Come posso risolvere un "Access Error" ("Errore di accesso") dopo avere configurato un flusso di log VPC?

Ultimo aggiornamento: 31/03/2022

Ricevo il seguente messaggio di errore dopo avere configurato il mio flusso di log VPC:

"Access Error. The IAM role for your flow logs does not have sufficient permissions to send logs to the CloudWatch log group." ("Errore di accesso. Il ruolo IAM per i flussi di log non dispone di autorizzazioni sufficienti per inviare i log al gruppo di log di CloudWatch.")

Come posso risolvere questo problema?

Breve descrizione

Di seguito sono riportati i motivi più comuni di questo errore:

  • Il ruolo Identity and Access Management (IAM) per il flusso di log non dispone di autorizzazioni sufficienti per pubblicare i registri del flusso di log nel gruppo di log di Amazon CloudWatch.
  • Il ruolo IAM non ha una relazione di attendibilità con il servizio del flusso di log.
  • La relazione di attendibilità non specifica il servizio dei flussi di log come principale.

Risoluzione

Il ruolo IAM per il flusso di log non dispone di autorizzazioni sufficienti per pubblicare i registri del flusso di log nel gruppo di log di CloudWatch

Il ruolo IAM associato al flusso di log deve disporre di autorizzazioni sufficienti per pubblicare i flussi di log nel gruppo di log specificato in CloudWatch Logs. Il ruolo IAM deve appartenere al tuo account AWS.

{
 "Version":"2012-10-17"
 "Statement": [
  {
   "Effect":"Allow",
   "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents",
    "logs:DescribeLogGroups",
    "logs:DescribeLogStreams"
   ],
   "Resource":"*"
  }
 ]
}

Il ruolo IAM non ha una relazione di attendibilità con il servizio del flusso di log

Assicurati che il tuo ruolo abbia una relazione di attendibilità che consenta al servizio del flusso di log di assumere il ruolo.

1.    Accedi alla console IAM.

2.    Seleziona Roles (Ruoli).

3.    Seleziona VPC-Flow-Logs (Flussi di log VPC).    

4.    Seleziona Trust relationships (Relazioni di attendibilità).

5.    Seleziona Edit trust policy (Modifica policy di attendibilità).

6.    Elimina il codice presente in questa sezione, quindi incolla quanto segue:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7.    Seleziona Update policy (Aggiorna policy).

Le relazioni di attendibilità ti danno il controllo su quali servizi sono autorizzati ad assumere ruoli. Nell'esempio precedente, la relazione consente al servizio di flusso di log VPC di assumere il ruolo.

La relazione di attendibilità non specifica il servizio dei flussi di log come principale

Assicurati che la relazione di attendibilità specifichi il servizio dei flussi di log come Principal (Principale), come mostrato nell'esempio seguente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?