Come posso risolvere un "Access Error" ("Errore di accesso") dopo avere configurato un flusso di log VPC?

3 minuti di lettura

Ricevo il seguente messaggio di errore dopo avere configurato il mio flusso di log VPC: "Access Error. The IAM role for your flow logs does not have sufficient permissions to send logs to the CloudWatch log group." ("Errore di accesso. Il ruolo IAM per i flussi di log non dispone di autorizzazioni sufficienti per inviare i log al gruppo di log di CloudWatch.") Come posso risolvere questo problema?

Breve descrizione

Di seguito sono riportati i motivi più comuni di questo errore:

Il ruolo Identity and Access Management (IAM) per il flusso di log non dispone di autorizzazioni sufficienti per pubblicare i registri del flusso di log nel gruppo di log di Amazon CloudWatch.
Il ruolo IAM non ha una relazione di attendibilità con il servizio del flusso di log.
La relazione di attendibilità non specifica il servizio dei flussi di log come principale.

Risoluzione

Il ruolo IAM per il flusso di log non dispone di autorizzazioni sufficienti per pubblicare i registri del flusso di log nel gruppo di log di CloudWatch

Il ruolo IAM associato al flusso di log deve disporre di autorizzazioni sufficienti per pubblicare i flussi di log nel gruppo di log specificato in CloudWatch Logs. Il ruolo IAM deve appartenere al tuo account AWS.

{
 "Version":"2012-10-17"
 "Statement": [
  {
   "Effect":"Allow",
   "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents",
    "logs:DescribeLogGroups",
    "logs:DescribeLogStreams"
   ],
   "Resource":"*"
  }
 ]
}

Il ruolo IAM non ha una relazione di attendibilità con il servizio del flusso di log

Assicurati che il tuo ruolo abbia una relazione di attendibilità che consenta al servizio del flusso di log di assumere il ruolo.

1. Accedi alla console IAM.

2. Seleziona Roles (Ruoli).

3. Seleziona VPC-Flow-Logs (Flussi di log VPC).

4. Seleziona Trust relationships (Relazioni di attendibilità).

5. Seleziona Edit trust policy (Modifica policy di attendibilità).

6. Elimina il codice presente in questa sezione, quindi incolla quanto segue:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7. Seleziona Update policy (Aggiorna policy).

Le relazioni di attendibilità ti danno il controllo su quali servizi sono autorizzati ad assumere ruoli. Nell'esempio precedente, la relazione consente al servizio di flusso di log VPC di assumere il ruolo.

La relazione di attendibilità non specifica il servizio dei flussi di log come principale

Assicurati che la relazione di attendibilità specifichi il servizio dei flussi di log come Principal (Principale), come mostrato nell'esempio seguente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Informazioni correlate

Ruoli IAM per la pubblicazione di flussi di log in CloudWatch Log

Risoluzione dei problemi relativi ai flussi di log del VPC

Argomenti

Networking e distribuzione di contenuti

Tag

Amazon VPC

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso risolvere gli errori "401 Unauthorized" da un endpoint REST API di API Gateway dopo aver configurato un pool di utenti Amazon Cognito?
AWS UFFICIALEAggiornata 2 anni fa
Quali sono le configurazioni dei punti di accesso EFS comuni?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi relativi agli errori di accesso negato per un utente root o amministratore?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere gli errori di configurazione BYOIP più comuni nel mio VPC?
AWS UFFICIALEAggiornata 10 mesi fa