Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Transit Gateway, catatan Log Aliran di Amazon Data Firehose
**Topics**
+ [Peran IAM untuk pengiriman lintas akun](#flow-logs-kinesis-iam)
+ [Buat peran akun sumber](flowlog-fh-create-source.md)
+ [Buat peran akun tujuan](flowlog-fh-create-destination.md)
+ [Membuat Log Aliran yang dipublikasikan ke Firehose](flow-logs-kinesis-create.md)
Log aliran dapat mempublikasikan data log aliran langsung ke Firehose. Anda dapat memilih untuk mempublikasikan log alur ke akun yang sama dengan monitor sumber daya atau ke akun lain.
**Prasyarat**
Saat memublikasikan ke Firehose, data flow log dipublikasikan ke aliran pengiriman Firehose, dalam format teks biasa. Anda harus terlebih dahulu membuat aliran pengiriman Firehose. Untuk langkah-langkah membuat aliran pengiriman, lihat [Membuat Aliran Pengiriman Firehose Data Amazon di Panduan Pengembang](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) *Amazon Data Firehose*.
**Harga**
Biaya konsumsi dan pengiriman standar berlaku. Untuk informasi selengkapnya, buka [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log** dan temukan **Log Terjual**.
## Peran IAM untuk pengiriman lintas akun
Saat memublikasikan ke Kinesis Data Firehose, Anda dapat memilih aliran pengiriman yang berada di akun yang sama dengan sumber daya yang akan dipantau (akun sumber), atau di akun lain (akun tujuan). Untuk mengaktifkan pengiriman lintas akun log aliran ke Firehose, Anda harus membuat peran IAM di akun sumber dan peran IAM di akun tujuan.
**Topics**
+ [Peran akun sumber](#flow-logs-kinesis-iam-role-source)
+ [Peran akun tujuan](#flow-logs-kinesis-iam-role-destination)
### Peran akun sumber
Di akun sumber, buat peran yang memberikan izin berikut. Dalam contoh ini, nama perannya adalah`mySourceRole`, tetapi Anda dapat memilih nama yang berbeda untuk peran ini. Pernyataan terakhir memungkinkan peran dalam akun tujuan untuk mengambil peran ini. Pernyataan kondisi memastikan bahwa peran ini diteruskan hanya ke layanan pengiriman log, dan hanya saat memantau sumber daya yang ditentukan. Saat Anda membuat kebijakan, tentukan VPCs, antarmuka jaringan, atau subnet yang Anda pantau dengan kunci kondisi. `iam:AssociatedResourceARN`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Pastikan bahwa peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan pengiriman log untuk mengambil peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Peran akun tujuan
Di akun tujuan, buat peran dengan nama yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**. Peran ini harus memberikan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Pastikan peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan peran yang Anda buat di akun sumber untuk mengambil peran ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Buat peran akun sumber AWS Transit Gateway Flow Logs untuk Amazon Data Firehose
Dari akun sumber, buat peran sumber di AWS Identity and Access Management konsol.
**Untuk membuat peran akun sumber**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman Buat kebijakan, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya: Tag** dan **Berikutnya: Tinjau**.
1. Masukkan nama untuk kebijakan Anda dan deskripsi opsional, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
# Buat peran akun tujuan AWS Transit Gateway Flow Logs untuk Amazon Data Firehose
Dari akun tujuan, buat peran tujuan di AWS Identity and Access Management konsol.
**Untuk membuat peran akun tujuan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman Buat kebijakan, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya: Tag** dan **Berikutnya: Tinjau**.
1. Masukkan nama untuk kebijakan Anda yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
# Membuat catatan Log Aliran AWS Transit Gateway yang diterbitkan ke Amazon Data Firehose
Buat Log Aliran Transit Gateway yang dipublikasikan ke Amazon Data Firehose. Sebelum Anda dapat membuat log alur, pastikan bahwa Anda telah menyiapkan peran akun IAM sumber dan tujuan untuk pengiriman lintas akun dan bahwa Anda telah membuat aliran pengiriman Firehose. Untuk informasi selengkapnya, lihat [Log Aliran Firehose Data Amazon](flow-logs-kinesis.md). Anda dapat membuat log aliran Firehose menggunakan Konsol VPC Amazon atau CLI. AWS
**Untuk membuat log aliran gateway transit yang diterbitkan ke Firehose menggunakan konsol**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih Gateway **transit atau Lampiran gateway** **Transit**.
1. Pilih kotak centang untuk satu atau beberapa gateway transit atau lampiran gateway transit.
1. Pilih **Tindakan**, **Buat log alur**.
1. Untuk **Tujuan** pilih Kirim ke Sistem **Pengiriman Firehose**.
1. Untuk **Firehose Delivery Stream ARN**, pilih ARN dari aliran pengiriman yang Anda buat di mana log aliran akan dipublikasikan.
1. Untuk **format catatan Log**, tentukan format untuk catatan log aliran.
+ Untuk menggunakan format catatan log alur default, pilih **format default AWS **.
+ Untuk membuat format kustom, pilih **Format kustom**. Untuk **Format log**, pilih bidang untuk disertakan dalam catatan log alur.
1. (Opsional) Untuk menambahkan tag ke log aliran, pilih **Tambahkan tag baru** dan tentukan kunci dan nilai tag.
1. Pilih **Buat log alur**.
**Untuk membuat log alur yang diterbitkan ke Firehose menggunakan alat baris perintah**
Gunakan salah satu perintah berikut:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)(AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
Contoh AWS CLI berikut membuat log aliran yang menangkap informasi gateway transit dan mengirimkan log aliran ke aliran pengiriman Firehose yang ditentukan.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids tgw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream
```
Contoh AWS CLI berikut membuat log aliran yang menangkap informasi gateway transit dan mengirimkan log aliran ke aliran pengiriman Firehose yang berbeda dari akun sumber.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids gw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```