我希望通过 AWS Transfer for SFTP(SSH 文件传输协议)获取我的服务器活动的 Amazon CloudWatch Logs。我需要创建一个 AWS Identity and Access Management (IAM) 角色,以允许 AWS SFTP 保留这些 CloudWatch Logs。如何使用 AWS 命令行界面 (AWS CLI) 创建此 IAM 角色?

重要提示:在开始之前,您必须安装配置 AWS CLI。

按照以下步骤创建 IAM 角色,以允许 AWS SFTP 为您的服务器活动保留 CloudWatch Logs:

1.    在终端的命令提示符下,创建一个名为“transfer-trust-relationship.json”的文本文件,其中包含以下文本。此语句允许 AWS SFTP 代入角色。

{

"Version": "2012-10-17",
"Statement": [
      {
      "Effect": "Allow",
      "Principal": {
            "Service": "transfer.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
      }
   ]
}

2.    创建另一个名为“transfer-cloudwatch-logs-policy.json”的文本文件,其中包含以下文本。此语句允许创建 CloudWatch Logs。

{
      "Version": "2012-10-17",
      "Statement": [
            {
                  "Sid": "VisualEditor0",
                  "Effect": "Allow",
                  "Action": [
                        "logs:CreateLogStream",
                        "logs:DescribeLogStreams",
                        "logs:CreateLogGroup",
                        "logs:PutLogEvents"
                  ],
                  "Resource": "*"
            }
      ]
}

3.    运行此 AWS CLI 命令以创建 IAM 角色,该角色包含允许 AWS SFTP 代入该角色的语句:

aws iam create-role --role-name myAWSTransferLogRole --assume-role-policy-document file://transfer-trust-relationship.json --description "Access to my CloudWatch logs for AWS Transfer"

4.    运行此命令以将允许创建 CloudWatch Logs 的策略附加到 IAM 角色:

aws iam put-role-policy --role-name myAWSTransferLogRole --policy-name transfer-cloudwatch-logs-policy --policy-document file://transfer-cloudwatch-logs-policy.json

此页内容对您是否有帮助? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间:2018 年 12 月 21 日