本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Transit Gateway Flow 记录亚马逊数据 Firehose 中的记录
流日志可以将流日志数据直接发布到 Firehose。您可以选择将流日志发布到与资源监视器相同的帐户或不同的帐户。
先决条件
发布到 Firehose 时,流日志数据将以纯文本格式发布到 Firehose 传输流。您必须先创建一个 Firehose 传送流。有关创建传输流的步骤,请参阅《亚马逊数据 Firehose 开发者指南》中的创建亚马逊数据 Firehose 传输流。
定价
将收取标准摄取和传输费用。要了解更多信息,请打开 Amazon P CloudWatch ric
用于跨账户传输的 IAM 角色
当您发布到 Kinesis Data Firehose 时,您可以选择与要监控的资源位于同一账户(源账户)或不同账户(目的地账户)中的传输流。要允许跨账号将流日志传输到 Firehose,您必须在源账户中创建一个IAM角色,在目标账户中创建一个IAM角色。
源账户角色
在源账户中,创建授予以下权限的角色。在此示例中,角色的名称为 mySourceRole
,但您也可以为该角色选择其他名称。最后一条语句允许目的地账户中的角色代入该角色。条件语句确保该角色仅传递给日志传输服务,并且仅在监控指定资源时传递。创建策略时,请使用条件键iam:AssociatedResourceARN
指定要监控的网络接口或子网。VPCs
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::source-account:role/mySourceRole", "Condition": { "StringEquals": { "iam:PassedToService": "delivery.logs.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": [ "arn:aws:ec2:region:source-account:transit-gateway/tgw-0fb8421e2da853bf" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:GetLogDelivery" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole" } ] }
确保该角色具有以下信任策略,允许日志传输服务代入该角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
目的地账户角色
在目标账户中,创建一个名称以开头的角色AWSLogDeliveryFirehoseCrossAccountRole。该角色必须授予以下权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "firehose:TagDeliveryStream" ], "Resource": "*" } ] }
确保该角色具有以下信任策略,允许您在源账户中创建的角色代入该角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::source-account:role/mySourceRole" }, "Action": "sts:AssumeRole" } ] }