配置 CloudWatch 日志记录角色 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 CloudWatch 日志记录角色

要设置访问权限,您需要创建一个基于资源的 策略和一个提供该访问信息的 角色。

要启用 Amazon CloudWatch 日志记录,首先要创建启用 CloudWatch日志记录的 IAM 策略。然后,您需要创建一个 角色并将策略附加到该角色。您可在创建 SFTP 服务器编辑现有 SFTP 服务器时执行此操作。有关的更多信息 CloudWatch,请参阅 Amazon 是什么 CloudWatch? 以及什么是 Amazon CloudWatch 日志? 在《亚马逊 CloudWatch 用户指南》中。

使用以下 IAM 策略示例来允许 CloudWatch 日志记录。

Use a logging role
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] }
Use structured logging
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:region-id:Amazon Web Services 账户:log-group:/aws/transfer/*" } ] }

在前述示例策略中,对于Resource,将region-idAmazon Web Services 账户更换为您的值。例如,"Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/*"

然后,您可以创建一个角色并附加您创建的 CloudWatch 日志策略。

创建 IAM 角色并附加策略
  1. 在导航窗格中,选择 Roles(角色),然后选择 Create role(创建角色)

    创建角色页面上,确保已选择Amazon 服务

  2. 从服务列表中选择转移,然后选择下一步:权限。这将在和 IAM 角色 Amazon Transfer Family 之间建立信任关系。此外,建议您在策略中使用 aws:SourceAccountaws:SourceArn 条件键来防止出现混淆代理人问题。有关详细信息,请参阅文档。

  3. 附加权限策略部分,找到并选择您刚刚创建的 CloudWatch 日志策略,然后选择下一步:标签

  4. (可选)输入标签的键和值,然后选择下一步:审核

  5. 审核页面上,输入新角色的名称和描述,然后选择创建角色

  6. 要查看日志,请选择 Server ID (服务器 ID) 以打开服务器配置页面,然后选择 View logs (查看日志)。您将被重定向到 CloudWatch 控制台,您可以在其中查看日志流。

在服务器 CloudWatch 页面上,您可以看到用户身份验证(成功和失败)、数据上传(PUT操作)和数据下载(GET操作)的记录。