本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket
描述
该AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket运行手册将向亚马逊 CloudWatch 日志(日志)发布流日志数据的现有 Amazon VPC 流CloudWatch 日志替换为将流日志数据发布到您指定的亚马逊简单存储服务 (Amazon S3) 存储桶的流日志。
文档类型
自动化
所有者
Amazon
平台
Linux,macOS, Windows
参数
-
AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
-
目的地 3 BucketArn
类型:字符串
描述:(必需)要将流日志数据发布到的 Amazon S3 存储桶的 ARN。
-
FlowLogId
类型:字符串
描述:(必填)发布到要替换的 CloudWatch 日志的流日志的 ID。
-
MaxAggregationInterval
类型:整数
有效值:60 | 600
描述:(可选)捕获数据包流并聚合到流日志记录中的最长时间间隔(以秒为单位)。
-
TrafficType
类型:字符串
有效值:ACCEPT | REJECT | ALL
描述:(必需)要记录和发布的流日志数据的类型。
所需的 IAM 权限
AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
ec2:CreateFlowLogs -
ec2:DeleteFlowLogs -
ec2:DescribeFlowLogs
文档步骤
-
aws:executeAwsApi- 从您在FlowLogId参数中指定的值收集有关 VPC 的详细信息。 -
aws:executeAwsApi- 根据您为运行手册参数指定的值创建一个流日志。 -
aws:assertAwsResourceProperty- 验证新创建的流日志是否发布到 Amazon S3。 -
aws:executeAwsApi-删除发布到日志的流 CloudWatch 日志。 -
aws:executeScript-确认已删除发布到 CloudWatch 日志的流日志。
