如何解决配置我的 VPC 流日志后出现的“访问错误”?
1 分钟阅读
0
在配置我的虚拟私有云(VPC)流日志后,我收到“访问错误”。
简短描述
如果您在配置 VPC 流日志时遇到权限问题,则会看到下列错误:
“访问错误。您的流日志的 IAM 角色没有足够的权限将日志发送到 CloudWatch 日志组。”
以下情况通常会导致此错误:
- 您的流日志的 Identity and Access Management(IAM)角色无权将流日志记录发布到 Amazon CloudWatch 日志组。
- IAM 角色与流日志服务没有信任关系。
- 信任关系未将流日志服务指定为主体。
解决方法
您的流日志的 IAM 角色无权将流日志记录发布到 CloudWatch 日志组
与您的流日志关联的 IAM 角色必须具有足够的权限,才能将流日志发布到 CloudWatch Logs 中的指定日志组。IAM 角色必须属于您的 AWS 账户。请确保 IAM 角色具有下列权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
IAM 角色与流日志服务没有信任关系
请确保您的角色具有允许流日志服务代入该角色的信任关系:
1. 登录 IAM 控制台。
2. 选择角色。
3. 选择 VPC-Flow-Logs。
4. 选择信任关系。
5. 选择编辑信任策略。
6. 删除此部分中的当前代码,然后输入下列策略:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
7. 选择更新策略。
信任关系使您能够控制允许哪些服务代入角色。在此示例中,该关系允许 VPC Flow Logs 服务代入该角色。
信任关系未将流日志服务指定为主体
请确保信任关系将流日志服务指定为主体:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
相关信息
AWS 官方已更新 1 年前
没有评论
相关内容
- AWS 官方已更新 3 年前
- AWS 官方已更新 1 年前
