关于VPC-Subnet-流日志-上传发送到-CloudWatch Logs-所需要的IAM-Role-策略

因最近需要进行网络数据流量分析，需要捕获一个子网的流量、验证对端的数据是否有到达AWS的VPC中指定的子网

于是决定对那个子网创建一个流日志，关于流日志的创建，可以发送到如下 CloudWatch Logs， Amazon S3 存储桶，Kinesis Firehose

这里笔者为了方便分析，于是决定发送到  CloudWatch Logs，如果是要发送到 CloudWatch Logs，必须要选择一个IAM-Role

这样还得先创建一个IAM - Role ，其policy权限策略， 可以如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        }
    ]
}

特别需要注意的，还得有【可信实体】，即IAM类型，用要能用于 vpc-flow-logs.amazonaws.com 服务

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "vpc-flow-logs.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

配置完成后，过一段时间就可以到 CloudWatch的【日志组】中看到数据了，也可以到 【Logs Insights】中写特定的语句，查看自己需要的数据

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17748365.html