Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enregistrements de Transit Gateway Flow Logs dans Amazon CloudWatch Logs
Les journaux de flux peuvent publier les données des journaux de flux directement sur Amazon CloudWatch.
Lorsqu'elles sont publiées dans CloudWatch Logs, les données du journal de flux sont publiées dans un groupe de journaux, et chaque passerelle de transit possède un flux de journal unique dans le groupe de journaux. Les flux de journaux contiennent des enregistrements de journaux de flux. Vous pouvez créer plusieurs journaux de flux qui publient des données dans le même groupe de journaux. Si la même passerelle de transit est présente dans un ou plusieurs journaux de flux d'un même groupe de journaux, elle dispose d'un flux de journaux combiné. Si vous avez indiqué qu'un journal de flux doit capturer le trafic refusé et que l'autre journal de flux doit capturer le trafic accepté, le flux de journaux combiné capture l'ensemble du trafic.
Les frais d'ingestion de données et d'archivage pour les journaux vendus s'appliquent lorsque vous publiez des journaux de flux dans Logs. CloudWatch Pour plus d'informations, consultez Amazon CloudWatch Pricing
Dans CloudWatch Logs, le champ d'horodatage correspond à l'heure de début enregistrée dans l'enregistrement du journal de flux. Le ingestionTimechamp indique la date et l'heure auxquelles l'enregistrement du journal de flux a été reçu par CloudWatch Logs. L'horodatage est ultérieur à l'heure de fin capturée dans l'enregistrement du journal de flux.
Pour plus d'informations sur CloudWatch les journaux, consultez la section Journaux envoyés à CloudWatch Logs dans le guide de l'utilisateur Amazon CloudWatch Logs.
Table des matières
IAMrôles pour la publication des journaux de flux dans CloudWatch Logs
Le IAM rôle associé à votre journal de flux doit disposer d'autorisations suffisantes pour publier des journaux de flux dans le groupe de CloudWatch journaux spécifié dans Logs. Le IAM rôle doit vous appartenir Compte AWS.
La IAM politique associée à votre IAM rôle doit inclure au moins les autorisations suivantes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
Assurez-vous également que votre rôle dispose d'une relation d'approbation qui permet au service de journaux de flux d'assumer le rôle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Nous vous recommandons d'utiliser les clés de condition aws:SourceAccount
et aws:SourceArn
pour vous protéger contre le problème du député confus. Par exemple, vous pouvez ajouter le bloc de condition suivant à la stratégie d’approbation précédente. Le compte source est le propriétaire du journal de flux et la source ARN est le journal de fluxARN. Si vous ne connaissez pas l'ID du journal de flux, vous pouvez remplacer cette partie par un caractère générique (*), puis mettre à jour la politique après avoir créé le journal de flux. ARN
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id
"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region
:account_id
:vpc-flow-log/flow-log-id
"
}
}
Autorisations permettant IAM aux utilisateurs de transmettre un rôle
Les utilisateurs doivent également être autorisés à utiliser l'iam:PassRole
action pour le IAM rôle associé au journal de flux.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::
account-id
:role/flow-log-role-name
" } ] }