Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Peran IAM untuk menerbitkan log alur ke CloudWatch Log Peran IAM yang terkait dengan log alur Anda harus memiliki izin yang cukup untuk mempublikasikan log aliran ke grup log yang ditentukan di CloudWatch Log. Peran IAM harus menjadi milik AWS akun Anda. Kebijakan IAM yang dilampirkan ke IAM role Anda harus menyertakan setidaknya izin berikut. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] } ``` ------ Pastikan peran Anda memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan flow logs untuk mengambil peran tersebut. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ Kami menyarankan Anda menggunakan kunci syarat `aws:SourceAccount` dan `aws:SourceArn` untuk melindungi diri Anda dari [masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Misalnya, Anda dapat menambahkan blok kondisi berikut ke kebijakan kepercayaan sebelumnya. Akun sumber adalah pemilik log aliran dan sumber ARN adalah ARN log aliran. Jika Anda tidak mengetahui ID log alur, Anda dapat mengganti bagian ARN tersebut dengan wildcard (\$1) dan kemudian memperbarui kebijakan setelah Anda membuat log alur. ``` "Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id" } } ``` ## Buat peran IAM untuk log aliran Anda dapat memperbarui peran yang ada seperti dijelaskan di atas. Atau, Anda dapat menggunakan prosedur berikut untuk membuat peran baru untuk digunakan dengan log aliran. Anda akan menentukan peran ini saat membuat log alur. **Untuk membuat IAM role untuk log alur** 1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, pilih **Kebijakan**. 1. Pilih **Buat kebijakan**. 1. Pada halaman **Buat kebijakan**, lakukan hal berikut: 1. Pilih**JSON**. 1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini. 1. Pilih **Berikutnya**. 1. Masukkan nama untuk kebijakan Anda serta deskripsi dan tag opsional, lalu pilih **Buat kebijakan**. 1. Di panel navigasi, pilih **Peran**. 1. Pilih **Buat peran**. 1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, lalu pilih **Berikutnya**. ``` "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, ``` 1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.** 1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional. 1. Pilih **Buat peran**.