AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch - AWS Systems Manager 자동화 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch

설명

AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch 런북은 흐름 로그 데이터를 Amazon Simple Storage Service (Amazon S3) 에 게시하는 기존 Amazon VPC 흐름 로그를 사용자가 지정하는 Amazon Logs (Logs) 로그 그룹에 흐름 로그 데이터를 게시하는 흐름 로그로 대체합니다. CloudWatch CloudWatch

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

Parameters

  • AutomationAssume역할

    타입: 문자열

    설명: (필수) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다.

  • DestinationLog그룹

    타입: 문자열

    설명: (필수) 흐름 CloudWatch 로그 데이터를 게시하려는 로그 로그 그룹의 이름입니다.

  • DeliverLogsPermissionArn

    타입: 문자열

    설명: (필수) Amazon Elastic Compute Cloud AWS Identity and Access Management (Amazon EC2) 에 흐름 로그 데이터를 로그에 게시하는 데 필요한 권한을 제공하는, 사용하려는 (IAM) 역할의 ARN입니다. CloudWatch

  • FlowLogId.

    타입: 문자열

    설명: (필수) 교체하려는 Amazon S3에 게시하는 흐름 로그의 ID입니다.

  • MaxAggregation인터벌

    유형: 정수

    유효한 값: 60 | 600

    설명: (선택 사항) 패킷 흐름을 캡처하고 흐름 로그 레코드로 집계하는 최대 시간 간격(초)입니다.

  • TrafficType

    타입: 문자열

    유효한 값: ACCEPT | REJECT | ALL

    설명: (필수) 기록하고 게시하려는 흐름 로그 데이터의 유형입니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

문서 단계

  • aws:executeAwsApi - FlowLogId 파라미터에서 지정하는 값에서 VPC에 대한 세부 정보를 수집합니다.

  • aws:executeAwsApi - 실행서 파라미터에 대해 지정하는 값을 기반으로 흐름 로그를 생성합니다.

  • aws:assertAwsResourceProperty- 새로 만든 흐름 로그가 Logs에 CloudWatch 게시되는지 확인합니다.

  • aws:executeAwsApi - Amazon S3에 게시하는 흐름 로그를 삭제합니다.

  • aws:executeScript - Amazon S3에 게시된 흐름 로그가 삭제되었는지 확인합니다.