AWSSupport-EnableVPCFlowLogs - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-EnableVPCFlowLogs

Descrição

O runbook AWSSupport-EnableVPCFlowLogs cria logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC) para sub-redes, interfaces de rede e VPCs em sua Conta da AWS. Se você criar um log de fluxo para uma sub-rede ou VPC, toda interface de rede na sub-rede ou Amazon VPC será monitorada. Os dados do log de fluxo são publicados no grupo de CloudWatch logs Amazon Logs ou no bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Para obter mais informações sobre logs de fluxo, consulte Logs de fluxo no Guia do usuário da Amazon VPC.

Importante

As taxas de ingestão e arquivamento de dados para registros vendidos se aplicam quando você publica registros de fluxo no Logs ou no CloudWatch Amazon S3. Para obter mais informações, consulte Precificação de logs de fluxo do .

Execute esta automação (console)

nota

Ao selecionar s3 como destino do log, certifique-se de que a política do bucket permita que o serviço de entrega de log acesse o bucket. Para obter mais informações, consulte Permissões de bucket do Amazon S3 para registros de fluxo

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • DeliverLogsPermissionArn

    Tipo: sequência

    Descrição: (Opcional) O ARN para a função do IAM que permite que o Amazon Elastic Compute Cloud (Amazon EC2) publique registros de fluxo no grupo de registros de registros CloudWatch em sua conta. Se especificar s3 para o parâmetro LogDestinationType, não forneça um valor para esse parâmetro. Para obter mais informações, consulte Publicar registros de fluxo em CloudWatch registros no Guia do usuário da Amazon VPC.

  • LogDestinationARN

    Tipo: sequência

    Descrição: (opcional) O ARN do recurso no qual os dados de log de fluxo são publicados. Se cloud-watch-logs for especificado para o LogDestinationType parâmetro, forneça o ARN do grupo de CloudWatch registros no qual você deseja publicar os dados do registro de fluxo. Como alternativa, use LogGroupName. Se s3 for especificado para o parâmetro LogDestinationType, você deverá especificar o ARN do bucket do Amazon S3 no qual deseja publicar dados de log de fluxo para esse parâmetro. Você também pode especificar uma pasta no bucket.

    Importante

    Ao escolher s3 como o, LogDestinationType você deve garantir que o bucket selecionado siga as melhores práticas de segurança do Amazon S3 Bucket e que você siga as leis de privacidade de dados da sua organização e região geográfica.

  • LogDestinationType

    Tipo: sequência

    Valores válidos: cloud-watch-logs | s3

    Descrição: (obrigatório) Determina onde os dados do log de fluxo são publicados. Se você especificar LogDestinationType como s3, não especifique DeliverLogsPermissionArn ou LogGroupName.

  • LogFormat

    Tipo: sequência

    Descrição: (opcional) os campos a serem incluídos no log de fluxo e a ordem na qual eles devem aparecer no registro. Para obter uma lista de campos disponíveis, consulte Registros de logs de fluxo no Guia do usuário da Amazon VPC. Se não fornecer um valor para esse parâmetro, o log de fluxo será criado usando o formato padrão. Se você especificar esse parâmetro, deverá especificar pelo menos um campo.

  • LogGroupName

    Tipo: sequência

    Descrição: (Opcional) O nome do grupo de registros de CloudWatch registros em que os dados do registro de fluxo são publicados. Se especificar s3 para o parâmetro LogDestinationType, não forneça um valor para esse parâmetro.

  • ResourceIds

    Tipo: StringList

    Descrição: (obrigatório) Uma lista separada por vírgulas dos IDs das sub-redes, interfaces de rede elástica ou VPC para a qual deseja criar um log de fluxo.

  • TrafficType

    Tipo: sequência

    Valores válidos: ACCEPT | REJECT | ALL

    Descrição: (obrigatório) O tipo de tráfego para o log. Você pode registrar em log o tráfego que o recurso aceita ou rejeita ou todo o tráfego.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:TagRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • s3:GetBucketLocation

  • s3:GetBucketAcl

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:ListBucket

  • s3:PutObject

Política de amostra


        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "SSM Execution Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ssm:StartAutomationExecution",
                        "ssm:GetAutomationExecution"
                    ],
                    "Resource": "*"
                },
                {
                    "Sid": "EC2 FlowLogs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ec2:CreateFlowLogs",
                        "ec2:DeleteFlowLogs",
                        "ec2:DescribeFlowLogs"
                    ],
                    "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}"
                },
                {
                    "Sid": "IAM CreateRole Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "iam:AttachRolePolicy",
                        "iam:CreateRole",
                        "iam:CreatePolicy",
                        "iam:DeletePolicy",
                        "iam:DeleteRole",
                        "iam:DeleteRolePolicy",
                        "iam:GetPolicy",
                        "iam:GetRole",
                        "iam:TagRole",
                        "iam:PassRole",
                        "iam:PutRolePolicy",
                        "iam:UpdateRole"
                    ],
                    "Resource": [
                        "arn:{partition}:iam::{account-id}:role/{role name}",
                        "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole"
                    ]
                },
                {
                    "Sid": "CloudWatch Logs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "logs:CreateLogDelivery",
                        "logs:CreateLogGroup",
                        "logs:DeleteLogDelivery",
                        "logs:DeleteLogGroup",
                        "logs:DescribeLogGroups",
                        "logs:DescribeLogStreams"
                    ],
                    "Resource": [
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}",
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*"
                    ]
                },
                {
                    "Sid": "S3 Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "s3:GetBucketLocation",
                        "s3:GetBucketPublicAccessBlock",
                        "s3:GetAccountPublicAccessBlock",
                        "s3:GetBucketPolicyStatus",
                        "s3:GetBucketAcl",
                        "s3:ListBucket",
                        "s3:PutObject"
                    ],
                    "Resource": [
                        "arn:{partition}:s3:::{bucket name}",
                        "arn:{partition}:s3:::{bucket name}/*"
                    ]
                }
            ]
        }

Etapas do documento

  • aws:branch :Ramificações com base no valor especificado para o parâmetro LogDestinationType.

  • aws:executeScript- Verifica se o Amazon Simple Storage Service (Amazon S3) de destino potencialmente concede acesso de leitura ou public gravação a seus objetos.

  • aws:executeScript :Cria um grupo de logs se nenhum valor for especificado para o parâmetro LogDestinationARN e for especificado cloud-watch-logs para o parâmetro LogDestinationType.

  • aws:executeScript :Cria logs de fluxo com base nos valores especificados nos parâmetros do runbook.