Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Transit Gateway Flow Logs-Aufzeichnungen in Amazon CloudWatch Logs
Flow Logs können Flow-Protokolldaten direkt auf Amazon veröffentlichen CloudWatch.
Bei der Veröffentlichung in CloudWatch Logs werden die Flow-Protokolldaten in einer Protokollgruppe veröffentlicht, und jedes Transit-Gateway hat einen eigenen Protokollstream in der Protokollgruppe. Protokollstreams enthalten Flow-Protokolldatensätze. Sie können mehrere Flow-Protokolle erstellen, die Daten in derselben Protokollgruppe veröffentlichen. Wenn dasselbe Transit-Gateway in einem oder mehreren Flow-Protokollen innerhalb derselben Protokollgruppe besteht, hat es einen kombinierten Protokollstream. Wenn Sie ein Flow-Protokoll zum Erfassen von abgelehntem Datenverkehr und ein weiteres Flow-Protokoll zum Erfassen von zulässigem Datenverkehr erstellt haben, erfasst der kombinierte Protokollstream sämtlichen Datenverkehr.
Wenn Sie Flow-Protokolle in Logs veröffentlichen, fallen Gebühren für Datenaufnahme und Archivierung für verkaufte Protokolle an. CloudWatch Weitere Informationen finden Sie unter CloudWatch Amazon-Preise
In CloudWatch Logs entspricht das Zeitstempelfeld der Startzeit, die im Flow-Protokolldatensatz erfasst wurde. Das ingestionTimeFeld gibt das Datum und die Uhrzeit an, an dem der Flow-Protokolldatensatz von CloudWatch Logs empfangen wurde. Der Zeitstempel ist später als die Endzeit, die im Flow-Protokolldatensatz erfasst wird.
Weitere Informationen zu CloudWatch Logs finden Sie unter Logs sent to CloudWatch Logs im Amazon CloudWatch Logs-Benutzerhandbuch.
Inhalt
IAMRollen für die Veröffentlichung von Flow-Logs in CloudWatch Logs
Die IAM Rolle, die Ihrem Flow-Protokoll zugeordnet ist, muss über ausreichende Berechtigungen verfügen, um Flow-Logs in der angegebenen Protokollgruppe in CloudWatch Logs zu veröffentlichen. Die IAM Rolle muss Ihrer gehören AWS-Konto.
Die mit Ihrer IAM Rolle verknüpfte IAM Richtlinie muss mindestens die folgenden Berechtigungen enthalten.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
Stellen Sie auch sicher, dass Ihre Rolle über eine Vertrauensstellung verfügt, die es dem Flow-Protokoll-Service ermöglicht, die Rolle anzunehmen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Wir empfehlen Ihnen, die aws:SourceAccount- und aws:SourceArn-Bedingungsschlüssel zu verwenden, um sich vor dem Problem des verwirrten Stellvertreters zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das Quellkonto ist der Besitzer des Flow-Protokolls und die Quelle ARN ist das Flow-ProtokollARN. Wenn Sie die Flow-Protokoll-ID nicht kennen, können Sie diesen Teil von durch einen Platzhalter (*) ersetzen und dann die Richtlinie aktualisieren, nachdem Sie das Flow-Protokoll erstellt haben. ARN
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}Berechtigungen für IAM Benutzer, eine Rolle zu übergeben
Benutzer müssen außerdem über Berechtigungen verfügen, um die iam:PassRole Aktion für die IAM Rolle zu verwenden, die dem Flow-Protokoll zugeordnet ist.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ] }
