기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch
설명
이 AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch
런북은 VPC 흐름 로그 데이터를 Amazon Simple Storage Service (Amazon S3) 에 게시하는 기존 Amazon 흐름 CloudWatch 로그를 사용자가 지정하는 Amazon Logs (Logs) 로그 그룹에 흐름 로그 데이터를 게시하는 흐름 로그로 대체합니다. CloudWatch
문서 유형
자동화
소유자
Amazon
플랫폼
Linux, macOS, Windows
Parameters
-
AutomationAssumeRole
유형: 문자열
설명: (필수) Systems Manager Automation이 사용자를 대신하여 작업을 수행할 수 있도록 하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름 (). ARN
-
DestinationLogGroup
유형: 문자열
설명: (필수) 흐름 CloudWatch 로그 데이터를 게시하려는 로그 로그 그룹의 이름입니다.
-
DeliverLogsPermissionArn
유형: 문자열
설명: (필수) Amazon Elastic Compute Cloud AWS Identity and Access Management (AmazonIAM) 에 플로우 로그 데이터를 로그에 게시하는 데 필요한 권한을 제공하는, 사용하려는 (EC2) 역할입니다. ARN CloudWatch
-
FlowLogId
유형: 문자열
설명: (필수) 교체하려는 Amazon S3에 게시하는 흐름 로그의 ID입니다.
-
MaxAggregationInterval
유형: 정수
유효한 값: 60 | 600
설명: (선택 사항) 패킷 흐름을 캡처하고 흐름 로그 레코드로 집계하는 최대 시간 간격(초)입니다.
-
TrafficType
유형: 문자열
유효한 값: ACCEPT | | REJECT ALL
설명: (필수) 기록하고 게시하려는 흐름 로그 데이터의 유형입니다.
필수 IAM 권한
실행서를 성공적으로 사용하려면 AutomationAssumeRole
파라미터에 다음 작업이 필요합니다.
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
-
ec2:CreateFlowLogs
-
ec2:DeleteFlowLogs
-
ec2:DescribeFlowLogs
문서 단계
-
aws:executeAwsApi
-FlowLogId
매개변수에 지정한 값을 사용하여 VPC 사용자에 대한 세부 정보를 수집합니다. -
aws:executeAwsApi
- 실행서 파라미터에 대해 지정하는 값을 기반으로 흐름 로그를 생성합니다. -
aws:assertAwsResourceProperty
- 새로 만든 흐름 로그가 Logs에 게시되는지 확인합니다. CloudWatch -
aws:executeAwsApi
- Amazon S3에 게시하는 흐름 로그를 삭제합니다. -
aws:executeScript
- Amazon S3에 게시된 흐름 로그가 삭제되었는지 확인합니다.