AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch

설명

AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch 실행서는 흐름 로그 데이터를 Amazon Simple Storage Service (Amazon S3)에 게시하는 기존 Amazon VPC 흐름 로그를 지정하는 Amazon CloudWatch Logs(CloudWatch Logs) 버킷에 흐름 로그 데이터를 게시하는 흐름 로그로 대체합니다.

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

파라미터

• AutomationAssumeRole

  유형: 문자열

  설명: (필수) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다.

• DestinationLogGroup

  유형: 문자열

  설명: (필수) 흐름 로그 데이터를 게시하려는 CloudWatch Logs 로그 그룹의 이름입니다.

• DeliverLogsPermissionArn

  유형: 문자열

  설명: (필수) CloudWatch Logs에 흐름 로그 데이터를 게시하는 데 필요한 권한을 Amazon Elastic Compute Cloud(Amazon EC2)에 제공하는 사용하려는 AWS Identity and Access Management (IAM) 역할의 ARN입니다.

• FlowLogId

  유형: 문자열

  설명: (필수) 교체하려는 Amazon S3에 게시하는 흐름 로그의 ID입니다.

• MaxAggregationInterval

  유형: 정수

  유효한 값: 60 | 600

  설명: (선택 사항) 패킷 흐름을 캡처하고 흐름 로그 레코드로 집계하는 최대 시간 간격(초)입니다.

• TrafficType

  유형: 문자열

  유효한 값: ACCEPT | REJECT | ALL

  설명: (필수) 기록하고 게시하려는 흐름 로그 데이터의 유형입니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

• ssm:StartAutomationExecution

• ssm:GetAutomationExecution

• ec2:CreateFlowLogs

• ec2:DeleteFlowLogs

• ec2:DescribeFlowLogs

문서 단계

• aws:executeAwsApi - FlowLogId 파라미터에서 지정하는 값에서 VPC에 대한 세부 정보를 수집합니다.

• aws:executeAwsApi - 실행서 파라미터에 대해 지정하는 값을 기반으로 흐름 로그를 생성합니다.

• aws:assertAwsResourceProperty - 새로 생성된 흐름 로그가 CloudWatch Logs에 게시되는지 확인합니다.

• aws:executeAwsApi - Amazon S3에 게시하는 흐름 로그를 삭제합니다.

• aws:executeScript - Amazon S3에 게시된 흐름 로그가 삭제되었는지 확인합니다.