AWSSupport-EnableVPCFlowLogs - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-EnableVPCFlowLogs

Description

Le AWSSupport-EnableVPCFlowLogs runbook crée les journaux de flux Amazon Virtual Private Cloud (Amazon VPC) pour les sous-réseaux, les interfaces réseau et les VPC de votre. Compte AWS Si vous créez un journal de flux pour un sous-réseau ou un VPC, chaque interface réseau élastique de ce sous-réseau ou d'Amazon VPC est surveillée. Les données des journaux de flux sont publiées dans le groupe de CloudWatch journaux Amazon Logs ou dans le compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour plus d'informations sur les journaux de flux, consultez la section Journaux de flux VPC dans le guide de l'utilisateur Amazon VPC.

Important

Les frais d'ingestion de données et d'archivage pour les journaux vendus s'appliquent lorsque vous publiez des journaux de flux sur CloudWatch Logs ou sur Amazon S3. Pour plus d'informations, voir la tarification de Flow Logs

Exécuter cette automatisation (console)

Note

Lors de la sélection s3 comme destination du journal, assurez-vous que la politique du compartiment autorise le service de livraison des journaux à accéder au compartiment. Pour plus d'informations, consultez les autorisations du compartiment Amazon S3 pour les journaux de flux.

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Linux,macOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • DeliverLogsPermissionArn

    Type : chaîne

    Description : (Facultatif) L'ARN du rôle IAM qui permet à Amazon Elastic Compute Cloud (Amazon EC2) de publier des journaux de flux dans le groupe de journaux Logs de votre CloudWatch compte. Si vous spécifiez s3 le LogDestinationType paramètre, ne fournissez pas de valeur pour ce paramètre. Pour plus d'informations, consultez Publier des journaux de flux dans des CloudWatch journaux dans le guide de l'utilisateur Amazon VPC.

  • LogDestinationARN

    Type : chaîne

    Description : (Facultatif) L'ARN de la ressource sur laquelle les données du journal de flux sont publiées. Si le LogDestinationType paramètre cloud-watch-logs est spécifié, indiquez l'ARN du groupe de CloudWatch journaux de journaux dans lequel vous souhaitez publier les données des journaux de flux. Vous pouvez également utiliser LogGroupName à la place. Si le LogDestinationType paramètre s3 est spécifié, vous devez spécifier l'ARN du compartiment Amazon S3 dans lequel vous souhaitez publier les données du journal de flux pour ce paramètre. Vous pouvez également spécifier un dossier dans le compartiment.

    Important

    Lorsque LogDestinationType vous le choisissezs3, vous devez vous assurer que le compartiment sélectionné respecte les meilleures pratiques en matière de sécurité des compartiments Amazon S3 et que vous respectez les lois sur la confidentialité des données applicables à votre organisation et à votre région géographique.

  • LogDestinationType

    Type : chaîne

    Valeurs valides : cloud-watch-logs | s3

    Description : (Obligatoire) Détermine où les données du journal de flux sont publiées. Si vous spécifiez LogDestinationType commes3, ne spécifiez pas DeliverLogsPermissionArn ouLogGroupName.

  • LogFormat

    Type : chaîne

    Description : (Facultatif) Les champs à inclure dans le journal de flux et l'ordre dans lequel ils doivent apparaître dans l'enregistrement. Pour obtenir la liste des champs disponibles, consultez les enregistrements du journal de flux dans le guide de l'utilisateur Amazon VPC. Si vous ne fournissez aucune valeur pour ce paramètre, le journal de flux est créé selon le format par défaut. Si vous spécifiez ce paramètre, vous devez spécifier au moins un champ.

  • LogGroupName

    Type : chaîne

    Description : (Facultatif) Nom du groupe de CloudWatch journaux dans lequel les données des journaux de flux sont publiées. Si vous spécifiez s3 le LogDestinationType paramètre, ne fournissez pas de valeur pour ce paramètre.

  • ResourceIds

    Type : StringList

    Description : (Obligatoire) Liste séparée par des virgules des identifiants des sous-réseaux, des interfaces réseau élastiques ou des VPC pour lesquels vous souhaitez créer un journal de flux.

  • TrafficType

    Type : chaîne

    Valeurs valides : ACCEPTER | REJETER | TOUT

    Description : (Obligatoire) Type de trafic à enregistrer. Vous pouvez consigner le trafic que la ressource accepte ou rejette, ou tout le trafic.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:TagRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • s3:GetBucketLocation

  • s3:GetBucketAcl

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:ListBucket

  • s3:PutObject

Exemple de politique


        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "SSM Execution Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ssm:StartAutomationExecution",
                        "ssm:GetAutomationExecution"
                    ],
                    "Resource": "*"
                },
                {
                    "Sid": "EC2 FlowLogs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ec2:CreateFlowLogs",
                        "ec2:DeleteFlowLogs",
                        "ec2:DescribeFlowLogs"
                    ],
                    "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}"
                },
                {
                    "Sid": "IAM CreateRole Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "iam:AttachRolePolicy",
                        "iam:CreateRole",
                        "iam:CreatePolicy",
                        "iam:DeletePolicy",
                        "iam:DeleteRole",
                        "iam:DeleteRolePolicy",
                        "iam:GetPolicy",
                        "iam:GetRole",
                        "iam:TagRole",
                        "iam:PassRole",
                        "iam:PutRolePolicy",
                        "iam:UpdateRole"
                    ],
                    "Resource": [
                        "arn:{partition}:iam::{account-id}:role/{role name}",
                        "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole"
                    ]
                },
                {
                    "Sid": "CloudWatch Logs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "logs:CreateLogDelivery",
                        "logs:CreateLogGroup",
                        "logs:DeleteLogDelivery",
                        "logs:DeleteLogGroup",
                        "logs:DescribeLogGroups",
                        "logs:DescribeLogStreams"
                    ],
                    "Resource": [
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}",
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*"
                    ]
                },
                {
                    "Sid": "S3 Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "s3:GetBucketLocation",
                        "s3:GetBucketPublicAccessBlock",
                        "s3:GetAccountPublicAccessBlock",
                        "s3:GetBucketPolicyStatus",
                        "s3:GetBucketAcl",
                        "s3:ListBucket",
                        "s3:PutObject"
                    ],
                    "Resource": [
                        "arn:{partition}:s3:::{bucket name}",
                        "arn:{partition}:s3:::{bucket name}/*"
                    ]
                }
            ]
        }

Étapes de document

  • aws:branch- Branches basées sur la valeur spécifiée pour le LogDestinationType paramètre.

  • aws:executeScript- Vérifie si l'Amazon Simple Storage Service (Amazon S3) cible accorde potentiellement un accès en lecture ou en public écriture à ses objets.

  • aws:executeScript- Crée un groupe de journaux si aucune valeur n'est spécifiée pour le LogDestinationARN paramètre, mais elle cloud-watch-logs est spécifiée pour le LogDestinationType paramètre.

  • aws:executeScript- Crée des journaux de flux en fonction des valeurs spécifiées dans les paramètres du runbook.