해결 방법
흐름 로그의 IAM 역할에 권한이 충분하지 않아 CloudWatch 로그 그룹에 흐름 로그 레코드를 게시할 수 없음
흐름 로그와 연결된 IAM 역할에 충분한 권한이 있어야 CloudWatch Logs의 지정된 로그 그룹에 흐름 로그를 게시할 수 있습니다. 해당 IAM 역할이 AWS 계정에 속해야 합니다.
{ "Version":"2012-10-17" "Statement": [ { "Effect":"Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource":"*" } ]}IAM 역할에 흐름 로그 서비스와의 신뢰 관계가 없음
역할에 흐름 로그 서비스로 하여금 해당 역할을 맡도록 허용하는 신뢰 관계가 있어야 합니다.
1. IAM 콘솔에 로그인합니다.
2. 역할(Roles)을 선택합니다.
3. VPC-Flow-Logs를 선택합니다.
4. 신뢰 관계(Trust relationships)를 선택합니다.
5. 신뢰 정책 편집(Edit trust policy)을 선택합니다.
6. 이 섹션의 현재 코드를 삭제하고, 다음을 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}7. 정책 업데이트(Update policy)를 선택합니다.
신뢰 관계는 역할을 맡도록 허용된 서비스를 사용자가 주도적으로 관리할 수 있게 해줍니다. 앞선 예시의 경우, 이 관계가 VPC 흐름 로그 서비스에 역할을 맡도록 허용합니다.
신뢰 관계가 해당 흐름 로그 서비스를 보안 주체로 지정하지 않음
신뢰 관계가 다음 예시와 같이 해당 흐름 로그 서비스를 보안 주체(Principal)로 지정해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}