AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket

Descrição

O AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket runbook substitui um log de VPC fluxo existente da Amazon que publica dados de log de fluxo no Amazon CloudWatch Logs (CloudWatch Logs) por um log de fluxo que publica dados de log de fluxo no bucket do Amazon Simple Storage Service (Amazon S3) que você especificar.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: string

    Descrição: (Obrigatório) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome.

  • Destinos 3 BucketArn

    Tipo: string

    Descrição: (Obrigatório) O ARN do bucket do Amazon S3 no qual você deseja publicar dados de log de fluxo.

  • FlowLogId

    Tipo: string

    Descrição: (Obrigatório) O ID do registro de fluxo que é publicado nos CloudWatch registros que você deseja substituir.

  • MaxAggregationInterval

    Tipo: número inteiro

    Valores válidos: 60 | 600

    Descrição: (opcional) o intervalo máximo de tempo, em segundos, durante o qual um fluxo de pacotes é capturado e agregado em um registro de log de fluxo.

  • TrafficType

    Tipo: string

    Valores válidos: ACCEPT | REJECT | ALL

    Descrição: (obrigatório) O tipo de dados de log de fluxo que deseja registrar e publicar.

IAMPermissões necessárias

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

Etapas do documento

  • aws:executeAwsApi- Reúne detalhes sobre você a VPC partir do valor especificado no FlowLogId parâmetro.

  • aws:executeAwsApi :Cria um log de fluxo com base nos valores que especificados para os parâmetros do runbook.

  • aws:assertAwsResourceProperty - Verifica se o log de fluxo recém-criado é publicado no Amazon S3.

  • aws:executeAwsApi- Exclui o registro de fluxo que é publicado no Logs. CloudWatch

  • aws:executeScript- Confirma que o registro de fluxo publicado no CloudWatch Logs foi excluído.