AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch - AWS Systems Manager 自动化运行手册参考

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch

描述

AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch运行手册将向亚马逊简单存储服务 (Amazon S3) Simple Storage Service 发布流日志数据的现有 Amazon VPC 流日志替换为将流日志数据发布到您指定的 CloudWatch 亚马逊日志CloudWatch (日志)日志组的流日志。

运行此自动化(控制台)

文档类型

自动化

所有者

Amazon

平台

Linux、macOS、Windows

参数

  • AutomationAssumeRole

    类型:字符串

    描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。

  • DestinationLogGroup

    类型:字符串

    描述:(必填)要向其发布流 CloudWatch 日志数据的日志组的名称。

  • DeliverLogsPermissionArn

    类型:字符串

    描述:(必填)您要使用的 AWS Identity and Access Management (IAM) 角色的 ARN,该角色为亚马逊弹性计算云 (Amazon EC2) 提供向日志发布流日志数据的必要权限。 CloudWatch

  • FlowLogId

    类型:字符串

    描述:(必需)要替换的发布到 Amazon S3 的流日志的 ID。

  • MaxAggregationInterval

    类型:整数

    有效值:60 | 600

    描述:(可选)捕获数据包流并聚合到流日志记录中的最长时间间隔(以秒为单位)。

  • TrafficType

    类型:字符串

    有效值:ACCEPT | REJECT | ALL

    描述:(必需)要记录和发布的流日志数据的类型。

所需的 IAM 权限

AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

文档步骤

  • aws:executeAwsApi - 从您在 FlowLogId 参数中指定的值收集有关 VPC 的详细信息。

  • aws:executeAwsApi - 根据您为运行手册参数指定的值创建一个流日志。

  • aws:assertAwsResourceProperty-验证新创建的流日志已发布到 CloudWatch 日志。

  • aws:executeAwsApi - 删除发布到 Amazon S3 的流日志。

  • aws:executeScript - 确认发布到 Amazon S3 的流日志已删除。