AWSSupport-EnableVPCFlowLogs - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-EnableVPCFlowLogs

Descripción

El manual de procedimientos AWSSupport-EnableVPCFlowLogs crea registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) para las subredes, las interfaces de red y las VPC en su Cuenta de AWS. Si crea un log de flujo para una subred o VPC, se supervisará cada interfaz de red elástica de Amazon VPC o la subred. Los datos del registro de flujo se publican en el grupo de CloudWatch registros de Amazon Logs o en el depósito de Amazon Simple Storage Service (Amazon S3) que especifique. Para obtener más información sobre los registros de flujo, consulte Registros de flujo de VPC en la Guía del usuario de Amazon VPC.

importante

Los cargos por ingesta y archivado de datos para los registros vendidos se aplican cuando publica los CloudWatch registros de flujo en Logs o en Amazon S3. Para obtener más información, consulte Registros de flujo de precios.

Ejecuta esta automatización (consola)

nota

s3Al seleccionar el destino del registro, asegúrese de que la política de compartimentos permita al servicio de entrega de registros acceder al depósito. Para obtener más información, consulte Permisos de bucket de Amazon S3 para registros de flujo.

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • DeliverLogsPermissionArn

    Tipo: cadena

    Descripción: (opcional) El ARN de la función de IAM que permite a Amazon Elastic Compute Cloud (Amazon EC2) publicar registros de flujo en CloudWatch el grupo de registros de su cuenta. Si especifica s3 para el parámetro LogDestinationType, no proporcione un valor para este parámetro. Para obtener más información, consulte Publicar registros de flujo en CloudWatch registros en la Guía del usuario de Amazon VPC.

  • LogDestinationARN

    Tipo: cadena

    Descripción: (opcional) el ARN del recurso en el que se publican los datos del registro de flujo. Si cloud-watch-logs se especifica para el LogDestinationType parámetro, proporcione el ARN del grupo de CloudWatch registros en el que desea publicar los datos del registro de flujo. También puede utilizar LogGroupName en su lugar. Si se especifica s3 para el parámetro LogDestinationType, debe especificar el ARN del bucket de Amazon S3 en el que desea publicar los datos del registro de flujo para este parámetro. También puede especificar una carpeta de bucket.

    importante

    s3Al elegir uno, LogDestinationType debe asegurarse de que el bucket seleccionado siga las prácticas recomendadas de seguridad de Amazon S3 Bucket y de que cumpla con las leyes de privacidad de datos de su organización y región geográfica.

  • LogDestinationType

    Tipo: cadena

    Valores válidos: cloud-watch-logs | s3

    Descripción: (obligatorio) determina dónde se publican los datos del registro de flujo. Si especifica LogDestinationType como s3, no especifique DeliverLogsPermissionArn ni LogGroupName.

  • LogFormat

    Tipo: cadena

    Descripción: (opcional) los campos que se van a incluir en el registro de logs de flujo, en el orden en que deben aparecer. Para obtener una lista de los campos disponibles, consulte Entradas de registros de flujo en la Guía del usuario de Amazon VPC. Si no proporciona un valor para este parámetro, el registro de flujo se crea con el formato predeterminado. Si especifica este parámetro, debe especificar al menos un campo.

  • LogGroupName

    Tipo: cadena

    Descripción: (opcional) Nombre del grupo de CloudWatch registros donde se publican los datos del registro de flujo. Si especifica s3 para el parámetro LogDestinationType, no proporcione un valor para este parámetro.

  • ResourceIds

    Tipo: StringList

    Descripción: (obligatorio) una lista separada por comas de los ID de las subredes, interfaces de red elásticas o VPC para las que desea crear un registro de flujo.

  • TrafficType

    Tipo: cadena

    Valores válidos: ACCEPT | REJECT | ALL

    Descripción: (obligatorio) el tipo de tráfico que se va a registrar. Puede registrar el tráfico que el recurso acepta o rechaza, o todo el tráfico.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:TagRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • s3:GetBucketLocation

  • s3:GetBucketAcl

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:ListBucket

  • s3:PutObject

Ejemplo de política


        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "SSM Execution Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ssm:StartAutomationExecution",
                        "ssm:GetAutomationExecution"
                    ],
                    "Resource": "*"
                },
                {
                    "Sid": "EC2 FlowLogs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ec2:CreateFlowLogs",
                        "ec2:DeleteFlowLogs",
                        "ec2:DescribeFlowLogs"
                    ],
                    "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}"
                },
                {
                    "Sid": "IAM CreateRole Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "iam:AttachRolePolicy",
                        "iam:CreateRole",
                        "iam:CreatePolicy",
                        "iam:DeletePolicy",
                        "iam:DeleteRole",
                        "iam:DeleteRolePolicy",
                        "iam:GetPolicy",
                        "iam:GetRole",
                        "iam:TagRole",
                        "iam:PassRole",
                        "iam:PutRolePolicy",
                        "iam:UpdateRole"
                    ],
                    "Resource": [
                        "arn:{partition}:iam::{account-id}:role/{role name}",
                        "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole"
                    ]
                },
                {
                    "Sid": "CloudWatch Logs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "logs:CreateLogDelivery",
                        "logs:CreateLogGroup",
                        "logs:DeleteLogDelivery",
                        "logs:DeleteLogGroup",
                        "logs:DescribeLogGroups",
                        "logs:DescribeLogStreams"
                    ],
                    "Resource": [
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}",
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*"
                    ]
                },
                {
                    "Sid": "S3 Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "s3:GetBucketLocation",
                        "s3:GetBucketPublicAccessBlock",
                        "s3:GetAccountPublicAccessBlock",
                        "s3:GetBucketPolicyStatus",
                        "s3:GetBucketAcl",
                        "s3:ListBucket",
                        "s3:PutObject"
                    ],
                    "Resource": [
                        "arn:{partition}:s3:::{bucket name}",
                        "arn:{partition}:s3:::{bucket name}/*"
                    ]
                }
            ]
        }

Pasos de documentos

  • aws:branch: se ramifica en función del valor especificado para el parámetro LogDestinationType.

  • aws:executeScript- Comprueba si el Amazon Simple Storage Service (Amazon S3) de destino puede conceder acceso de lectura o public escritura a sus objetos.

  • aws:executeScript: crea un grupo de registro si no se especifica ningún valor para el parámetro LogDestinationARN, y se especifica cloud-watch-logs para el parámetro LogDestinationType.

  • aws:executeScript: crea registros de flujo en función de los valores especificados en los parámetros del manual de procedimientos.