As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Os registros de fluxo podem publicar dados de registros de fluxo diretamente na Amazon CloudWatch.
Quando publicados no CloudWatch Logs, os dados do log de fluxo são publicados em um grupo de registros, e cada gateway de trânsito tem um fluxo de log exclusivo no grupo de registros. Os fluxos de logs contêm registros do log de fluxos. Você pode criar vários logs de fluxos que publicam dados no mesmo grupo de logs. Se um mesmo gateway de trânsito estiver presente em um ou mais logs de fluxo no mesmo grupo de logs, ele terá um único fluxo de logs combinado. Se for especificado que um log de fluxos deve capturar o tráfego rejeitado e outro log de fluxos deve capturar o tráfego aceito, o fluxo de logs combinado capturará todo o tráfego.
As cobranças de ingestão e arquivamento de dados para registros vendidos se aplicam quando você publica registros de fluxo no Logs. CloudWatch Para obter mais informações, consulte Amazon CloudWatch Pricing
Em CloudWatch Registros, o campo de carimbo de data/hora corresponde à hora de início capturada no registro do log de fluxo. O campo IngestionTime fornece a data e a hora em que o registro do log de fluxo foi recebido pelo Logs. CloudWatch A data/hora é posterior à hora de término capturada no registro de log do fluxo.
Para obter mais informações sobre CloudWatch registros, consulte Registros enviados para CloudWatch registros no Guia do usuário do Amazon CloudWatch Logs.
Conteúdo
Funções do IAM para publicar registros de fluxo em CloudWatch registros
A função do IAM associada ao seu registro de fluxo deve ter permissões suficientes para publicar registros de fluxo no grupo de registros especificado em CloudWatch Registros. A função do IAM deve pertencer à sua Conta da AWS.
A política do IAM anexada ao seu perfil do IAM deve incluir pelo menos as permissões a seguir.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
} Além disso, verifique se o seu perfil tem um relacionamento de confiança que permite que o serviço de logs de fluxo assuma o perfil.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} Recomendamos o uso das chaves de condição aws:SourceAccount e aws:SourceArn para se proteger contra O problema do agente confuso. Por exemplo, você poderia adicionar o bloco de condições a seguir na política de confiança anterior. A conta de origem é o proprietário do log de fluxo e o ARN de origem é o ARN do log de fluxo. Se você não souber o ID do log de fluxos, poderá substituir essa parte do ARN por um caractere curinga (*) e, em seguida, atualizar a política depois de criar o log de fluxos.
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}Permissões para que os usuários do IAM passem um perfil
Os usuários também devem ter permissões para usar a ação iam:PassRole para o perfil do IAM associado ao log de fluxos.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
}
]
}