本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定 CloudWatch 記錄角色 若要設定存取,您可以建立以資源為基礎的 IAM 政策和提供該存取資訊的 IAM 角色。 若要啟用 Amazon CloudWatch 記錄,請先建立啟用 CloudWatch 記錄的 IAM 政策。然後,您可以建立 IAM 角色,並將政策連接到該角色。您可以在[建立伺服器](getting-started.md#getting-started-server)或[編輯現有伺服器](edit-server-config.md)時執行此操作。如需 CloudWatch 的詳細資訊,請參閱《[Amazon CloudWatch 使用者指南》中的什麼是 Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)*和 Amazon CloudWatch*[什麼是 Amazon CloudWatch Amazon CloudWatch logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。 使用下列範例 IAM 政策來允許 CloudWatch 記錄。 ------ #### [ Use a logging role ] ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` ------ #### [ Use structured logging ] ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": "*" } ] } ``` 在上述範例政策中,對於 **Resource**,將 *region-id* 和 取代*AWS 帳戶*為您的值。例如 **"Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/\$1"** ------ 然後,您可以建立角色並連接您建立的 CloudWatch Logs 政策。 **建立 IAM 角色並連接政策** 1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。 在**建立角色**頁面上,確定已選擇 **AWS 服務**。 1. 從服務清單選擇 **Transfer (傳輸)**,然後選擇 **Next: Permissions (下一步:許可)**。這會在 AWS Transfer Family 和 IAM 角色之間建立信任關係。此外,新增 `aws:SourceAccount` 和 `aws:SourceArn`條件金鑰,以保護自己免於*混淆代理人*問題。如需詳細資訊,請參閱下列文件: + 與下列項目建立信任關係的程序 AWS Transfer Family: [建立信任關係](requirements-roles.md#establish-trust-transfer) + 混淆代理人問題的描述:[混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) 1. 在**連接許可政策**區段中,尋找並選擇您剛建立的 CloudWatch Logs 政策,然後選擇**下一步:標籤**。 1. (選用) 輸入標籤的金鑰和值,然後選擇 **Next: Review (下一步:檢閱)**。 1. 在 **Review (檢閱)** 頁面上,輸入您新角色的名稱和描述,然後選擇 **Create role (建立角色)**。 1. 若要檢視日誌,請選擇**伺服器 ID** 以開啟伺服器組態頁面,然後選擇**檢視日誌**。系統會將您重新導向至 CloudWatch 主控台,您可以在其中查看日誌串流。 在伺服器的 CloudWatch 頁面上,您可以查看使用者身分驗證 (成功和失敗)、資料上傳 (`PUT` 操作) 和資料下載 (`GET` 操作) 的記錄。