Criar um perfil do IAM para logs de fluxo

Perfil do IAM para publicar logs de fluxo no CloudWatch Logs

A função do IAM associada ao log de fluxo deve ter permissões suficientes para publicar logs de fluxo para o grupo de logs especificado no CloudWatch Logs. A função do IAM deve pertencer à sua conta da AWS.

A política do IAM anexada à sua função do IAM deve incluir pelo menos as permissões a seguir.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Verifique se a sua função tem a política de confiança a seguir, que permite que o serviço de logs de fluxo assuma a função.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Recomendamos o uso das chaves de condição aws:SourceAccount e aws:SourceArn para se proteger contra O problema do agente confuso. Por exemplo, você poderia adicionar o bloco de condições a seguir na política de confiança anterior. A conta de origem é o proprietário do log de fluxo e o ARN de origem é o ARN do log de fluxo. Se você não souber o ID do log de fluxos, poderá substituir essa parte do ARN por um caractere curinga (*) e, em seguida, atualizar a política depois de criar o log de fluxos.


"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Criar um perfil do IAM para logs de fluxo

Você pode atualizar um perfil existente conforme descrito acima. Como alternativa, você pode usar o seguinte procedimento para criar um novo perfil para usar com os logs de fluxo. Você especificará esse perfil ao criar o log de fluxo.

Como criar um perfil do IAM para logs de fluxos

Abra o console do IAM, em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Policies.
Selecione Criar política.
Na página Create policy (Criar política) faça o seguinte:
1. Selecione JSON.
2. Substitua o conteúdo dessa janela pela política de permissões no início desta seção.
3. Escolha Próximo.
4. Insira um nome e uma descrição e tags opcionais para a política e escolha Criar política.
No painel de navegação, selecione Perfis.
Escolha Criar Perfil.
Em Trusted entity type (Tipo de entidade confiável), escolha Custom trust policy (Política de confiança personalizada). Em Custom trust policy (Política de confiança personalizada), substitua "Principal": {}, pelo seguinte e escolha Next (Próximo).
```
"Principal": {
   "Service": "vpc-flow-logs.amazonaws.com"
},
```
Na página Add permissions (Adicionar permissões), marque a caixa de seleção correspondente à política que você criou anteriormente neste procedimento e, em seguida, escolha Next (Próximo).
Insira um nome para a função e, opcionalmente, uma descrição.
Selecione Criar perfil.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Publicar no CloudWatch Logs

Criar um log de fluxo que publique no CloudWatch Logs