Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Los registros de flujo pueden publicar los datos del registro de flujo directamente en Amazon CloudWatch.
Cuando se publican en CloudWatch Logs, los datos del registro de flujo se publican en un grupo de registros y cada pasarela de tránsito tiene un flujo de registro único en el grupo de registros. Los flujos de registro contienen registros de flujo. Puede crear varios registros de flujo que publiquen datos en el mismo grupo de registro. Si la misma puerta de enlace de tránsito está presente en uno o varios registros de flujo en el mismo grupo de registro, tendrá un flujo de registro combinado. Si ha especificado que un registro de flujo debe capturar el tráfico rechazado y otro registro de flujo debe capturar el tráfico aceptado, el flujo de registros combinado capturará todo el tráfico.
Al publicar los registros de flujo en Logs, se cobran cargos por la ingesta y el archivado de datos por los registros vendidos. CloudWatch Para obtener más información, consulta los CloudWatch precios de Amazon
En CloudWatch los registros, el campo de fecha y hora corresponde a la hora de inicio que se captura en el registro del flujo. El campo IngestionTime proporciona la fecha y la hora en que Logs recibió el registro del registro de flujo. CloudWatch La marca de tiempo es posterior a la hora de finalización capturada en la entrada de registro de flujo.
Para obtener más información sobre CloudWatch los registros, consulte Logs sent to CloudWatch Logs en la Guía del usuario de Amazon CloudWatch Logs.
Contenido
Funciones de IAM para publicar los registros de flujo en Logs CloudWatch
La función de IAM asociada al registro de flujo debe tener permisos suficientes para publicar los registros de flujo en el grupo de registros especificado en CloudWatch Logs. El rol de IAM debe pertenecerle. Cuenta de AWS
La política de IAM asociada al rol de IAM debe incluir al menos los siguientes permisos.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
} Asegúrese también de que el rol tiene una relación de confianza que permite al servicio de registros de flujo asumir ese rol.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} Le recomendamos que utilice las claves de condición aws:SourceAccount y aws:SourceArn para protegerse contra el problema del suplente confuso. Por ejemplo, podría agregar el siguiente bloque de condición a la política de confianza anterior. La cuenta fuente es la propietaria del registro de flujo y el ARN fuente es el ARN del registro de flujo. Si no conoce el ID del registro de flujo, puede reemplazar esa parte del ARN por un comodín (*) y, a continuación, actualizar la política después de crear el registro de flujo.
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}Permisos para que los usuarios de IAM pasen un rol
Los usuarios también deben tener permisos para utilizar la acción iam:PassRole para el rol de IAM que está asociado con registro de flujo.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
}
]
}