创建 IAM 策略以访问 CloudWatch Logs 资源 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建 IAM 策略以访问 CloudWatch Logs 资源

Aurora 可以访问 CloudWatch Logs 以从 Aurora 数据库集群中导出审核日志数据。不过,您必须先创建一个 IAM 策略,以提供允许 Aurora 访问 CloudWatch Logs 的日志组和日志流权限。

以下策略添加 Aurora 代表您访问 Amazon CloudWatch Logs 所需的权限以及创建日志组和导出数据所需的最小权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] }

您可以修改策略中的 ARN 以限制对特定 Amazon 区域和账户的访问。

您可以执行以下步骤以创建一个 IAM 策略,以便提供 Aurora 代表您访问 CloudWatch Logs 所需的最小权限。要允许 Aurora 对 CloudWatch Logs 进行完全访问,您可以跳过这些步骤并使用 CloudWatchLogsFullAccess 预定义 IAM 策略,而不是创建自己的策略。有关更多信息,请参阅 Amazon CloudWatch 用户指南 中的为 CloudWatch Logs 使用基于身份的策略(IAM 策略)

创建 IAM 策略来授予对您的 CloudWatch Logs 资源的访问权限
  1. 打开 IAM 控制台

  2. 在导航窗格中,选择策略

  3. 选择 Create policy (创建策略)

  4. 可视化编辑器选项卡上,选择选择服务,然后选择 CloudWatch Logs

  5. Actions (操作) 下面选择 Expand all (全部展开)(位于右侧),然后选择 IAM 策略所需的 Amazon CloudWatch Logs 权限。

    确保选择了以下权限:

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. 选择资源,然后为 log-group 选择添加 ARN

  7. Add ARN(s) (添加 ARN) 对话框中,输入以下值:

    • 区域 – 一个 Amazon 区域或 *

    • 账户 – 账号或 *

    • 日志组名称/aws/rds/*

  8. Add ARN(s) (添加 ARN) 对话框中,选择 Add (添加)

  9. log-stream 选择添加 ARN

  10. Add ARN(s) (添加 ARN) 对话框中,输入以下值:

    • 区域 – 一个 Amazon 区域或 *

    • 账户 – 账号或 *

    • 日志组名称/aws/rds/*

    • 日志流名称*

  11. Add ARN(s) (添加 ARN) 对话框中,选择 Add (添加)

  12. 选择 Review policy (查看策略)

  13. 名称设置为适合您的 IAM 策略的名称,例如 AmazonRDSCloudWatchLogs。在创建 IAM 角色与 Aurora 数据库集群关联时,需要使用此名称。您也可以添加可选的描述值。

  14. 选择创建策略

  15. 完成 创建 IAM 角色以允许 Amazon Aurora 访问Amazon服务 中的步骤。