AWSSupport-EnableVPCFlowLogs - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-EnableVPCFlowLogs

Descrizione

Il AWSSupport-EnableVPCFlowLogs runbook crea log di flusso di Amazon Virtual Private Cloud (Amazon VPC) per sottoreti, interfacce di rete e nel tuo. VPCs Account AWS Se crei un log di flusso per una sottorete o un VPC, viene monitorata ogni interfaccia di rete elastica in quella sottorete o Amazon VPC. I dati del log di flusso vengono pubblicati nel gruppo di log Amazon CloudWatch Logs o nel bucket Amazon Simple Storage Service (Amazon S3) specificato dall'utente. Per ulteriori informazioni sui log di flusso, consulta VPC Flow Logs nella Amazon VPC User Guide.

Importante

I costi di inserimento e archiviazione dei dati per i log venduti si applicano quando si pubblicano i log di flusso su Logs CloudWatch o su Amazon S3. Per ulteriori informazioni, consulta i prezzi di Flow Logs

Esegui questa automazione (console)

Nota

Quando selezioni s3 come destinazione del log, assicurati che la policy del bucket consenta al servizio di consegna dei log di accedere al bucket. Per ulteriori informazioni, consulta le autorizzazioni del bucket Amazon S3 per i log di flusso.

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux, macOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • DeliverLogsPermissionArn

    Tipo: stringa

    Descrizione: (Facoltativo) L'ARN per il ruolo IAM che consente ad Amazon Elastic Compute Cloud ( EC2Amazon) di pubblicare i log di flusso nel gruppo di log Logs CloudWatch del tuo account. Se specifichi il LogDestinationType parametro, non fornire un valore s3 per questo parametro. Per ulteriori informazioni, consulta Publish flow logs to CloudWatch Logs nella Amazon VPC User Guide.

  • LogDestinationARN

    Tipo: stringa

    Descrizione: (Facoltativo) L'ARN della risorsa in cui vengono pubblicati i dati del log di flusso. Se cloud-watch-logs è specificato per il LogDestinationType parametro, fornisci l'ARN del gruppo di log CloudWatch Logs in cui desideri pubblicare i dati del log di flusso. In alternativa, utilizza LogGroupName. Se s3 è specificato per il LogDestinationType parametro, è necessario specificare l'ARN del bucket Amazon S3 in cui si desidera pubblicare i dati del log di flusso per questo parametro. Puoi anche specificare una cartella nel bucket.

    Importante

    Quando scegli s3 come bucket, assicurati che il bucket selezionato segua le best practice di sicurezza di Amazon S3 Bucket e che rispetti le leggi sulla privacy dei dati per la tua organizzazione e area geografica. LogDestinationType

  • LogDestinationType

    Tipo: stringa

    Valori validi: | s3 cloud-watch-logs

    Descrizione: (Obbligatorio) Determina dove vengono pubblicati i dati del log di flusso. Se specificate LogDestinationType ass3, non specificate DeliverLogsPermissionArn oLogGroupName.

  • LogFormat

    Tipo: stringa

    Descrizione: (Facoltativo) I campi da includere nel log di flusso e l'ordine in cui devono apparire nel record. Per un elenco dei campi disponibili, consulta Flow log records nella Amazon VPC User Guide. Se non fornisci un valore per questo parametro, il log di flusso viene creato utilizzando il formato predefinito. Se specifichi questo parametro, è necessario specificare almeno un campo.

  • LogGroupName

    Tipo: stringa

    Descrizione: (Facoltativo) Il nome del gruppo di log CloudWatch Logs in cui vengono pubblicati i dati del log di flusso. Se si specifica s3 il LogDestinationType parametro, non fornire un valore per questo parametro.

  • ResourceIds

    Tipo: StringList

    Descrizione: (Obbligatorio) Un elenco separato da virgole delle IDs sottoreti, delle interfacce di rete elastiche o del VPC per cui si desidera creare un log di flusso.

  • TrafficType

    Tipo: stringa

    Valori validi: ACCEPT | REJECT | ALL

    Descrizione: (Obbligatorio) Il tipo di traffico da registrare. Puoi registrare il traffico che la risorsa accetta o rifiuta oppure tutto il traffico.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:TagRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • s3:GetBucketLocation

  • s3:GetBucketAcl

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:ListBucket

  • s3:PutObject

Politica di esempio


        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "SSM Execution Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ssm:StartAutomationExecution",
                        "ssm:GetAutomationExecution"
                    ],
                    "Resource": "*"
                },
                {
                    "Sid": "EC2 FlowLogs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ec2:CreateFlowLogs",
                        "ec2:DeleteFlowLogs",
                        "ec2:DescribeFlowLogs"
                    ],
                    "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}"
                },
                {
                    "Sid": "IAM CreateRole Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "iam:AttachRolePolicy",
                        "iam:CreateRole",
                        "iam:CreatePolicy",
                        "iam:DeletePolicy",
                        "iam:DeleteRole",
                        "iam:DeleteRolePolicy",
                        "iam:GetPolicy",
                        "iam:GetRole",
                        "iam:TagRole",
                        "iam:PassRole",
                        "iam:PutRolePolicy",
                        "iam:UpdateRole"
                    ],
                    "Resource": [
                        "arn:{partition}:iam::{account-id}:role/{role name}",
                        "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole"
                    ]
                },
                {
                    "Sid": "CloudWatch Logs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "logs:CreateLogDelivery",
                        "logs:CreateLogGroup",
                        "logs:DeleteLogDelivery",
                        "logs:DeleteLogGroup",
                        "logs:DescribeLogGroups",
                        "logs:DescribeLogStreams"
                    ],
                    "Resource": [
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}",
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*"
                    ]
                },
                {
                    "Sid": "S3 Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "s3:GetBucketLocation",
                        "s3:GetBucketPublicAccessBlock",
                        "s3:GetAccountPublicAccessBlock",
                        "s3:GetBucketPolicyStatus",
                        "s3:GetBucketAcl",
                        "s3:ListBucket",
                        "s3:PutObject"
                    ],
                    "Resource": [
                        "arn:{partition}:s3:::{bucket name}",
                        "arn:{partition}:s3:::{bucket name}/*"
                    ]
                }
            ]
        }

Fasi del documento

  • aws:branch- Rami basati sul valore specificato per il LogDestinationType parametro.

  • aws:executeScript- Verifica se l'Amazon Simple Storage Service (Amazon S3) di destinazione concede potenzialmente l'accesso in lettura o public scrittura ai suoi oggetti.

  • aws:executeScript- Crea un gruppo di log se non viene specificato alcun valore per il LogDestinationARN parametro e cloud-watch-logs viene specificato per il LogDestinationType parametro.

  • aws:executeScript- Crea registri di flusso in base ai valori specificati nei parametri del runbook.