VPC フローログを設定した後、「アクセスエラー」を解決するにはどうすればよいですか?
所要時間1分
0
VPC フローログを設定した後に、次のエラーメッセージが表示されます。 「アクセスエラー。フローログの IAM ロールに、CloudWatch ロググループにログを送信するための十分な許可がありません。」 このエラーはどのように解決すればよいですか。
簡単な説明
このエラーが発生する一般的な原因は次のとおりです。
- フローログのIdentity and Access Management (IAM) ロールには、Amazon CloudWatch ロググループにフローログレコードを発行するための十分な許可がありません。
- IAM ロールは、フローログサービスとの信頼関係を持ちません。
- 信頼関係では、フローログサービスがプリンシパルとして指定されていません。
解決方法
フローログの IAM ロールには、CloudWatch ロググループにフローログレコードを発行するための十分な許可がありません。
フローログに関連付けられた IAM ロールには、CloudWatch Logs 内の指定されたロググループにフローログを発行するための十分な許可が必要です。IAM ロールは AWS アカウントに属している必要があります。
{ "Version":"2012-10-17" "Statement": [ { "Effect":"Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource":"*" } ] }
IAM ロールは、フローログサービスとの信頼関係を持ちません。
フローログサービスがロールを引き受けることができる信頼関係がロールにあることを確認します。
1. IAM コンソールにログインします。
2. [ロール] を選択します。
3. [VPC フローログ] を選択します。
4. [Trust Relationships] (信頼関係) を選択します。
5. [信頼ポリシーの編集] を選択します。
6. このセクションの現在のコードを削除し、次のコードを貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
7. [Update policy] (ポリシーの更新) を選択します。
信頼関係により、ロールを引き受けることができるサービスをコントロールできます。前の例では、この関係によって VPC フローログサービスがロールを引き受けることが許可されています。
信頼関係で、フローログサービスがプリンシパルとして指定されていない
次の例に示すように、信頼関係でフローログサービスがプリンシパルとして指定されていることを確認します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
関連情報
AWS公式更新しました 1年前
コメントはありません