翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-EnableVPCFlowLogs
説明
AWSSupport-EnableVPCFlowLogs ランブックは、 AWS アカウント内のサブネット、ネットワークインターフェイス、および VPC の Amazon Virtual Private Cloud (Amazon VPC) フローログを作成します。サブネットまたは VPC のフローログを作成する場合、そのサブネットまたは Amazon VPC 内の各エラスティックネットワークインターフェイスが監視されます。フローログデータは、指定した Amazon CloudWatch Logs ロググループまたは Amazon Simple Storage Service (Amazon S3) バケットに発行されます。詳細については、Amazon VPC ユーザーガイドのVPC フローログを参照してください。
重要
フローログを CloudWatch Logs または Amazon S3 に発行すると、提供されたログのデータ取り込み料金とアーカイブ料金が適用されます。詳細については、「フローログの料金」を参照してください。
注記
ログの送信先s3として を選択するときは、バケットポリシーがログ配信サービスにバケットへのアクセスを許可していることを確認します。詳細については、「フローログの Amazon S3 バケットのアクセス許可」を参照してください。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
型: 文字列
説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
DeliverLogsPermissionArn
型: 文字列
説明: (オプション) Amazon Elastic Compute Cloud (Amazon EC2) がアカウントの Logs ロググループにフローログを発行することを許可する IAM CloudWatch ロールの ARN。
LogDestinationTypeパラメータにs3を指定する場合は、このパラメータの値を指定しないでください。詳細については、「Amazon VPC ユーザーガイド」の CloudWatch 「ログへのフローログの発行」を参照してください。 -
LogDestinationARN
型: 文字列
説明: (オプション) フローログデータが発行されたリソースの ARN。
LogDestinationTypeパラメータにcloud-watch-logsが指定されている場合は、フローログデータを発行する CloudWatch ロググループの ARN を指定します。または、代わりにLogGroupNameを使用します。LogDestinationTypeパラメータにs3を指定する場合は、このパラメータに、フローログデータの公開先となる Amazon S3 バケットの ARN を指定する必要があります。バケットにフォルダを指定することもできます。重要
s3を として選択するLogDestinationTypeときは、選択したバケットが Amazon S3 バケットのセキュリティのベストプラクティス に従っており、組織と地理的地域のデータプライバシー法に従っていることを確認する必要があります。 -
LogDestinationType
型: 文字列
有効な値: cloud-watch-logs | s3
説明: (必須) フローログデータを公開する場所を決定します。
LogDestinationTypeをs3として指定した場合は、DeliverLogsPermissionArnまたはLogGroupNameを指定しないでください。 -
LogFormat
型: 文字列
説明: フローログに含めるフィールド、およびレコードに表示される順番。使用可能なフィールドのリストについては、Amazon VPC ユーザーガイドの「フローログレコード」を参照してください。このパラメータに値を指定しない場合、フローログはデフォルトの形式で作成されます。このパラメータを指定する場合は、少なくとも 1 つのフィールドを指定する必要があります。
-
LogGroupName
型: 文字列
説明: (オプション) フローログデータが公開される CloudWatch ログロググループの名前。
LogDestinationTypeパラメータにs3を指定する場合は、このパラメータの値を指定しないでください。 -
ResourceIds
タイプ: StringList
説明: (必須) フローログを作成するサブネット、エラスティックネットワークインターフェイス、または VPC の ID のカンマ区切りリスト。
-
TrafficType
型: 文字列
有効な値 :ACCEPT | REJECT | ALL
説明: (必須) 記録するトラフィックのタイプ。リソースが受け入れたトラフィックまたは拒否したトラフィック、またはすべてのトラフィックを記録できます。
必要な IAM アクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
ec2:CreateFlowLogs -
ec2:DeleteFlowLogs -
ec2:DescribeFlowLogs -
iam:AttachRolePolicy -
iam:CreateRole -
iam:CreatePolicy -
iam:DeletePolicy -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:GetPolicy -
iam:GetRole -
iam:TagRole -
iam:PassRole -
iam:PutRolePolicy -
iam:UpdateRole -
logs:CreateLogDelivery -
logs:CreateLogGroup -
logs:DeleteLogDelivery -
logs:DeleteLogGroup -
logs:DescribeLogGroups -
logs:DescribeLogStreams -
s3:GetBucketLocation -
s3:GetBucketAcl -
s3:GetBucketPublicAccessBlock -
s3:GetBucketPolicyStatus -
s3:GetBucketAcl -
s3:ListBucket -
s3:PutObject
サンプルポリシー
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSM Execution Permissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2 FlowLogs Permissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}" }, { "Sid": "IAM CreateRole Permissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:{partition}:iam::{account-id}:role/{role name}", "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatch Logs Permissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}", "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*" ] }, { "Sid": "S3 Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:{partition}:s3:::{bucket name}", "arn:{partition}:s3:::{bucket name}/*" ] } ] }
ドキュメントステップ
-
aws:branch-LogDestinationTypeパラメータで指定した値に基づいて分岐させます。 -
aws:executeScript- ターゲット Amazon Simple Storage Service (Amazon S3) がオブジェクトへの読み取りまたは書き込みpublicアクセスを許可する可能性があるかどうかを確認します。 -
aws:executeScript-LogDestinationARNパラメータに値が指定されておらず、LogDestinationTypeパラメータにcloud-watch-logsが指定されている場合は、ロググループを作成します。 -
aws:executeScript- ランブックパラメータで指定された値に基づくフローログを作成します。
