Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Transit Gateway Flow registra i record in Amazon CloudWatch Logs
I log di flusso possono pubblicare i dati dei log di flusso direttamente su Amazon CloudWatch.
Quando vengono pubblicati su CloudWatch Logs, i dati del log di flusso vengono pubblicati in un gruppo di log e ogni gateway di transito ha un flusso di log unico nel gruppo di log. I flussi di log contengono record del log di flusso. Puoi creare più log di flusso che pubblicano dati nello stesso gruppo di log. Se lo stesso gateway di transito è presente in uno o più registri di flusso nello stesso gruppo di flussi di log, esso dispone di un flusso di log combinato. Se è stato specificato che un log di flusso deve acquisire traffico rifiutato e l'altro log di flusso deve acquisire traffico accettato, il flusso di log combinato acquisisce tutto il traffico.
I costi di inserimento e archiviazione dei dati per i log venduti si applicano quando si pubblicano i log di flusso su Logs. CloudWatch Per ulteriori informazioni, consulta la pagina CloudWatch dei prezzi di Amazon
In CloudWatch Logs, il campo timestamp corrisponde all'ora di inizio registrata nel record del log di flusso. Il campo IngestionTime fornisce la data e l'ora in cui il record del log di flusso è stato ricevuto da Logs. CloudWatch Questo timestamp è successivo all'ora di fine acquisita nel record del log di flusso.
Per ulteriori informazioni sui CloudWatch log, consulta Logs sent to Logs nella Amazon CloudWatch CloudWatch Logs User Guide.
Indice
Ruoli IAM per la pubblicazione dei log di flusso in Logs CloudWatch
Il ruolo IAM associato al log di flusso deve disporre di autorizzazioni sufficienti per pubblicare i log di flusso nel gruppo di log specificato in Logs. CloudWatch Il ruolo IAM deve appartenere al tuo. Account AWS
La policy IAM collegata al ruolo IAM deve includere almeno le autorizzazioni seguenti:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
Accertarti inoltre che il ruolo disponga di una relazione di trust che consenta al servizio log di flusso di assumere il ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Si consiglia di utilizzare il le chiavi di condizione aws:SourceAccount e aws:SourceArn per proteggersi dal problema del "confused deputy". Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. L'account di origine è il proprietario del flusso di log e l'ARN di origine è l'ARN del flusso di log. Se non si conosce l'ID del flusso di log, è possibile sostituire quella parte dell'ARN con un carattere jolly (*) e quindi aggiornare la policy dopo aver creato il flusso di log.
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}Autorizzazioni per gli utenti IAM per passare un ruolo
Gli utenti devono anche disporre delle autorizzazioni per utilizzare l'operazione iam:PassRole per il ruolo IAM associato al log di flusso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ] }
