Comment puis-je résoudre une « erreur d'accès » après avoir configuré mon journal de flux VPC ?

Date de la dernière mise à jour : 31/03/2022

Je reçois le message d'erreur suivant après la configuration de mon journal de flux VPC :

« Access Error. The IAM role for your flow logs does not have sufficient permissions to send logs to the CloudWatch log group. » (« Erreur d'accès : Le rôle IAM pour vos journaux de flux ne dispose pas des autorisations suffisantes pour envoyer des journaux au groupe de journaux CloudWatch. »)

Comment résoudre ce problème ?

Brève description

Les raisons courantes de cette erreur sont les suivantes :

  • Le rôle Identity and Access Management (IAM) de votre journal de flux ne dispose pas des autorisations suffisantes pour publier des enregistrements de journaux de flux dans le groupe de journaux Amazon CloudWatch.
  • Le rôle IAM n'a pas de relation d'approbation avec le service de journaux de flux.
  • La relation d'approbation ne spécifie pas le service de journaux de flux en tant que principal.

Résolution

Le rôle IAM de votre journal de flux ne dispose pas des autorisations suffisantes pour publier des enregistrements de journaux de flux dans le groupe de journaux CloudWatch

Le rôle IAM associé à votre journal de flux doit disposer d'autorisations suffisantes pour publier des journaux de flux dans le groupe de journaux spécifié dans CloudWatch Logs. Le rôle IAM doit appartenir à votre compte AWS.

{
 "Version":"2012-10-17"
 "Statement": [
  {
   "Effect":"Allow",
   "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents",
    "logs:DescribeLogGroups",
    "logs:DescribeLogStreams"
   ],
   "Resource":"*"
  }
 ]
}

Le rôle IAM n'a pas de relation d'approbation avec le service de journaux de flux

Assurez-vous que votre rôle possède une relation d'approbation qui permet au service de journaux de flux d'assumer le rôle.

1.    Connectez-vous à la console IAM.

2.    Sélectionnez Roles (Rôles).

3.    Sélectionnez VPC-Flow-Logs (Journaux de flux VPC).    

4.    Sélectionnez Trust relationships (Relations d'approbation).

5.    Sélectionnez Edit trust policy (Modifier la politique d'approbation).

6.    Supprimez le code actuel de cette section, puis collez ce qui suit :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7.    Sélectionnez Update policy (Mettre à jour la politique).

Les relations de confiance vous permettent de contrôler les services autorisés à assumer des rôles. Dans l'exemple précédent, la relation permet au service de journaux de flux VPC d'assumer le rôle.

La relation d'approbation ne spécifie pas le service de journaux de flux en tant que principal

Assurez-vous que la relation d'approbation spécifie le service de journaux de flux en tant que principal, comme illustré dans l'exemple suivant :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?