View a markdown version of this page

VPC フローログの AWS マネージドポリシー - Amazon Virtual Private Cloud
AWSVPCFlowLogsServiceRolePolicy AWS マネージドポリシーに対する更新

VPC フローログの AWS マネージドポリシー

VPC フローログを使用しており、タグフィールドおよび関連付けられた TagFieldSpecifications パラメータを使用してサブスクリプションを作成した場合、AWSVPCFlowLogsServiceRolePolicy マネージドポリシーが IAM アカウント内に自動的に作成され、AWSServiceRoleForVPCFlowLogsサービスリンクロールにアタッチされます。

このマネージドポリシーによって、VPCフローログでは次のことが実行できるようになります。

  • EventBridge マネージドルールを作成および管理し、VPC フローログサービスにタグ更新イベントを送信する。

  • 顧客に代わって API を呼び出し、ログエンリッチメントのタグ値の鮮度を検証する。

次の例は、作成されるマネージドポリシーの詳細を表示したものです。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}

前の例の 1 つ目のステートメントにより、VPC フローログはタグ変更イベントに関連する詳細タイプのソース aws.tagaws.autoscaling について、AWS アカウント内に EventBridge マネージドルールを作成できるようになります。

前の例の 2 つ目のステートメントにより、VPC フローログは、VPCFlowLogsEC2TagsManagedRule および/または VPCFlowLogsASGTagsManagedRule という名前のリソースの AWS アカウント内で作成されたマネージドルールのライフサイクルを制御できるようになります。

前の例の 3 つ目のステートメントにより、VPC フローログは顧客に代わってタグ API を呼び出し、ログエンリッチメントのタグ値の鮮度を検証できるようになります。

AWS マネージドポリシー: AWSVPCFlowLogsServiceRolePolicy

AWSVPCFlowLogsServiceRolePolicy ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、VPC フローログが EventBridge マネージドルールを作成および管理し、ユーザーに代わって DescribeTag API を呼び出して、タグフィールドを含むフローログサブスクリプションのリソースに関連付けられた EC2 タグ値の更新を自動的に追跡できるようにするアクセス許可を付与します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSVPCFlowLogsServiceRolePolicy」を参照してください。

AWS マネージドポリシーに対する更新

VPC フローログの AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について示します。

変更 説明 日付
AWS マネージドポリシー: AWSVPCFlowLogsServiceRolePolicy - 新しいポリシー 新しい AWSVPCFlowLogsServiceRolePolicy ポリシーにより、VPC フローログは EventBridge マネージドルールを作成および管理し、ユーザーに代わって DescribeTag API を呼び出して、タグフィールドを含むフローログサブスクリプションのリソースに関連付けられた EC2 タグ値の更新を自動的に追跡できるようになります。 March 31, 2026
VPC フローログが変更の追跡を開始

VPC フローログは AWS マネージドポリシーの変更の追跡を開始しました。

 March 31, 2026