기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWSSupport-EnableVPCFlowLogs
설명
AWSSupport-EnableVPCFlowLogs
실행서는 사용자의 AWS 계정에서 서브넷, 네트워크 인터페이스 및 VPC에 대한 Amazon Virtual Private Cloud(VPC) 흐름 로그를 생성합니다. 서브넷이나 VPC에 대한 흐름 로그를 생성할 경우, 서브넷 또는 Amazon VPC의 각각의 탄력적 네트워크 인터페이스가 모니터링됩니다. 흐름 로그 데이터는 지정한 Amazon CloudWatch Logs 로그 그룹 또는 Amazon Simple Storage Service (Amazon S3) 버킷에 게시됩니다. 흐름 로그에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC 흐름 로그를 참조하세요.
중요
벤디드 로그의 데이터 수집 및 보관 요금은 흐름 로그를 Logs 또는 Amazon S3에 게시할 CloudWatch 때 적용됩니다. 자세한 내용은 흐름 로그 요금을 참조하세요.
참고
로그 s3
대상으로 선택할 때는 버킷 정책이 로그 전송 서비스가 버킷에 액세스할 수 있도록 허용하는지 확인하십시오. 자세한 내용은 흐름 로그에 대한 Amazon S3 버킷 권한을 참조하십시오.
문서 유형
자동화
소유자
Amazon
플랫폼
Linux, macOS, Windows
Parameters
-
AutomationAssumeRole
타입: 문자열
설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.
-
DeliverLogsPermissionArn
타입: 문자열
설명: (선택 사항) Amazon Elastic Compute Cloud (Amazon EC2) 가 사용자 계정의 로그 로그 그룹에 흐름 로그를 게시할 수 있도록 허용하는 IAM 역할용 ARN입니다. CloudWatch
LogDestinationType
파라미터에 대해s3
을 지정하는 경우, 이 파라미터의 값을 제공하지 마십시오. 자세한 내용은 Amazon VPC 사용 설명서의 CloudWatch 로그에 흐름 로그 게시를 참조하십시오. -
LogDestinationARN
타입: 문자열
설명: (선택 사항) 흐름 로그 데이터가 게시되는 리소스의 ARN입니다.
LogDestinationType
매개 변수에cloud-watch-logs
가 지정된 경우 흐름 로그 데이터를 게시하려는 CloudWatch 로그 로그 그룹의 ARN을 제공하십시오. 또는LogGroupName
을 대신 사용합니다.s3
이LogDestinationType
파라미터에 대해 지정되는 경우, 이 파라미터에 대해 흐름 로그 데이터를 게시하려는 Amazon S3 버킷의 ARN을 지정해야 합니다. 버킷에 폴더를 지정할 수도 있습니다.중요
LogDestinationType
를 선택할s3
때는 선택한 버킷이 Amazon S3 버킷 보안 모범 사례를 따르고 조직 및 지역의 데이터 개인 정보 보호법을 준수하는지 확인해야 합니다. -
LogDestinationType
타입: 문자열
유효한 값: | s3 cloud-watch-logs
설명: (필수) 흐름 로그 데이터가 게시되는 위치를 결정합니다.
LogDestinationType
을s3
로 지정한 경우DeliverLogsPermissionArn
또는LogGroupName
을 지정하지 마십시오. -
LogFormat
타입: 문자열
설명: (선택 사항) 흐름 로그 레코드에 포함할 필드 및 레코드에 표시되는 순서입니다. 사용 가능한 필드 목록은 Amazon VPC 사용 설명서의 흐름 로그 레코드를 참조하세요. 이 파라미터에 대해 값을 제공하지 않으면 기본 형식을 사용하여 흐름 로그가 생성됩니다. 이 파라미터를 지정하는 경우 하나 이상의 필드를 지정해야 합니다.
-
LogGroupName
타입: 문자열
설명: (선택 사항) 흐름 CloudWatch 로그 데이터가 게시되는 로그 로그 그룹의 이름입니다.
LogDestinationType
파라미터에 대해s3
을 지정하는 경우, 이 파라미터의 값을 제공하지 마십시오. -
ResourceIds
유형: StringList
설명: (필수) 흐름 로그를 생성하려는 서브넷, 탄력적 네트워크 인터페이스 또는 VPC의 ID를 쉼표로 구분한 목록입니다.
-
TrafficType
타입: 문자열
유효한 값: ACCEPT | REJECT | ALL
설명: (필수) 로그할 트래픽의 유형입니다. 리소스가 수락하거나 거부하는 트래픽 또는 모든 트래픽을 로깅할 수 있습니다.
필수 IAM 권한
실행서를 성공적으로 사용하려면 AutomationAssumeRole
파라미터에 다음 작업이 필요합니다.
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
-
ec2:CreateFlowLogs
-
ec2:DeleteFlowLogs
-
ec2:DescribeFlowLogs
-
iam:AttachRolePolicy
-
iam:CreateRole
-
iam:CreatePolicy
-
iam:DeletePolicy
-
iam:DeleteRole
-
iam:DeleteRolePolicy
-
iam:GetPolicy
-
iam:GetRole
-
iam:TagRole
-
iam:PassRole
-
iam:PutRolePolicy
-
iam:UpdateRole
-
logs:CreateLogDelivery
-
logs:CreateLogGroup
-
logs:DeleteLogDelivery
-
logs:DeleteLogGroup
-
logs:DescribeLogGroups
-
logs:DescribeLogStreams
-
s3:GetBucketLocation
-
s3:GetBucketAcl
-
s3:GetBucketPublicAccessBlock
-
s3:GetBucketPolicyStatus
-
s3:GetBucketAcl
-
s3:ListBucket
-
s3:PutObject
샘플 정책
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSM Execution Permissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2 FlowLogs Permissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "arn:{partition}:ec2:{region}:{account-id}:{instance|subnet|vpc|transit-gateway|transit-gateway-attachment}/{resource ID}" }, { "Sid": "IAM CreateRole Permissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:{partition}:iam::{account-id}:role/{role name}", "arn:{partition}:iam::{account-id}:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatch Logs Permissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}", "arn:{partition}:logs:{region}:{account-id}:log-group:{log group name}:*" ] }, { "Sid": "S3 Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:{partition}:s3:::{bucket name}", "arn:{partition}:s3:::{bucket name}/*" ] } ] }
문서 단계
-
aws:branch
-LogDestinationType
파라미터에 대해 지정된 값을 기반으로 분기합니다. -
aws:executeScript
- 대상 Amazon Simple Storage 서비스 (Amazon S3) 가 잠재적으로 해당 객체에 대한 읽기 또는public
쓰기 액세스 권한을 부여하는지 확인합니다. -
aws:executeScript
-LogDestinationARN
파라미터에 값이 지정되지 않고LogDestinationType
파라미터에 대해cloud-watch-logs
값이 지정된 경우 로그 그룹을 생성합니다. -
aws:executeScript
- 실행서 파라미터에서 지정된 값을 기반으로 흐름 로그를 생성합니다.