AWSSupport-EnableVPCFlowLogs - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-EnableVPCFlowLogs

Beschreibung

Das AWSSupport-EnableVPCFlowLogs Runbook erstellt Amazon Virtual Private Cloud (Amazon VPC) Flow Logs für Subnetze, Netzwerkschnittstellen und VPCs in Ihrem. AWS-Konto Wenn Sie ein Flow-Protokoll für ein Subnetz oder eine VPC erstellen, wird jede elastic network interface in diesem Subnetz oder dieser Amazon VPC überwacht. Flow-Protokolldaten werden in der Amazon CloudWatch Logs-Protokollgruppe oder dem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Bucket veröffentlicht. Weitere Informationen zu Flow-Protokollen finden Sie unter VPC Flow Logs im Amazon VPC-Benutzerhandbuch.

Wichtig

Wenn Sie Flow-Logs in Logs oder Amazon S3 veröffentlichen, fallen Gebühren für Datenaufnahme und Archivierung für verkaufte CloudWatch Logs an. Weitere Informationen finden Sie unter Preise für Flow Logs

Führen Sie diese Automatisierung aus (Konsole)

Anmerkung

Stellen Sie bei der Auswahl s3 als Protokollziel sicher, dass die Bucket-Richtlinie dem Log-Lieferdienst Zugriff auf den Bucket gewährt. Weitere Informationen finden Sie unter Amazon S3 S3-Bucket-Berechtigungen für Flow-Logs.

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • DeliverLogsPermissionArn

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der ARN für die IAM-Rolle, der es Amazon Elastic Compute Cloud (Amazon EC2) ermöglicht, Flow-Logs in der CloudWatch Logs-Protokollgruppe in Ihrem Konto zu veröffentlichen. Wenn Sie s3 für den LogDestinationType Parameter angeben, geben Sie keinen Wert für diesen Parameter an. Weitere Informationen finden Sie unter Veröffentlichen von CloudWatch Flow-Protokollen in Logs im Amazon VPC-Benutzerhandbuch.

  • LogDestinationARN

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der ARN der Ressource, auf der die Flow-Protokolldaten veröffentlicht werden. Wenn für den LogDestinationType Parameter angegeben cloud-watch-logs ist, geben Sie den ARN der CloudWatch Logs-Protokollgruppe an, in der Sie Flow-Log-Daten veröffentlichen möchten. Alternativ können Sie stattdessen LogGroupName verwenden. Wenn für den LogDestinationType Parameter angegeben s3 ist, müssen Sie für diesen Parameter den ARN des Amazon S3 S3-Buckets angeben, in dem Sie Flow-Protokolldaten veröffentlichen möchten. Sie können auch einen Ordner im Bucket angeben.

    Wichtig

    Wenn LogDestinationType Sie sich für den ausgewählten Bucket entscheidens3, sollten Sie sicherstellen, dass der ausgewählte Bucket den Best Practices für die Sicherheit von Amazon S3 Bucket entspricht und dass Sie die Datenschutzgesetze für Ihr Unternehmen und Ihre geografische Region einhalten.

  • LogDestinationType

    Typ: Zeichenfolge

    Gültige Werte: cloud-watch-logs | s3

    Beschreibung: (Erforderlich) Legt fest, wo Flow-Protokolldaten veröffentlicht werden. Wenn Sie LogDestinationType als angebens3, geben Sie nicht DeliverLogsPermissionArn oder anLogGroupName.

  • LogFormat

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die Felder, die in das Flow-Protokoll aufgenommen werden sollen, und die Reihenfolge, in der sie im Datensatz erscheinen sollen. Eine Liste der verfügbaren Felder finden Sie unter Flow-Protokolldatensätze im Amazon VPC-Benutzerhandbuch. Wenn Sie keinen Wert für diesen Parameter angeben, wird das Flow-Protokoll im Standardformat erstellt. Wenn Sie diesen Parameter angeben, müssen Sie mindestens ein Feld angeben.

  • LogGroupName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Name der CloudWatch Logs-Protokollgruppe, in der Flow-Log-Daten veröffentlicht werden. Wenn Sie s3 für den LogDestinationType Parameter angeben, geben Sie keinen Wert für diesen Parameter an.

  • ResourceIds

    Typ: StringList

    Beschreibung: (Erforderlich) Eine durch Kommas getrennte Liste der IDs für die Subnetze, Elastic Network-Schnittstellen oder VPC, für die Sie ein Flow-Protokoll erstellen möchten.

  • TrafficType

    Typ: Zeichenfolge

    Gültige Werte: ACCEPT | REJECT | ALL

    Beschreibung: (Erforderlich) Der Typ des zu protokollierenden Datenverkehrs. Sie können den Datenverkehr protokollieren, den die Ressource akzeptiert oder ablehnt, oder den gesamten Datenverkehr.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:TagRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • s3:GetBucketLocation

  • s3:GetBucketAcl

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:ListBucket

  • s3:PutObject

Beispiel für eine Richtlinie


        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "SSM Execution Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ssm:StartAutomationExecution",
                        "ssm:GetAutomationExecution"
                    ],
                    "Resource": "*"
                },
                {
                    "Sid": "EC2 FlowLogs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "ec2:CreateFlowLogs",
                        "ec2:DeleteFlowLogs",
                        "ec2:DescribeFlowLogs"
                    ],
                    "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}"
                },
                {
                    "Sid": "IAM CreateRole Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "iam:AttachRolePolicy",
                        "iam:CreateRole",
                        "iam:CreatePolicy",
                        "iam:DeletePolicy",
                        "iam:DeleteRole",
                        "iam:DeleteRolePolicy",
                        "iam:GetPolicy",
                        "iam:GetRole",
                        "iam:TagRole",
                        "iam:PassRole",
                        "iam:PutRolePolicy",
                        "iam:UpdateRole"
                    ],
                    "Resource": [
                        "arn:{partition}:iam::{account-id}:role/{role name}",
                        "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole"
                    ]
                },
                {
                    "Sid": "CloudWatch Logs Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "logs:CreateLogDelivery",
                        "logs:CreateLogGroup",
                        "logs:DeleteLogDelivery",
                        "logs:DeleteLogGroup",
                        "logs:DescribeLogGroups",
                        "logs:DescribeLogStreams"
                    ],
                    "Resource": [
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}",
                        "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*"
                    ]
                },
                {
                    "Sid": "S3 Permissions",
                    "Effect": "Allow",
                    "Action": [
                        "s3:GetBucketLocation",
                        "s3:GetBucketPublicAccessBlock",
                        "s3:GetAccountPublicAccessBlock",
                        "s3:GetBucketPolicyStatus",
                        "s3:GetBucketAcl",
                        "s3:ListBucket",
                        "s3:PutObject"
                    ],
                    "Resource": [
                        "arn:{partition}:s3:::{bucket name}",
                        "arn:{partition}:s3:::{bucket name}/*"
                    ]
                }
            ]
        }

Dokumentschritte

  • aws:branch- Verzweigt auf der Grundlage des für den LogDestinationType Parameter angegebenen Werts.

  • aws:executeScript- Prüft, ob der Ziel-Amazon Simple Storage Service (Amazon S3) möglicherweise Lese - oder publicSchreibzugriff auf seine Objekte gewährt.

  • aws:executeScript- Erstellt eine Protokollgruppe, wenn kein Wert für den LogDestinationARN Parameter angegeben wurde, und für den LogDestinationType Parameter cloud-watch-logs wird ein Wert angegeben.

  • aws:executeScript- Erstellt Flussprotokolle auf der Grundlage der in den Runbook-Parametern angegebenen Werte.