Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

¿Cómo puedo resolver un “Access Error” (Error de acceso) después de configurar el registro de flujo de la VPC?

3 minutos de lectura
0

Aparece el siguiente mensaje de error después de configurar el registro de flujo de la VPC: “Access Error. The IAM role for your flow logs does not have sufficient permissions to send logs to the CloudWatch log group” (Error de acceso. El rol de IAM para sus registros de flujo no tiene permisos suficientes para enviar registros al grupo de registros de CloudWatch). ¿Cómo puedo solucionar este problema?

Descripción corta

A continuación se explican los motivos comunes de este error:

  • El rol de Identity and Access Management (IAM) para su registro de flujo no tiene permisos suficientes para publicar registros de flujo en el grupo de registros de Amazon CloudWatch.
  • El rol de IAM no tiene una relación de confianza con el servicio de registros de flujo.
  • La relación de confianza no especifica el servicio de registros de flujo como la entidad principal.

Resolución

El rol de IAM para su registro de flujo no tiene permisos suficientes para publicar registros de flujo en el grupo de registros de CloudWatch

El rol de IAM que está asociado a su registro de flujo debe tener permisos suficientes para publicar registros de flujo en el grupo de registros especificado en CloudWatch Logs. El rol de IAM debe pertenecer a su cuenta de AWS.

{
 "Version":"2012-10-17"
 "Statement": [
  {
   "Effect":"Allow",
   "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents",
    "logs:DescribeLogGroups",
    "logs:DescribeLogStreams"
   ],
   "Resource":"*"
  }
 ]
}

El rol de IAM no tiene una relación de confianza con el servicio de registros de flujo

Asegúrese de que su rol tenga una relación de confianza que permita que el servicio de registros de flujo asuma el rol.

1.    Inicie sesión en la consola de IAM.

2.    Seleccione Roles.

3.    Seleccione VPC-Flow-Logs (VPC-Flujo-Registros).    

4.    Seleccione Trust relationships (Relaciones de confianza).

5.    Seleccione Edit trust policy (Editar política de confianza).

6.    Elimine el código actual de esta sección y, a continuación, pegue lo siguiente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7.    Seleccione Update policy (Actualizar política).

Las relaciones de confianza le dan control sobre qué servicios pueden asumir roles. En el ejemplo anterior, la relación permite que el servicio de registros de flujo de la VPC asuma el rol.

La relación de confianza no especifica el servicio de registros de flujo como la entidad principal

Asegúrese de que la relación de confianza especifica el servicio de registros de flujo como Principal (Entidad principal), como se muestra en el siguiente ejemplo:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Información relacionada

Roles de IAM para publicar registros de flujo en CloudWatch Logs

Solucionar problemas de registros de flujo de VPC

Temas
Redes y entrega de contenido
Etiquetas
Amazon VPC
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años

Contenido relevante