Wie kann ich einen „Zugriffsfehler“ beheben, nachdem ich mein VPC-Flow-Protokoll konfiguriert habe?

Lesedauer: 2 Minute
0

Ich erhalte die folgende Fehlermeldung, nachdem ich mein VPC-Flow-Protokoll konfiguriert habe: „Zugriffsfehler. Die IAM-Rolle für deine Flow-Protokolle verfügt nicht über ausreichende Berechtigungen, um Protokolle an die CloudWatch-Protokollgruppe zu senden.“ Wie kann ich dies beheben?

Kurzbeschreibung

Das Folgende sind häufige Gründe für diesen Fehler:

  • Die Rolle Identity and Access Management (IAM) für dein Flow-Protokoll verfügt nicht über ausreichende Berechtigungen, um Flow-Protokolleinträge in der Amazon-CloudWatch-Protokollgruppe zu veröffentlichen.
  • Die IAM-Rolle hat keine Vertrauensstellung mit dem Flow-Protokolldienst.
  • Die Vertrauensstellung legt den Flow-Protokolldienst nicht als Prinzipal fest.

Auflösung

Die IAM-Rolle für dein Flow-Protokoll verfügt nicht über ausreichende Berechtigungen, um Flow-Protokolleinträge in der CloudWatch-Protokollgruppe zu veröffentlichen.

Die IAM-Rolle, die mit deinem Flow-Protokoll verknüpft ist, muss über ausreichende Berechtigungen verfügen, um Flow-Protokolle in der angegebenen Protokollgruppe in CloudWatch Protokolle zu veröffentlichen. Die IAM-Rolle muss zu deinem AWS-Konto gehören.

{
 "Version":"2012-10-17"
 "Statement": [
  {
   "Effect":"Allow",
   "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents",
    "logs:DescribeLogGroups",
    "logs:DescribeLogStreams"
   ],
   "Resource":"*"
  }
 ]
}

Die IAM-Rolle hat keine Vertrauensstellung mit dem Flow-Protokolldienst

Stelle sicher, dass deine Rolle über eine Vertrauensstellung verfügt, die es dem Flow-Protokolldienst ermöglicht, die Rolle zu übernehmen.

1.    Melde dich in der IAM-Konsole an.

2.    Rollen auswählen.

3.    Wähle VPC-Flow-Protokolle aus.    

4.    Wähle Vertrauensbeziehungen aus.

5.    Wähle Vertrauensrichtlinie bearbeiten aus.

6.    Lösche den aktuellen Code in diesem Abschnitt und füge dann Folgendes ein:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7.    Wählen Richtlinie aktualisieren aus.

Vertrauensbeziehungen geben dir die Kontrolle darüber, welche Dienste Rollen übernehmen dürfen. Im vorherigen Beispiel ermöglicht die Beziehung, dass der VPC-Flow-Protokolldienst die Rolle übernimmt.

Die Vertrauensstellung legt den Flow-Protokolldienst nicht als Prinzipal fest

Stelle sicher, dass die Vertrauensstellung den Flow-Protokolldienst als Prinzipal angibt, wie im folgenden Beispiel gezeigt:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Zugehörige Informationen

IAM-Rollen zum Veröffentlichen von Flow-Protokollen in CloudWatch-Protokollen

Problembehebung bei VPC-Flow-Protokollen

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren