Amazon Logs の Transit Gateway フロー CloudWatch ログレコード - Amazon VPC
IAM フローログを CloudWatch Logs に発行するための ロールIAM ユーザーがロールを渡すためのアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Logs の Transit Gateway フロー CloudWatch ログレコード

フローログは、フローログデータを Amazon に直接発行できます CloudWatch。

CloudWatch Logs に発行されると、フローログデータはロググループに発行され、各 Transit Gateway にはロググループに一意のログストリームがあります。ログストリームにはフローログレコードが含まれます。同じロググループにデータを公開する複数のフローログを作成できます。同じ Transit Gateway が同じロググループの 1 つまたは複数のフローログに存在する場合、1 つの組み合わされたログストリームがあります。1 つのフローログで、拒否されたトラフィックをキャプチャし、別のフローログで、許可されたトラフィックをキャプチャするよう指定した場合、組み合わされたログストリームですべてのトラフィックがキャプチャされます。

フローログを CloudWatch Logs に発行すると、提供されたログのデータ取り込み料金とアーカイブ料金が適用されます。詳細については、「Amazon CloudWatch 料金表」を参照してください。

CloudWatch Logs のタイムスタンプフィールドは、フローログレコードにキャプチャされた開始時刻に対応します。ingestionTime フィールドには、フローログレコードが CloudWatch Logs によって受信された日時が表示されます。タイムスタンプは、フローログレコードでキャプチャされた終了時刻より後になります。

CloudWatch ログの詳細については、「Amazon Logs ユーザーガイド」の CloudWatch 「ログに送信されたログ」を参照してください。 CloudWatch

内容

IAM フローログを CloudWatch Logs に発行するための ロール

フローログに関連付けられているIAMロールには、 ログで指定されたロググループにフロー CloudWatch ログを発行するための十分なアクセス許可が必要です。IAM ロールは に属している必要があります AWS アカウント。

IAM ロールにアタッチされた IAM ポリシーには、少なくとも以下のアクセス権限が含まれている必要があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

フローログサービスがロールを引き受けることができる信頼関係がロールにあることも確認します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Confused Deputy Problem (混乱した使節の問題) から自分を守るために、aws:SourceAccount および aws:SourceArn の条件キーを使用することをお勧めします。例えば、前述の信頼ポリシーに次の条件ブロックを追加できます。ソースアカウントはフローログの所有者であり、ソースARNはフローログ ですARN。フローログ ID がわからない場合は、 のその部分をARNワイルドカード (*) に置き換え、フローログを作成した後にポリシーを更新できます。

"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

IAM ユーザーがロールを渡すためのアクセス許可

フローログに関連付けられた IAM ロール用に iam:PassRole アクションを使用するアクセス許可もユーザーに必要です。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["iam:PassRole"],
      "Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
    }
  ]
}