VPC フローログを設定した後、「アクセスエラー」を解決するにはどうすればよいですか?

最終更新日: 2022 年 3 月 31 日

VPC フローログを設定した後に、次のエラーメッセージが表示されます。

「アクセスエラー。フローログの IAM ロールに、CloudWatch ロググループにログを送信するための十分な許可がありません。」

このエラーはどのように解決すればよいですか。

簡単な説明

このエラーが発生する一般的な原因は次のとおりです。

  • フローログのIdentity and Access Management (IAM) ロールには、Amazon CloudWatch ロググループにフローログレコードを発行するための十分な許可がありません。
  • IAM ロールは、フローログサービスとの信頼関係を持ちません。
  • 信頼関係では、フローログサービスがプリンシパルとして指定されていません。

解決方法

フローログの IAM ロールには、CloudWatch ロググループにフローログレコードを発行するための十分な許可がありません。

フローログに関連付けられた IAM ロールには、CloudWatch Logs 内の指定されたロググループにフローログを発行するための十分な許可が必要です。IAM ロールは AWS アカウントに属している必要があります。

{
 "Version":"2012-10-17"
 "Statement": [
  {
   "Effect":"Allow",
   "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents",
    "logs:DescribeLogGroups",
    "logs:DescribeLogStreams"
   ],
   "Resource":"*"
  }
 ]
}

IAM ロールは、フローログサービスとの信頼関係を持ちません。

フローログサービスがロールを引き受けることができる信頼関係がロールにあることを確認します。

1.    IAM コンソールにログインします。

2.    [ロール] を選択します。

3.    [VPC フローログ] を選択します。    

4.    [Trust Relationships] (信頼関係) を選択します。

5.    [信頼ポリシーの編集] を選択します。

6.    このセクションの現在のコードを削除し、次のコードを貼り付けます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7.    [Update policy] (ポリシーの更新) を選択します。

信頼関係により、ロールを引き受けることができるサービスをコントロールできます。前の例では、この関係によって VPC フローログサービスがロールを引き受けることが許可されています。

信頼関係で、フローログサービスがプリンシパルとして指定されていない

次の例に示すように、信頼関係でフローログサービスがプリンシパルとして指定されていることを確認します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

この記事は役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?