AWSSupport-EnableVPCFlowLogs - AWS Systems Manager 자동화 실행서 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-EnableVPCFlowLogs

설명

AWSSupport-EnableVPCFlowLogs 실행서는 사용자의 AWS 계정에서 서브넷, 네트워크 인터페이스 및 VPC에 대한 Amazon Virtual Private Cloud(VPC) 흐름 로그를 생성합니다. 서브넷이나 VPC에 대한 흐름 로그를 생성할 경우, 서브넷 또는 Amazon VPC의 각각의 탄력적 네트워크 인터페이스가 모니터링됩니다. 흐름 로그 데이터는 지정한 Amazon CloudWatch Logs 로그 그룹 또는 Amazon Simple Storage Service (Amazon S3) 버킷에 게시됩니다. 흐름 로그에 대한 자세한 내용은 Amazon VPC 사용 설명서VPC 흐름 로그를 참조하세요.

중요

벤디드 로그의 데이터 수집 및 보관 요금은 흐름 로그를 Logs 또는 Amazon S3에 게시할 CloudWatch 때 적용됩니다. 자세한 내용은 흐름 로그 요금을 참조하세요.

이 자동화 실행(콘솔)

참고

로그 s3 대상으로 선택할 때는 버킷 정책이 로그 전송 서비스가 버킷에 액세스할 수 있도록 허용하는지 확인하십시오. 자세한 내용은 흐름 로그에 대한 Amazon S3 버킷 권한을 참조하십시오.

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

Parameters

  • AutomationAssumeRole

    타입: 문자열

    설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • DeliverLogsPermissionArn

    타입: 문자열

    설명: (선택 사항) Amazon Elastic Compute Cloud (Amazon EC2) 가 사용자 계정의 로그 로그 그룹에 흐름 로그를 게시할 수 있도록 허용하는 IAM 역할용 ARN입니다. CloudWatch LogDestinationType 파라미터에 대해 s3을 지정하는 경우, 이 파라미터의 값을 제공하지 마십시오. 자세한 내용은 Amazon VPC 사용 설명서의 CloudWatch 로그에 흐름 로그 게시를 참조하십시오.

  • LogDestinationARN

    타입: 문자열

    설명: (선택 사항) 흐름 로그 데이터가 게시되는 리소스의 ARN입니다. LogDestinationType매개 변수에 cloud-watch-logs 가 지정된 경우 흐름 로그 데이터를 게시하려는 CloudWatch 로그 로그 그룹의 ARN을 제공하십시오. 또는 LogGroupName을 대신 사용합니다. s3LogDestinationType 파라미터에 대해 지정되는 경우, 이 파라미터에 대해 흐름 로그 데이터를 게시하려는 Amazon S3 버킷의 ARN을 지정해야 합니다. 버킷에 폴더를 지정할 수도 있습니다.

    중요

    LogDestinationType를 선택할 s3 때는 선택한 버킷이 Amazon S3 버킷 보안 모범 사례를 따르고 조직 및 지역의 데이터 개인 정보 보호법을 준수하는지 확인해야 합니다.

  • LogDestinationType

    타입: 문자열

    유효한 값: | s3 cloud-watch-logs

    설명: (필수) 흐름 로그 데이터가 게시되는 위치를 결정합니다. LogDestinationTypes3로 지정한 경우 DeliverLogsPermissionArn 또는 LogGroupName을 지정하지 마십시오.

  • LogFormat

    타입: 문자열

    설명: (선택 사항) 흐름 로그 레코드에 포함할 필드 및 레코드에 표시되는 순서입니다. 사용 가능한 필드 목록은 Amazon VPC 사용 설명서흐름 로그 레코드를 참조하세요. 이 파라미터에 대해 값을 제공하지 않으면 기본 형식을 사용하여 흐름 로그가 생성됩니다. 이 파라미터를 지정하는 경우 하나 이상의 필드를 지정해야 합니다.

  • LogGroupName

    타입: 문자열

    설명: (선택 사항) 흐름 CloudWatch 로그 데이터가 게시되는 로그 로그 그룹의 이름입니다. LogDestinationType 파라미터에 대해 s3을 지정하는 경우, 이 파라미터의 값을 제공하지 마십시오.

  • ResourceIds

    유형: StringList

    설명: (필수) 흐름 로그를 생성하려는 서브넷, 탄력적 네트워크 인터페이스 또는 VPC의 ID를 쉼표로 구분한 목록입니다.

  • TrafficType

    타입: 문자열

    유효한 값: ACCEPT | REJECT | ALL

    설명: (필수) 로그할 트래픽의 유형입니다. 리소스가 수락하거나 거부하는 트래픽 또는 모든 트래픽을 로깅할 수 있습니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:CreatePolicy

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:TagRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • s3:GetBucketLocation

  • s3:GetBucketAcl

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketPolicyStatus

  • s3:GetBucketAcl

  • s3:ListBucket

  • s3:PutObject

샘플 정책

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSM Execution Permissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2 FlowLogs Permissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}" }, { "Sid": "IAM CreateRole Permissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:{partition}:iam::{account-id}:role/{role name}", "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatch Logs Permissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}", "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*" ] }, { "Sid": "S3 Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:{partition}:s3:::{bucket name}", "arn:{partition}:s3:::{bucket name}/*" ] } ] }

문서 단계

  • aws:branch - LogDestinationType 파라미터에 대해 지정된 값을 기반으로 분기합니다.

  • aws:executeScript- 대상 Amazon Simple Storage 서비스 (Amazon S3) 가 잠재적으로 해당 객체에 대한 읽기 또는 public 쓰기 액세스 권한을 부여하는지 확인합니다.

  • aws:executeScript - LogDestinationARN 파라미터에 값이 지정되지 않고 LogDestinationType 파라미터에 대해 cloud-watch-logs 값이 지정된 경우 로그 그룹을 생성합니다.

  • aws:executeScript - 실행서 파라미터에서 지정된 값을 기반으로 흐름 로그를 생성합니다.