la politique que vous avez créée plus tôt dans cette procédure, puis choisissez **Next** (Suivant).
1. Entrez un nom pour votre rôle et fournissez une description, le cas échéant.
1. Choisissez **Créer un rôle**.
# Créez le rôle de compte de destination AWS Transit Gateway Flow Logs pour Amazon Data Firehose
À partir du compte de destination, créez le rôle de destination dans la Gestion des identités et des accès AWS console.
**Pour créer le rôle du compte de destination**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Sélectionnez **Create policy** (Créer une politique).
1. Sur la page Create policy (Créer une stratégie), procédez comme suit :
1. Choisissez **JSON**.
1. Remplacez le contenu de cette fenêtre par la politique d'autorisations au début de cette section.
1. Choisissez **Next: Tags** (Suivant : Balises), puis **Next: Review** (Suivant : Vérification).
1. Entrez un nom pour votre politique commençant par **AWSLogDeliveryFirehoseCrossAccountRole**, puis choisissez **Créer une politique**.
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Sélectionnez **Create role** (Créer un rôle).
1. Pour **Trusted entity type** (Type d'entité de confiance), choisissez **Custom trust policy** (Politique de confiance personnalisée). Pour **Custom trust policy** (Politique de confiance personnalisée), remplacez `"Principal": {},` par ce qui suit, qui spécifie le service de diffusion de journaux. Choisissez **Suivant**.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. Sur la page **Add permissions** (Ajouter des autorisations), cochez la case correspondant à la politique que vous avez créée plus tôt dans cette procédure, puis choisissez **Next** (Suivant).
1. Entrez un nom pour votre rôle et fournissez une description, le cas échéant.
1. Choisissez **Créer un rôle**.
# Créez un enregistrement AWS Transit Gateway Flow Logs qui sera publié sur Amazon Data Firehose
Créez un journal de flux Transit Gateway qui sera publié sur Amazon Data Firehose. Avant de créer le journal de flux, assurez-vous d'avoir configuré les rôles de compte IAM source et de destination pour la diffusion entre comptes et que vous avez créé le flux de diffusion Firehose. Pour plus d’informations, consultez [Journaux de flux Amazon Data Firehose](flow-logs-kinesis.md). Vous pouvez créer un journal de flux Firehose à l'aide de la console Amazon VPC ou de la CLI. AWS
**Pour créer un journal de flux de passerelle de transit publié sur Firehose à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Transit gateways** (Passerelles de transit), **Transit gateway attachment** (Attachements de passerelle de transit).
1. Cochez les cases correspondant à une ou plusieurs passerelles de transit ou à un ou plusieurs attachements de passerelle de transit.
1. Choisissez **Actions**, **Create flow log** (Créer le journal de flux).
1. Pour **Destination**, choisissez Envoyer vers un **système de distribution Firehose**.
1. Pour **Firehose Delivery Stream ARN** (ARN du flux de distribution Firehose), choisissez l'ARN d'un flux de distribution que vous avez créé dans lequel le journal des flux doit être publié.
1. Pour **Log record format** (Format d'enregistrement du journal), sélectionnez le format de l'enregistrement du journal de flux.
+ Pour utiliser le format de registre de journal de flux par défaut, sélectionnez **AWS default format** (Format par défaut).
+ Pour créer un format personnalisé, choisissez **Custom format** (Format personnalisé). Pour **Log format** (Format de journal), choisissez les champs à inclure dans l'enregistrement de journal de flux.
1. (Facultatif) Pour ajouter une identification au journal de flux, choisissez **Add new tag** (Ajouter une nouvelle identification) et spécifiez la clé et la valeur de l'identification.
1. Choisissez **Create flow log**. (Créer le journal de flux).
**Pour créer un journal de flux publié sur Firehose à l'aide de l'outil de ligne de commande**
Utilisez l’une des commandes suivantes :
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (CLI)AWS
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
L'exemple de AWS CLI suivant crée un journal de flux qui capture les informations relatives à la passerelle de transit et fournit le journal de flux au flux de diffusion Firehose spécifié.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids tgw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream
```
L'exemple de AWS CLI suivant crée un journal de flux qui capture les informations relatives à la passerelle de transit et fournit le journal de flux à un flux de diffusion Firehose différent du compte source.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids gw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```