创建 IAM 策略以访问 CloudWatch Logs 资源
Aurora 可以访问 CloudWatch Logs 以从 Aurora 数据库集群中导出审核日志数据。不过,您必须先创建一个 IAM 策略,以提供允许 Aurora 访问 CloudWatch Logs 的日志组和日志流权限。
以下策略添加 Aurora 代表您访问 Amazon CloudWatch Logs 所需的权限以及创建日志组和导出数据所需的最小权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] }
您可以修改策略中的 ARN 以限制对特定 Amazon 区域和账户的访问。
您可以执行以下步骤以创建一个 IAM 策略,以便提供 Aurora 代表您访问 CloudWatch Logs 所需的最小权限。要允许 Aurora 对 CloudWatch Logs 进行完全访问,您可以跳过这些步骤并使用 CloudWatchLogsFullAccess
预定义 IAM 策略,而不是创建自己的策略。有关更多信息,请参阅 Amazon CloudWatch 用户指南 中的为 CloudWatch Logs 使用基于身份的策略(IAM 策略)。
创建 IAM 策略来授予对您的 CloudWatch Logs 资源的访问权限
-
打开 IAM 控制台
。 -
在导航窗格中,选择策略。
-
选择 Create policy (创建策略)。
-
在可视化编辑器选项卡上,选择选择服务,然后选择 CloudWatch Logs。
-
在 Actions (操作) 下面选择 Expand all (全部展开)(位于右侧),然后选择 IAM 策略所需的 Amazon CloudWatch Logs 权限。
确保选择了以下权限:
-
CreateLogGroup
-
CreateLogStream
-
DescribeLogStreams
-
GetLogEvents
-
PutLogEvents
-
PutRetentionPolicy
-
-
选择资源,然后为 log-group 选择添加 ARN。
-
在 Add ARN(s) (添加 ARN) 对话框中,输入以下值:
-
区域 – 一个 Amazon 区域或
*
-
账户 – 账号或
*
-
日志组名称 –
/aws/rds/*
-
-
在 Add ARN(s) (添加 ARN) 对话框中,选择 Add (添加)。
-
为 log-stream 选择添加 ARN。
-
在 Add ARN(s) (添加 ARN) 对话框中,输入以下值:
-
区域 – 一个 Amazon 区域或
*
-
账户 – 账号或
*
-
日志组名称 –
/aws/rds/*
-
日志流名称 –
*
-
-
在 Add ARN(s) (添加 ARN) 对话框中,选择 Add (添加)。
-
选择 Review policy (查看策略)。
-
将名称设置为适合您的 IAM 策略的名称,例如
AmazonRDSCloudWatchLogs
。在创建 IAM 角色与 Aurora 数据库集群关联时,需要使用此名称。您也可以添加可选的描述值。 -
选择创建策略。