AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch

Deskripsi

AWSConfigRemediation-EnableVPCFlowLogsToCloudWatchRunbook menggantikan log VPC aliran Amazon yang sudah ada yang menerbitkan data log aliran ke Amazon Simple Storage Service (Amazon S3) dengan log alur yang menerbitkan data log aliran ke grup CloudWatch log CloudWatch Amazon Logs (Log) yang Anda tentukan.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Diperlukan) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda.

  • DestinationLogGroup

    Tipe: String

    Deskripsi: (Wajib) Nama grup CloudWatch log Log yang ingin Anda publikasikan data log aliran.

  • DeliverLogsPermissionArn

    Tipe: String

    Deskripsi: (Diperlukan) ARN Peran AWS Identity and Access Management (IAM) yang ingin Anda gunakan yang menyediakan Amazon Elastic Compute Cloud (AmazonEC2) izin yang diperlukan untuk mempublikasikan data log alur ke Log. CloudWatch

  • FlowLogId

    Tipe: String

    Deskripsi: (Wajib) ID log alur yang diterbitkan ke Amazon S3 yang ingin Anda ganti.

  • MaxAggregationInterval

    Jenis: Integer

    Nilai yang valid: 60 | 600

    Deskripsi: (Opsional) Interval waktu maksimum, dalam detik, di mana aliran paket ditangkap dan dikumpulkan ke dalam catatan log aliran.

  • TrafficType

    Tipe: String

    Nilai yang valid: ACCEPT | REJECT | ALL

    Deskripsi: (Wajib) Jenis data log aliran yang ingin Anda rekam dan publikasikan.

IAMIzin yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

Langkah Dokumen

  • aws:executeAwsApi- Mengumpulkan detail tentang Anda VPC dari nilai yang Anda tentukan dalam FlowLogId parameter.

  • aws:executeAwsApi- Membuat log aliran berdasarkan nilai yang Anda tentukan untuk parameter runbook.

  • aws:assertAwsResourceProperty- Memverifikasi log alur yang baru dibuat diterbitkan ke CloudWatch Log.

  • aws:executeAwsApi- Menghapus log aliran yang diterbitkan ke Amazon S3.

  • aws:executeScript- Mengonfirmasi log aliran yang diterbitkan ke Amazon S3 telah dihapus.