VPC 흐름 로그를 구성한 후 “액세스 오류”를 해결하려면 어떻게 해야 하나요?
2분 분량
0
Virtual Private Cloud(VPC) 흐름 로그를 구성한 후 “액세스 오류”가 발생합니다.
간략한 설명
VPC 흐름 로그를 구성할 때 권한 문제가 발생하는 경우 다음 오류가 표시됩니다.
"액세스 오류. 흐름 로그의 IAM 역할에 CloudWatch 로그 그룹에 로그를 보낼 수 있는 충분한 권한이 없습니다."
이 오류는 일반적으로 다음과 같은 시나리오에서 발생합니다.
- 흐름 로그의 Identity and Access Management(IAM) 역할에 Amazon CloudWatch 로그 그룹에 흐름 로그 레코드를 게시할 권한이 없습니다.
- IAM 역할에 흐름 로그 서비스와의 트러스트 관계가 없습니다.
- 트러스트 관계에서 흐름 로그 서비스를 보안 주체로 지정하지 않았습니다.
해결 방법
흐름 로그의 IAM 역할에 CloudWatch 로그 그룹에 흐름 로그 레코드를 게시할 권한이 없습니다.
흐름 로그와 연결된 IAM 역할에 CloudWatch Logs의 지정된 로그 그룹에 흐름 로그를 게시할 수 있는 충분한 권한이 있어야 합니다. IAM 역할은 AWS 계정에 속해야 합니다. IAM 역할에 다음 권한이 있는지 확인하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
IAM 역할에 흐름 로그 서비스와의 트러스트 관계가 없습니다.
역할에 흐름 로그 서비스가 역할을 맡도록 허용하는 트러스트 관계가 있는지 확인하세요.
1. IAM 콘솔에 로그인합니다.
2. 역할을 선택합니다.
3. VPC-Flow-Logs를 선택합니다.
4. 트러스트 관계를 선택합니다.
5. 트러스트트 정책 편집을 선택합니다.
6. 이 섹션에서 기존 코드를 삭제한 후 다음 정책을 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
7. 정책 업데이트를 선택합니다.
트러스트 관계를 통해 어떤 서비스가 역할을 맡도록 허용할지 제어할 수 있습니다. 이 예시에서는 관계를 통해 VPC 흐름 로그 서비스가 역할을 맡도록 허용합니다.
트러스트 관계에서 흐름 로그 서비스를 보안 주체로 지정하지 않았습니다.
트러스트 관계에서 흐름 로그 서비스를 보안 주체로 지정해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
관련 정보
AWS 공식업데이트됨 일 년 전
댓글 없음
관련 콘텐츠
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 일 년 전
- AWS 공식업데이트됨 일 년 전
