Rol de IAM para publicar registros de flujo en CloudWatch Logs - Amazon Virtual Private Cloud
Crear un rol de IAM para registros de flujo

Rol de IAM para publicar registros de flujo en CloudWatch Logs

El rol de IAM asociado con el registro de flujo debe tener permisos suficientes para publicar registros de flujo en el grupo de registro especificado en CloudWatch Logs. El rol de IAM debe pertenecer a la cuenta de AWS.

La política de IAM asociada al rol de IAM debe incluir al menos los siguientes permisos.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Asegúrese de que el rol posee la siguiente política de confianza, la cual permite al servicio de registros de flujo asumir ese rol.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Le recomendamos que utilice las claves de condición aws:SourceAccount y aws:SourceArn para protegerse contra el problema del suplente confuso. Por ejemplo, podría agregar el siguiente bloque de condición a la política de confianza anterior. La cuenta fuente es la propietaria del registro de flujo y el ARN fuente es el ARN del registro de flujo. Si no conoce el ID del registro de flujo, puede reemplazar esa parte del ARN por un comodín (*) y, a continuación, actualizar la política después de crear el registro de flujo.

"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Crear un rol de IAM para registros de flujo

Se puede actualizar un rol existente tal como se ha descrito anteriormente. También puede emplear el siguiente procedimiento para crear un nuevo rol y usarlo con los registros de flujo. Especificará esta función al crear el registro de flujo.

Para crear un rol de IAM para registros de flujo

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Políticas.

  3. Elija Create Policy (Crear política).

  4. En la página Create policy (Crear política), haga lo siguiente:

    1. Elija JSON.

    2. Reemplace el contenido de esta ventana por la política de permisos que aparece al principio de esta sección.

    3. Elija Siguiente.

    4. Introduzca un nombre para su política y una descripción y etiquetas opcionales y, a continuación, elija Create policy (Crear política).

  5. Seleccione Roles en el panel de navegación.

  6. Elija Crear rol.

  7. En Trusted entity type (Tipo de entidad de confianza), elija Custom trust policy (Política de confianza personalizada). En Custom trust policy (Política de confianza personalizada), reemplace "Principal": {}, con lo siguiente y luego elija Next (Siguiente).

    "Principal": {
   "Service": "vpc-flow-logs.amazonaws.com"
},

  8. En la página Add permissions (Agregar permisos), seleccione la casilla de verificación de la política que creó anteriormente en este procedimiento y luego elija Next (Siguiente).

  9. Ingrese un nombre para el rol y, opcionalmente, especifique una descripción.

  10. Elija Create role (Crear rol).