Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # `AWSSupport-EnableVPCFlowLogs` **Beschreibung** Das `AWSSupport-EnableVPCFlowLogs ` Runbook erstellt Amazon Virtual Private Cloud (Amazon VPC) Flow Logs für Subnetze, Netzwerkschnittstellen und VPCs in Ihrem. AWS-Konto Wenn Sie ein Flow-Protokoll für ein Subnetz oder eine VPC erstellen, wird jede elastic network interface in diesem Subnetz oder dieser Amazon VPC überwacht. Flow-Protokolldaten werden in der Amazon CloudWatch Logs-Protokollgruppe oder dem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Bucket veröffentlicht. Weitere Informationen zu Flow-Protokollen finden Sie unter [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) im *Amazon VPC-Benutzerhandbuch*. **Wichtig** Gebühren für Datenaufnahme und Archivierung von verkauften Protokollen fallen an, wenn Sie Flow-Protokolle in Logs oder Amazon CloudWatch S3 veröffentlichen. [Weitere Informationen finden Sie unter Preise für Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing) [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs) **Anmerkung** Stellen Sie bei der Auswahl `s3` als Protokollziel sicher, dass die Bucket-Richtlinie dem Log-Lieferdienst Zugriff auf den Bucket gewährt. Weitere Informationen finden Sie unter [Amazon S3 S3-Bucket-Berechtigungen für Flow-Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions). **Art des Dokuments** Automatisierung **Eigentümer** Amazon **Plattformen** Linux,macOS, Windows **Parameter** + AutomationAssumeRole Typ: Zeichenfolge Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet. + DeliverLogsPermissionArn Typ: Zeichenfolge Beschreibung: (Optional) Der ARN für die IAM-Rolle, der es Amazon Elastic Compute Cloud (Amazon EC2) ermöglicht, Flow-Logs in der CloudWatch Logs-Protokollgruppe in Ihrem Konto zu veröffentlichen. Wenn Sie `s3` für den `LogDestinationType` Parameter angeben, geben Sie keinen Wert für diesen Parameter an. Weitere Informationen finden Sie unter [Veröffentlichen von CloudWatch Flow-Protokollen in Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) im *Amazon VPC-Benutzerhandbuch*. + LogDestinationARN Typ: Zeichenfolge Beschreibung: (Optional) Der ARN der Ressource, auf der die Flow-Protokolldaten veröffentlicht werden. Wenn für den `LogDestinationType` Parameter angegeben `cloud-watch-logs` ist, geben Sie den ARN der CloudWatch Logs-Protokollgruppe an, in der Sie Flow-Log-Daten veröffentlichen möchten. Alternativ können Sie stattdessen `LogGroupName` verwenden. Wenn für den `LogDestinationType` Parameter angegeben `s3` ist, müssen Sie für diesen Parameter den ARN des Amazon S3 S3-Buckets angeben, in dem Sie Flow-Protokolldaten veröffentlichen möchten. Sie können auch einen Ordner im Bucket angeben. **Wichtig** Wenn `LogDestinationType` Sie sich für den ausgewählten Bucket entscheiden`s3`, sollten Sie sicherstellen, dass der ausgewählte [Bucket den Best Practices für die Sicherheit von Amazon S3 Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) entspricht und dass Sie die Datenschutzgesetze für Ihr Unternehmen und Ihre geografische Region einhalten. + LogDestinationType Typ: Zeichenfolge Gültige Werte: cloud-watch-logs \$1 s3 Beschreibung: (Erforderlich) Legt fest, wo Flow-Protokolldaten veröffentlicht werden. Wenn Sie `LogDestinationType` als angeben`s3`, geben Sie nicht `DeliverLogsPermissionArn` oder an`LogGroupName`. + LogFormat Typ: Zeichenfolge Beschreibung: (Optional) Die Felder, die in das Flow-Protokoll aufgenommen werden sollen, und die Reihenfolge, in der sie im Datensatz erscheinen sollen. Eine Liste der verfügbaren Felder finden Sie unter [Flow-Protokolldatensätze](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) im *Amazon VPC-Benutzerhandbuch*. Wenn Sie keinen Wert für diesen Parameter angeben, wird das Flow-Protokoll im Standardformat erstellt. Wenn Sie diesen Parameter angeben, müssen Sie mindestens ein Feld angeben. + LogGroupName Typ: Zeichenfolge Beschreibung: (Optional) Der Name der CloudWatch Logs-Protokollgruppe, in der Flow-Log-Daten veröffentlicht werden. Wenn Sie `s3` für den `LogDestinationType` Parameter angeben, geben Sie keinen Wert für diesen Parameter an. + ResourceIds Typ: StringList Beschreibung: (Erforderlich) Eine durch Kommas getrennte Liste der IDs Subnetze, Elastic Network Interfaces oder VPC, für die Sie ein Flow-Protokoll erstellen möchten. + TrafficType Typ: Zeichenfolge Gültige Werte: ACCEPT \$1 REJECT \$1 ALL Beschreibung: (Erforderlich) Der Typ des zu protokollierenden Datenverkehrs. Sie können den Datenverkehr protokollieren, den die Ressource akzeptiert oder ablehnt, oder den gesamten Datenverkehr. **Erforderliche IAM-Berechtigungen** Der `AutomationAssumeRole` Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:CreateFlowLogs` + `ec2:DeleteFlowLogs` + `ec2:DescribeFlowLogs` + `iam:AttachRolePolicy` + `iam:CreateRole` + `iam:CreatePolicy` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:TagRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `s3:GetBucketLocation` + `s3:GetBucketAcl` + `s3:GetBucketPublicAccessBlock` + `s3:GetBucketPolicyStatus` + `s3:GetBucketAcl` + `s3:ListBucket` + `s3:PutObject` Beispiel für eine Richtlinie ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "SSMExecutionPermissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2FlowLogsPermissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": [ "arn:aws:ec2:us-east-1:111122223333:instance/resource-id", "arn:aws:ec2:us-east-1:111122223333:subnet/resource-id", "arn:aws:ec2:us-east-1:111122223333:vpc/resource-id", "arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id", "arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id" ] }, { "Sid": "IAMCreateRolePermissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:aws:iam::111122223333:role/role-name", "arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatchLogsPermissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name", "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*" ] }, { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] } ``` ------ **Dokumentschritte** + `aws:branch`- Verzweigt auf der Grundlage des für den `LogDestinationType` Parameter angegebenen Werts. + `aws:executeScript`- Prüft, ob der Ziel-Amazon Simple Storage Service (Amazon S3) möglicherweise **Lese** - oder **`public`Schreibzugriff** auf seine Objekte gewährt. + `aws:executeScript`- Erstellt eine Protokollgruppe, wenn kein Wert für den `LogDestinationARN` Parameter angegeben wurde, und für den `LogDestinationType` Parameter `cloud-watch-logs` wird ein Wert angegeben. + `aws:executeScript`- Erstellt Flussprotokolle auf der Grundlage der in den Runbook-Parametern angegebenen Werte.