Je souhaite obtenir les journaux Amazon CloudWatch liés à l'activité de mon serveur avec AWS Transfer pour SFTP (SSH File Transfer Protocol). Je dois créer un rôle AWS Identity and Access Management (IAM) qui autorise AWS SFTP à conserver ces journaux CloudWatch. Comment puis-je créer ce rôle IAM avec l'interface de ligne de commande AWS (AWS CLI) ?

Important : Avant de commencer, l'interface de ligne de commande AWS doit être installée et configurée.

Suivez la procédure ci-dessous pour créer un rôle IAM qui autorise AWS SFTP à conserver les journaux CloudWatch liés à l'activité de votre serveur.

1.    À partir de l'invite de commande de votre terminal, créez un fichier texte nommé « transfer-trust-relationship.json » contenant le texte suivant. Cette déclaration autorise AWS SFTP à assumer un rôle.

{

"Version": "2012-10-17",
"Statement": [
      {
      "Effect": "Allow",
      "Principal": {
            "Service": "transfer.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
      }
   ]
}

2.    Créez un autre fichier texte nommé « transfer-cloudwatch-logs-policy.json » contenant le texte suivant. Cette déclaration autorise la création de journaux CloudWatch.

{
      "Version": "2012-10-17",
      "Statement": [
            {
                  "Sid": "VisualEditor0",
                  "Effect": "Allow",
                  "Action": [
                        "logs:CreateLogStream",
                        "logs:DescribeLogStreams",
                        "logs:CreateLogGroup",
                        "logs:PutLogEvents"
                  ],
                  "Resource": "*"
            }
      ]
}

3.    Exécutez cette commande de l'interface de ligne de commande AWS pour créer un rôle IAM contenant la déclaration qui autorise AWS SFTP à assumer le rôle :

aws iam create-role --role-name myAWSTransferLogRole --assume-role-policy-document file://transfer-trust-relationship.json --description "Access to my CloudWatch logs for AWS Transfer"

4.    Exécutez cette commande pour attacher au rôle IAM la stratégie autorisant la création des journaux CloudWatch :

aws iam put-role-policy --role-name myAWSTransferLogRole --policy-name transfer-cloudwatch-logs-policy --policy-document file://transfer-cloudwatch-logs-policy.json

Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 21/12/2018