AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket

Deskripsi

AWSConfigRemediation-EnableVPCFlowLogsToS3BucketRunbook menggantikan log aliran VPC Amazon yang sudah ada yang menerbitkan data log aliran ke Amazon CloudWatch Logs (CloudWatch Log) dengan log alur yang menerbitkan data log aliran ke bucket Amazon Simple Storage Service (Amazon S3) yang Anda tentukan.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Diperlukan) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda.

  • Destinasi3 BucketArn

    Tipe: String

    Deskripsi: (Wajib) ARN bucket Amazon S3 yang ingin Anda publikasikan data log alur.

  • FlowLogId

    Tipe: String

    Deskripsi: (Wajib) ID log alur yang diterbitkan ke CloudWatch Log yang ingin Anda ganti.

  • MaxAggregationInterval

    Jenis: Integer

    Nilai yang valid: 60 | 600

    Deskripsi: (Opsional) Interval waktu maksimum, dalam detik, di mana aliran paket ditangkap dan dikumpulkan ke dalam catatan log aliran.

  • TrafficType

    Tipe: String

    Nilai yang valid: TERIMA | TOLAK | SEMUA

    Deskripsi: (Wajib) Jenis data log aliran yang ingin Anda rekam dan publikasikan.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

Langkah Dokumen

  • aws:executeAwsApi- Mengumpulkan detail tentang VPC Anda dari nilai yang Anda tentukan dalam FlowLogId parameter.

  • aws:executeAwsApi- Membuat log aliran berdasarkan nilai yang Anda tentukan untuk parameter runbook.

  • aws:assertAwsResourceProperty- Memverifikasi log alur yang baru dibuat diterbitkan ke Amazon S3.

  • aws:executeAwsApi- Menghapus alur log yang diterbitkan ke CloudWatch Log.

  • aws:executeScript- Mengonfirmasi alur log yang dipublikasikan ke CloudWatch Log telah dihapus.