CloudWatch Logs에 게시하는 흐름 로그 생성 - Amazon Virtual Private Cloud

CloudWatch Logs에 게시하는 흐름 로그 생성

VPC, 서브넷 또는 네트워크 인터페이스에 대한 흐름 로그를 생성할 수 있습니다. 특정 IAM 역할을 사용하는 사용자로 이러한 단계를 수행하는 경우 iam:PassRole 작업을 사용할 수 있는 권한이 있는지 확인하십시오.

사전 조건

요청을 수행하는 데 사용 중인 IAM 보안 주체에 iam:PassRole 작업을 직접적으로 호출할 수 있는 권한이 있는지 확인하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["iam:PassRole"],
      "Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
    }
  ]
}
콘솔을 사용하여 흐름 로그를 생성하는 방법

  1. 다음 중 하나를 수행합니다.

  2. 작업(Actions), 흐름 로그 생성(Create flow log)을 선택합니다.

  3. 필터(Filter)에 기록할 트래픽 유형을 지정합니다. 모두(All)를 선택하여 수락된 트래픽 및 거부된 트래픽을 기록하거나, 거부(Reject)를 선택하여 거부된 트래픽만 기록하거나, 수락(Accept)을 선택해 수락된 트래픽만 기록합니다.

  4. Maximum aggregation interval(최대 집계 간격)에서 흐름이 캡처되어 흐름 로그 레코드로 집계되는 최대 기간을 선택합니다.

  5. Destination(대상)에서 Send to CloudWatch Logs(CloudWatch Logs로 전송)를 선택합니다.

  6. 대상 로그 그룹에서 기존 로그 그룹의 이름을 선택하거나 이 흐름 로그를 생성할 때 생성될 새 로그 그룹의 이름을 입력합니다.

  7. IAM 역할(IAM role)에서 CloudWatch Logs에 로그를 게시할 권한이 있는 역할의 이름을 지정합니다.

  8. 로그 레코드 형식(Log record format)에서 흐름 로그 레코드의 형식을 선택합니다.

    • 기본 형식을 사용하려면 AWS 기본 형식(default format)을 선택하세요.

    • 사용자 지정 형식을 사용하려면 사용자 지정 형식(Custom format)을 선택하고 로그 형식(Log format)에서 필드를 선택합니다.

  9. 추가 메타데이터에서 Amazon ECS의 메타데이터를 로그 형식으로 포함할지 선택합니다.

  10. (선택 사항) 새 태그 추가(Add new tag)를 선택하여 흐름 로그에 태그를 적용합니다.

  11. 흐름 로그 생성(Create flow log)을 선택합니다.

명령줄을 사용하여 흐름 로그를 만들려면 다음을 수행합니다.

다음 명령 중 하나를 사용합니다.

다음 AWS CLI 예시에서는 지정된 서브넷에 대해 수락된 모든 트래픽을 캡처하는 흐름 로그를 생성합니다. 흐름 로그가 지정된 로그 그룹에 전송됩니다. --deliver-logs-permission-arn 파라미터에서는 CloudWatch Logs에 게시하는 데 필요한 IAM 역할을 지정합니다.

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs