Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Transit Gateway Flow registra i record in Amazon CloudWatch Logs

I log di flusso possono pubblicare i dati dei log di flusso direttamente su Amazon CloudWatch.

Quando vengono pubblicati su CloudWatch Logs, i dati del log di flusso vengono pubblicati in un gruppo di log e ogni gateway di transito ha un flusso di log unico nel gruppo di log. I flussi di log contengono record del log di flusso. Puoi creare più log di flusso che pubblicano dati nello stesso gruppo di log. Se lo stesso gateway di transito è presente in uno o più registri di flusso nello stesso gruppo di flussi di log, esso dispone di un flusso di log combinato. Se è stato specificato che un log di flusso deve acquisire traffico rifiutato e l'altro log di flusso deve acquisire traffico accettato, il flusso di log combinato acquisisce tutto il traffico.

I costi di inserimento e archiviazione dei dati per i log venduti si applicano quando si pubblicano i log di flusso su Logs. CloudWatch Per ulteriori informazioni, consulta la pagina CloudWatch dei prezzi di Amazon.

In CloudWatch Logs, il campo timestamp corrisponde all'ora di inizio registrata nel record del log di flusso. Il ingestionTimecampo fornisce la data e l'ora in cui il record del log di flusso è stato ricevuto da Logs. CloudWatch Questo timestamp è successivo all'ora di fine acquisita nel record del log di flusso.

Per ulteriori informazioni sui CloudWatch log, consulta Logs sent to Logs nella Amazon CloudWatch CloudWatch Logs User Guide.

IAMruoli per la pubblicazione dei log di flusso in Logs CloudWatch

Il IAM ruolo associato al log di flusso deve disporre di autorizzazioni sufficienti per pubblicare i log di flusso nel gruppo di log specificato in Logs. CloudWatch Il IAM ruolo deve appartenere al tuo. Account AWS

La IAM politica associata al tuo IAM ruolo deve includere almeno le seguenti autorizzazioni.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}   

Accertarti inoltre che il ruolo disponga di una relazione di trust che consenta al servizio log di flusso di assumere il ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

Si consiglia di utilizzare il le chiavi di condizione aws:SourceAccount e aws:SourceArn per proteggersi dal problema del "confused deputy". Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. L'account di origine è il proprietario del log di flusso e l'origine ARN è il log ARN di flusso. Se non conosci l'ID del log di flusso, puoi sostituire quella parte ARN con un carattere jolly (*) e quindi aggiornare la policy dopo aver creato il log di flusso.

"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Autorizzazioni per il trasferimento di un IAM ruolo da parte degli utenti

Gli utenti devono inoltre disporre delle autorizzazioni per utilizzare l'iam:PassRoleazione per il IAM ruolo associato al log di flusso.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["iam:PassRole"],
      "Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
    }
  ]
}