기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Transit Gateway,Amazon Data Firehose의 흐름 로그 레코드
**Topics**
+ [교차 계정 전송에 대한 IAM 역할](#flow-logs-kinesis-iam)
+ [소스 계정 역할 생성](flowlog-fh-create-source.md)
+ [대상 계정 역할 생성](flowlog-fh-create-destination.md)
+ [Firehose에 게시하는 흐름 로그 생성](flow-logs-kinesis-create.md)
흐름 로그는 흐름 로그 데이터를 Firehose에 직접 게시할 수 있습니다. 같은 계정을 리소스 모니터로 하여 흐름 로그를 게시하거나 다른 계정에 흐름 로그를 게시하기로 선택할 수 있습니다.
**사전 조건**
Firehose에 게시할 때 흐름 로그 데이터는 일반 텍스트 형식으로 Firehose 전송 스트림에 게시됩니다. 먼저 Firehose 전송 스트림을 생성해야 합니다. 전송 스트림 생성을 위한 단계는 *Amazon Data Firehose 개발자 안내서*의 [Amazon Data Firehose 전송 스트림 생성](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)을 참조하세요.
**요금**
표준 모으기 및 전송 요금이 적용됩니다. 자세히 알아보려면 [Amazon CloudWatch 요금](https://aws.amazon.com/cloudwatch/pricing/)을 열고, **로그**를 선택하고, **벤딩 로그**를 찾으세요.
## 교차 계정 전송에 대한 IAM 역할
Kinesis Data Firehose에 게시할 때 모니터링할 리소스와 동일한 계정(소스 계정) 또는 상이한 계정(대상 계정)에 있는 전송 스트림을 선택할 수 있습니다. Firehose에 대한 흐름 로그의 교차 계정 전송을 활성화하려면 소스 계정에서 IAM 역할을 생성하고 대상 계정에서 IAM 역할을 생성해야 합니다.
**Topics**
+ [소스 계정 역할](#flow-logs-kinesis-iam-role-source)
+ [대상 계정 역할](#flow-logs-kinesis-iam-role-destination)
### 소스 계정 역할
소스 계정에서 다음과 같은 권한을 부여하는 역할을 생성합니다. 이 예시에서는 역할 이름이 `mySourceRole`이지만, 이 역할에 대해 다른 이름을 선택할 수 있습니다. 마지막 명령문에서는 대상 계정의 역할에 이 역할 수임을 허용합니다. 조건문에서는 지정된 리소스를 모니터링할 때만 이 역할이 로그 전송 서비스에만 전달되도록 합니다. 정책을 생성할 때 모니터링 중인 VPC, 네트워크 인터페이스 또는 서브넷을 조건 키(`iam:AssociatedResourceARN`)로 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
로그 전송 서비스에서 역할을 수임할 수 있는 다음과 같은 신뢰 정책이 이 역할에 있는지 확인하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### 대상 계정 역할
대상 계정에서 **AWSLogDeliveryFirehoseCrossAccountRole**로 시작하는 이름으로 역할을 생성합니다. 이 역할에서는 다음과 같은 권한을 부여해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
이 역할을 수임할 수 있도록 소스 계정에서 생성한 역할이 허용되는 다음과 같은 신뢰 정책이 이 역할에 있는지 확인하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------