Comment puis-je résoudre une « erreur d'accès » après avoir configuré mon journal de flux VPC ?

Lecture de 3 minute(s)
0

Après avoir configuré le journal des flux de mon cloud privé virtuel (VPC), je reçois le message « Erreur d'accès ».

Brève description

Si vous rencontrez un problème d'autorisations lorsque vous configurez votre journal de flux VPC, l'erreur suivante s'affiche :

« Erreur d'accès. Le rôle IAM pour vos journaux de flux ne dispose pas des autorisations suffisantes pour envoyer des journaux au groupe de journaux CloudWatch ».

Les scénarios suivants sont souvent à l'origine de cette erreur :

  • Le rôle de gestion des identités et des accès (IAM) de votre journal de flux n'est pas autorisé à publier les enregistrements du journal de flux dans le groupe de journaux Amazon CloudWatch.
  • Le rôle IAM n'a pas de relation de confiance avec le service Flow Logs.
  • La relation de confiance ne spécifie pas le service Flow Logs comme principal.

Résolution

Le rôle IAM pour votre journal de flux n'est pas autorisé à publier les enregistrements du journal de flux dans le groupe de journaux CloudWatch

Le rôle IAM associé à votre journal de flux doit disposer d'autorisations suffisantes pour publier des journaux de flux dans le groupe de journaux spécifié dans CloudWatch Logs. Le rôle IAM doit appartenir à votre compte AWS. Assurez-vous que le rôle IAM dispose des autorisations suivantes :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Le rôle IAM n'a pas de relation de confiance avec le service Flow Logs

Assurez-vous que votre rôle possède une relation de confiance qui permet au service Flow Logs d'assumer le rôle :

1.    Connectez-vous à la console IAM.

2.    Sélectionnez Rôles.

3.    Sélectionnez VPC-Flow-Logs.

4.    Sélectionnez Relations de confiance.

5.    Sélectionnez Modifier la politique de confiance.

6.    Supprimez le code actuel dans cette section, puis entrez la politique suivante :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

7.    Sélectionnez Mettre à jour la politique.

Les relations de confiance vous permettent de contrôler quels services sont autorisés à assumer des rôles. Dans cet exemple, la relation permet au service VPC Flow Logs d'assumer le rôle.

La relation de confiance ne spécifie pas le service Flow Logs en tant que principal

Assurez-vous que la relation de confiance indique que le service Flow Logs est le principal :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Informations connexes

Rôle IAM pour la publication des journaux de flux dans CloudWatch Logs

Résoudre les problèmes liés aux journaux de flux VPC

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an