Como posso resolver um “erro de acesso” depois de configurar meu log de fluxo da VPC?

Data da última atualização: 31/03/2022

Estou recebendo a seguinte mensagem de erro depois de configurar meu log de fluxo da VPC:

“Erro de acesso. A função do IAM para seus logs de fluxo não tem permissões suficientes para enviar logs para o grupo de logs do CloudWatch. “

Como posso solucionar isso?

Breve descrição

A seguir estão os motivos comuns para o erro:

  • A função Identity and Access Management (IAM) do seu log de fluxo não tem permissões suficientes para publicar registros de log de fluxo no grupo de logs do Amazon CloudWatch.
  • A função do IAM não tem uma relação de confiança com o serviço de log de fluxo.
  • A relação de confiança não especifica o serviço de logs de fluxo como a entidade principal.

Resolução

A função do IAM para seu log de fluxo não tem permissões suficientes para publicar registros de log de fluxo no grupo de logs do CloudWatch

A função do IAM associada ao seu log de fluxo deve ter permissões suficientes para publicar logs de fluxo no grupo de logs especificado no CloudWatch Logs. A função do IAM deve pertencer à sua conta da AWS.

{
 "Version":"2012-10-17"
 "Statement": [
  {
   "Effect":"Allow",
   "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents",
    "logs:DescribeLogGroups",
    "logs:DescribeLogStreams"
   ],
   "Resource":"*"
  }
 ]
}

A função do IAM não tem uma relação de confiança com o serviço de log de fluxo

Certifique-se de que sua função tenha uma relação de confiança que permita que o serviço de log de fluxo assuma a função.

1.    Fazer login no console do IAM.

2.    Selecione Funções.

3.    Selecione VPC-Flow-Logs.    

4.    Escolha Relacionamentos de confiança.

5.    Selecione Editar política de confiança.

6.    Exclua o código atual nesta seção e cole o seguinte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7.    Selecione Atualizar política.

Os relacionamentos de confiança dão a você controle sobre quais serviços podem assumir funções. No exemplo anterior, o relacionamento permite que o serviço de log de fluxo da VPC assuma a função.

A relação de confiança não especifica o serviço de log de fluxo como o principal

Certifique-se de que a relação de confiança especifique o serviço de log de fluxo como a Entidade principal, conforme mostrado no exemplo a seguir:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}