本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 用於將流程日誌發佈至 CloudWatch Logs 的 IAM 角色
與您流量日誌關聯的 IAM 角色必須具有足夠的許可,將流量日誌發佈到 CloudWatch Logs 中指定的日誌群組。IAM 角色必須屬於 AWS 您的帳戶。
與您 IAM 角色連線的 IAM 政策必須包含至少下列任一許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
確保您的角色具有下列信任政策,以允許流程日誌服務擔任角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
建議您使用 `aws:SourceAccount` 和 `aws:SourceArn` 條件金鑰,保護自己免受[混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)的困擾。例如,您可以將下列條件區塊新增至先前的信任政策。來源帳戶是流量日誌的擁有者,且來源 ARN 是流量日誌 ARN。如果您不清楚流量日誌 ID,您可以使用萬用字元 (\$1) 取代該部分的 ARN,然後在建立流量日誌之後更新政策。
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## 建立流程日誌的 IAM 角色
您可以如上所述更新現有的角色。或者,您可以使用下列程序建立新的角色以搭配流程日誌使用。您將在建立流程日誌時指定此角色。
**建立流量日誌的 IAM 角色**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**。
1. 選擇 **Create policy** (建立政策)。
1. 在 **Create policy (建立政策)** 頁面上,執行下列動作:
1. 選擇 **JSON**。
1. 將此視窗的內容取代為本節開頭的許可政策。
1. 選擇**下一步**。
1. 輸入您的政策的名稱,以及可選的描述和標籤,然後選擇 **建立政策**。
1. 在導覽窗格中,選擇 **Roles** (角色)。
1. 選擇 **Create Role** (建立角色)。
1. 對於 **Trusted entity type** (信任的實體類型),選擇 **Custom trust policy** (自訂信任政策)。對於 **Custom trust policy** (自訂信任政策),將 `"Principal": {},` 取代為下列內容,然後選擇 **Next** (下一步)。
```
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
```
1. 在 **Add permissions** (新增許可) 頁面上,選取您先前在此程序中建立的政策的核取方塊,然後選擇 **Next** (下一步)。
1. 輸入您角色的名稱,然後選擇性提供描述。
1. 選擇 **Create Role** (建立角色)。