配置我的 VPC 流日志后,如何解决“Access Error(访问错误)”的问题?

上次更新日期:2022 年 3 月 31 日

配置 VPC 流日志后,我收到以下错误消息:

“Access Error.The IAM role for your flow logs does not have sufficient permissions to send logs to the CloudWatch log group.(访问错误。您的流日志的 IAM 角色没有足够的权限将日志发送到 CloudWatch 日志组。)”

如何解决此问题?

简短描述

以下是发生此错误的常见原因:

解决方法

流日志的 IAM 角色没有足够的权限将流日志记录发布到 CloudWatch 日志组

与您的流日志关联的 IAM 角色必须具有足够的权限才能将流日志发布到 CloudWatch Logs 中的指定日志组。IAM 角色必须属于您的 AWS 账户。

{
 "Version":"2012-10-17"
 "Statement": [
  {
   "Effect":"Allow",
   "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents",
    "logs:DescribeLogGroups",
    "logs:DescribeLogStreams"
   ],
   "Resource":"*"
  }
 ]
}

IAM 角色与流日志服务没有信任关系

确保您的角色具有允许流日志服务担任该角色的信任关系。

1.    登录 IAM 控制台

2.    选择 Roles(角色)。

3.    选择 VPC-Flow-Logs(VPC 流日志)。    

4.    选择 Trust relationships(信任关系)。

5.    选择 Edit trust policy(编辑信任策略)。

6.    删除本部分中现有的代码,然后粘贴以下内容:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7.    选择 Update policy(更新策略)。

信任关系使您可以控制允许哪些服务担任角色。在前面的示例中,关系允许 VPC 流日志服务担任角色。

信任关系未将流日志服务指定为主体

请确保信任关系将流日志服务指定为 Principal(主体),如下例所示:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

这篇文章对您有帮助吗?


您是否需要账单或技术支持?