Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran IAM untuk pengiriman lintas akun
Saat memublikasikan ke Amazon Data Firehose, Anda dapat memilih aliran pengiriman yang berada di akun yang sama dengan sumber daya yang akan dipantau (akun sumber), atau di akun lain (akun tujuan). Untuk mengaktifkan pengiriman lintas akun log alur ke Amazon Data Firehose, Anda harus membuat peran IAM di akun sumber dan peran IAM di akun tujuan.
**Topics**
+ [Peran akun sumber](#firehose-source-account-role)
+ [Peran akun tujuan](#firehose-destination-account-role)
## Peran akun sumber
Di akun sumber, buat peran yang memberikan izin berikut. Dalam contoh ini, nama perannya adalah`mySourceRole`, tetapi Anda dapat memilih nama yang berbeda untuk peran ini. Pernyataan terakhir memungkinkan peran dalam akun tujuan untuk mengambil peran ini. Pernyataan kondisi memastikan bahwa peran ini diteruskan hanya ke layanan pengiriman log, dan hanya saat memantau sumber daya yang ditentukan. Saat membuat kebijakan, tentukan VPC, antarmuka jaringan, atau subnet yang Anda pantau dengan kunci kondisi. `iam:AssociatedResourceARN`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{123456789012}}:role/{{mySourceRole}}",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:{{us-east-1}}:{{123456789012}}:vpc/{{vpc-00112233344556677}}"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Pastikan bahwa peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan pengiriman log untuk mengambil peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Dari akun sumber, gunakan prosedur berikut untuk membuat peran.
**Untuk membuat peran akun sumber**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman **Buat kebijakan**, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya**.
1. Masukkan nama untuk kebijakan Anda serta deskripsi dan tag opsional, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
## Peran akun tujuan
Di akun tujuan, buat peran dengan nama yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**. Peran ini harus memberikan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Pastikan peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan peran yang Anda buat di akun sumber untuk mengambil peran ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/{{mySourceRole}}"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Dari akun tujuan, gunakan prosedur berikut untuk membuat peran.
**Untuk membuat peran akun tujuan**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman **Buat kebijakan**, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya**.
1. Masukkan nama untuk kebijakan Anda yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan khusus**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan peran akun sumber. Pilih **Berikutnya**.
```
"Principal": {
"AWS": "arn:aws:iam::{{source-account}}:role/{{mySourceRole}}"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.