翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-EnableVPCFlowLogs
説明
AWSSupport-EnableVPCFlowLogs ランブックは、 AWS アカウント内のサブネット、ネットワークインターフェイス、および VPC の Amazon Virtual Private Cloud (Amazon VPC) フローログを作成します。サブネットまたは VPC のフローログを作成する場合、そのサブネットまたは Amazon VPC 内の各エラスティックネットワークインターフェイスが監視されます。フローログデータは、Amazon CloudWatch Logs ロググループまたは指定した Amazon Simple Storage Service (Amazon S3) バケットに公開されます。詳細については、Amazon VPC ユーザーガイドのVPC フローログを参照してください。
重要
フローログを CloudWatch Logs または Amazon S3 に発行すると、提供されたログに対するデータの取り込み料金とアーカイブ料金が適用されます。詳細については、「フローログの料金」を参照してください。
注記
ログの送信先s3として を選択するときは、バケットポリシーでログ配信サービスがバケットにアクセスできることを確認してください。詳細については、「フローログの Amazon S3 バケットのアクセス許可」を参照してください。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
タイプ: 文字列
説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
DeliverLogsPermissionArn
タイプ: 文字列
説明: (オプション) Amazon Elastic Compute Cloud (Amazon EC2) がアカウントの CloudWatch Logs ロググループにフローログを発行することを許可する IAM ロールの ARN。
LogDestinationTypeパラメータにs3を指定する場合は、このパラメータの値を指定しないでください。詳細については、「Amazon VPC User Guide」の「フローログを CloudWatch Logs に発行する」を参照してください。 -
LogDestinationARN
タイプ: 文字列
説明: (オプション) フローログデータが発行されたリソースの ARN。
LogDestinationTypeパラメータにcloud-watch-logsが指定されている場合は、フローログデータの公開先となる CloudWatch Logs ロググループの ARN を指定します。または、代わりにLogGroupNameを使用します。LogDestinationTypeパラメータにs3を指定する場合は、このパラメータに、フローログデータの公開先となる Amazon S3 バケットの ARN を指定する必要があります。バケットにフォルダを指定することもできます。重要
s3として を選択するLogDestinationTypeときは、選択したバケットが Amazon S3 バケットのセキュリティのベストプラクティスに従っていること、および組織と地域のデータプライバシー法に従っていることを確認する必要があります。 -
LogDestinationType
タイプ: 文字列
有効な値: cloud-watch-logs | s3
説明: (必須) フローログデータを公開する場所を決定します。
LogDestinationTypeをs3として指定した場合は、DeliverLogsPermissionArnまたはLogGroupNameを指定しないでください。 -
LogFormat
タイプ: 文字列
説明: フローログに含めるフィールド、およびレコードに表示される順番。使用可能なフィールドのリストについては、Amazon VPC ユーザーガイドの「フローログレコード」を参照してください。このパラメータに値を指定しない場合、フローログはデフォルトの形式で作成されます。このパラメータを指定する場合は、少なくとも 1 つのフィールドを指定する必要があります。
-
LogGroupName
タイプ: 文字列
説明: (オプション) フローログデータの公開先となる CloudWatch Logs ロググループの名前。
LogDestinationTypeパラメータにs3を指定する場合は、このパラメータの値を指定しないでください。 -
ResourceIds
タイプ: StringList
説明: (必須) フローログを作成するサブネット、エラスティックネットワークインターフェイス、または VPC の ID のカンマ区切りリスト。
-
TrafficType
タイプ: 文字列
有効な値 :ACCEPT | REJECT | ALL
説明: (必須) 記録するトラフィックのタイプ。リソースが受け入れたトラフィックまたは拒否したトラフィック、またはすべてのトラフィックを記録できます。
必要な IAM アクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
ec2:CreateFlowLogs -
ec2:DeleteFlowLogs -
ec2:DescribeFlowLogs -
iam:AttachRolePolicy -
iam:CreateRole -
iam:CreatePolicy -
iam:DeletePolicy -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:GetPolicy -
iam:GetRole -
iam:TagRole -
iam:PassRole -
iam:PutRolePolicy -
iam:UpdateRole -
logs:CreateLogDelivery -
logs:CreateLogGroup -
logs:DeleteLogDelivery -
logs:DeleteLogGroup -
logs:DescribeLogGroups -
logs:DescribeLogStreams -
s3:GetBucketLocation -
s3:GetBucketAcl -
s3:GetBucketPublicAccessBlock -
s3:GetBucketPolicyStatus -
s3:GetBucketAcl -
s3:ListBucket -
s3:PutObject
サンプルポリシー
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSM Execution Permissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2 FlowLogs Permissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}" }, { "Sid": "IAM CreateRole Permissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:{partition}:iam::{account-id}:role/{role name}", "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatch Logs Permissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}", "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*" ] }, { "Sid": "S3 Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:{partition}:s3:::{bucket name}", "arn:{partition}:s3:::{bucket name}/*" ] } ] }
ドキュメントステップ
-
aws:branch-LogDestinationTypeパラメータで指定した値に基づいて分岐させます。 -
aws:executeScript- ターゲット Amazon Simple Storage Service (Amazon S3) がオブジェクトへの読み取りまたは書き込みpublicアクセスを許可する可能性があるかどうかを確認します。 -
aws:executeScript-LogDestinationARNパラメータに値が指定されておらず、LogDestinationTypeパラメータにcloud-watch-logsが指定されている場合は、ロググループを作成します。 -
aws:executeScript- ランブックパラメータで指定された値に基づくフローログを作成します。
