Estou recebendo a seguinte mensagem de erro depois de configurar meu log de fluxo da VPC:
“Erro de acesso. A função do IAM para seus logs de fluxo não tem permissões suficientes para enviar logs para o grupo de logs do CloudWatch. “
Como posso solucionar isso?
Breve descrição
A seguir estão os motivos comuns para o erro:
- A função Identity and Access Management (IAM) do seu log de fluxo não tem permissões suficientes para publicar registros de log de fluxo no grupo de logs do Amazon CloudWatch.
- A função do IAM não tem uma relação de confiança com o serviço de log de fluxo.
- A relação de confiança não especifica o serviço de logs de fluxo como a entidade principal.
Resolução
A função do IAM para seu log de fluxo não tem permissões suficientes para publicar registros de log de fluxo no grupo de logs do CloudWatch
A função do IAM associada ao seu log de fluxo deve ter permissões suficientes para publicar logs de fluxo no grupo de logs especificado no CloudWatch Logs. A função do IAM deve pertencer à sua conta da AWS.
{
"Version":"2012-10-17"
"Statement": [
{
"Effect":"Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource":"*"
}
]
}
A função do IAM não tem uma relação de confiança com o serviço de log de fluxo
Certifique-se de que sua função tenha uma relação de confiança que permita que o serviço de log de fluxo assuma a função.
1. Fazer login no console do IAM.
2. Selecione Funções.
3. Selecione VPC-Flow-Logs.
4. Escolha Relacionamentos de confiança.
5. Selecione Editar política de confiança.
6. Exclua o código atual nesta seção e cole o seguinte:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
7. Selecione Atualizar política.
Os relacionamentos de confiança dão a você controle sobre quais serviços podem assumir funções. No exemplo anterior, o relacionamento permite que o serviço de log de fluxo da VPC assuma a função.
A relação de confiança não especifica o serviço de log de fluxo como o principal
Certifique-se de que a relação de confiança especifique o serviço de log de fluxo como a Entidade principal, conforme mostrado no exemplo a seguir:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Informações relacionadas
Funções do IAM para publicar logs de fluxo no CloudWatch Logs
Solucionar problemas de logs de fluxo da VPC