在配置我的虚拟私有云(VPC)流日志后,我收到“访问错误”。
简短描述
如果您在配置 VPC 流日志时遇到权限问题,则会看到下列错误:
“访问错误。您的流日志的 IAM 角色没有足够的权限将日志发送到 CloudWatch 日志组。”
以下情况通常会导致此错误:
解决方法
您的流日志的 IAM 角色无权将流日志记录发布到 CloudWatch 日志组
与您的流日志关联的 IAM 角色必须具有足够的权限,才能将流日志发布到 CloudWatch Logs 中的指定日志组。IAM 角色必须属于您的 AWS 账户。请确保 IAM 角色具有下列权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
IAM 角色与流日志服务没有信任关系
请确保您的角色具有允许流日志服务代入该角色的信任关系:
1. 登录 IAM 控制台。
2. 选择角色。
3. 选择 VPC-Flow-Logs。
4. 选择信任关系。
5. 选择编辑信任策略。
6. 删除此部分中的当前代码,然后输入下列策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
7. 选择更新策略。
信任关系使您能够控制允许哪些服务代入角色。在此示例中,该关系允许 VPC Flow Logs 服务代入该角色。
信任关系未将流日志服务指定为主体
请确保信任关系将流日志服务指定为主体:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
相关信息
用于将流日志发布到 CloudWatch Logs 的 IAM 角色
VPC 流日志故障排除