Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

允许 Amazon Aurora 访问 Amazon CloudWatch Logs 资源

Aurora 可以访问 CloudWatch Logs 以从 Aurora 数据库群集导出审核日志数据。但是,您必须先创建 IAM 策略来提供允许 Aurora 访问 CloudWatch Logs 的日志组和日志流权限。

以下策略添加 Aurora 代表您访问 Amazon CloudWatch Logs 所需的权限以及创建日志组和导出数据所需的最低权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroups", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*" ] }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" ] } ] }

您可以执行以下步骤创建一个 IAM 策略,以便提供 Aurora 代表您访问 CloudWatch Logs 所需的最低权限。要允许 Aurora 对 CloudWatch Logs 进行完全访问,您可以跳过这些步骤并使用 CloudWatchLogsFullAccess 预定义的 IAM 策略而不是创建自己的策略。有关更多信息,请参阅为 CloudWatch Logs 使用基于身份的策略 (IAM 策略)

创建 IAM 策略来授予对您的 CloudWatch Logs 资源的访问权限

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择 Policies

  3. 选择 Create Policy

  4. 对于 Policy Generator,选择 Select

  5. Edit Permissions 中,设置以下值以授予 CloudWatch Logs 日志组权限:

    • EffectAllow

    • AWS ServiceAmazon CloudWatch Logs

    • Actionslogs:CreateLogGroup, logs:PutRetentionPolicy

    • Amazon Resource Name (ARN) - arn:aws:logs:*:*:log-group:/aws/rds/*

  6. 选择 Add Statement

  7. Edit Permissions 中,设置以下值以授予 CloudWatch Logs 日志流权限:

    • EffectAllow

    • AWS ServiceAmazon CloudWatch Logs

    • Actionslogs:CreateLogStream, logs:PutLogEvents, logs:DescribeLogStreams, logs:GetLogEvents

    • Amazon Resource Name (ARN) - arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*

  8. 选择 Add Statement

  9. 选择 Next Step

  10. Policy Name 设置为适合您的 IAM 策略的名称,例如 AmazonRDSCloudWatchLogs。在创建 IAM 角色与 Aurora 数据库群集关联时,需要使用此名称。您也可以添加可选的 Description 值。

  11. 选择 Create Policy