Ich erhalte die folgende Fehlermeldung, nachdem ich mein VPC-Flow-Protokoll konfiguriert habe:
„Zugriffsfehler. Die IAM-Rolle für deine Flow-Protokolle verfügt nicht über ausreichende Berechtigungen, um Protokolle an die CloudWatch-Protokollgruppe zu senden.“
Wie kann ich dies beheben?
Kurzbeschreibung
Das Folgende sind häufige Gründe für diesen Fehler:
- Die Rolle Identity and Access Management (IAM) für dein Flow-Protokoll verfügt nicht über ausreichende Berechtigungen, um Flow-Protokolleinträge in der Amazon-CloudWatch-Protokollgruppe zu veröffentlichen.
- Die IAM-Rolle hat keine Vertrauensstellung mit dem Flow-Protokolldienst.
- Die Vertrauensstellung legt den Flow-Protokolldienst nicht als Prinzipal fest.
Auflösung
Die IAM-Rolle für dein Flow-Protokoll verfügt nicht über ausreichende Berechtigungen, um Flow-Protokolleinträge in der CloudWatch-Protokollgruppe zu veröffentlichen.
Die IAM-Rolle, die mit deinem Flow-Protokoll verknüpft ist, muss über ausreichende Berechtigungen verfügen, um Flow-Protokolle in der angegebenen Protokollgruppe in CloudWatch Protokolle zu veröffentlichen. Die IAM-Rolle muss zu deinem AWS-Konto gehören.
{
"Version":"2012-10-17"
"Statement": [
{
"Effect":"Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource":"*"
}
]
}
Die IAM-Rolle hat keine Vertrauensstellung mit dem Flow-Protokolldienst
Stelle sicher, dass deine Rolle über eine Vertrauensstellung verfügt, die es dem Flow-Protokolldienst ermöglicht, die Rolle zu übernehmen.
1. Melde dich in der IAM-Konsole an.
2. Rollen auswählen.
3. Wähle VPC-Flow-Protokolle aus.
4. Wähle Vertrauensbeziehungen aus.
5. Wähle Vertrauensrichtlinie bearbeiten aus.
6. Lösche den aktuellen Code in diesem Abschnitt und füge dann Folgendes ein:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
7. Wählen Richtlinie aktualisieren aus.
Vertrauensbeziehungen geben dir die Kontrolle darüber, welche Dienste Rollen übernehmen dürfen. Im vorherigen Beispiel ermöglicht die Beziehung, dass der VPC-Flow-Protokolldienst die Rolle übernimmt.
Die Vertrauensstellung legt den Flow-Protokolldienst nicht als Prinzipal fest
Stelle sicher, dass die Vertrauensstellung den Flow-Protokolldienst als Prinzipal angibt, wie im folgenden Beispiel gezeigt:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Zugehörige Informationen
IAM-Rollen zum Veröffentlichen von Flow-Protokollen in CloudWatch-Protokollen
Problembehebung bei VPC-Flow-Protokollen