配置 CloudWatch 日志记录角色 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 CloudWatch 日志记录角色

要设置访问权限,您需要创建一个基于资源的IAM策略和一个提供该访问信息的IAM角色。

要启用 Amazon CloudWatch 日志记录,首先要创建启用 CloudWatch日志记录的IAM策略。然后,您创建一个IAM角色并将该策略附加到该角色上。您可在创建服务器编辑现有服务器时执行此操作。有关的更多信息 CloudWatch,请参阅 Amazon 是什么 CloudWatch? 以及什么是 Amazon CloudWatch 日志? 在《亚马逊 CloudWatch 用户指南》中。

使用以下示例IAM策略来允许 CloudWatch 日志记录。

Use a logging role
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] }
Use structured logging
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:region-id:Amazon Web Services 账户:log-group:/aws/transfer/*" } ] }

在前面的示例策略中,对于Resource,替换 region-id 以及 Amazon Web Services 账户 用你的价值观。例如,"Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/*"

然后,您可以创建一个角色并附加您创建的 CloudWatch 日志策略。

创建IAM角色并附加策略
  1. 在导航窗格中,选择 Roles(角色),然后选择 Create role(创建角色)

    创建角色页面上,确保已选择Amazon 服务

  2. 从服务列表中选择转移,然后选择下一步:权限。这在 Amazon Transfer Family 和IAM角色之间建立了信任关系。此外,建议使用 aws:SourceAccountaws:SourceArn 条件键来防止出现混淆代理问题。有关详细信息,请参阅以下文档:

  3. 附加权限策略部分,找到并选择您刚刚创建的 CloudWatch 日志策略,然后选择下一步:标签

  4. (可选)输入标签的键和值,然后选择下一步:审核

  5. 审核页面上,输入新角色的名称和描述,然后选择创建角色

  6. 要查看日志,请选择服务器 ID 以打开服务器配置页面,然后选择查看日志。您将被重定向到 CloudWatch 控制台,您可以在其中查看日志流。

在服务器 CloudWatch 页面上,您可以看到用户身份验证(成功和失败)、数据上传(PUT操作)和数据下载(GET操作)的记录。