Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# `AWSSupport-EnableVPCFlowLogs`
<a name="automation-aws-enable-vpc-flowlogs"></a>

 **Description** 

 Le `AWSSupport-EnableVPCFlowLogs ` runbook crée des journaux de flux Amazon Virtual Private Cloud (Amazon VPC) pour les sous-réseaux, les interfaces réseau et dans votre. VPCs Compte AWS Si vous créez un journal de flux pour un sous-réseau ou un VPC, chaque interface réseau élastique de ce sous-réseau ou d'Amazon VPC est surveillée. Les données des journaux de flux sont publiées dans le groupe de CloudWatch journaux Amazon Logs ou dans le compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour plus d'informations sur les journaux de flux, consultez la section [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dans le guide de l'*utilisateur Amazon VPC*. 

**Important**  
 Les frais d'ingestion de données et d'archivage pour les journaux vendus s'appliquent lorsque vous publiez des journaux de flux sur CloudWatch Logs ou sur Amazon S3. Pour plus d'informations, consultez la section [Tarification de Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing) 

 [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs) 

**Note**  
Lors de la sélection `s3` comme destination du journal, assurez-vous que la politique du compartiment autorise le service de livraison des journaux à accéder au compartiment. Pour plus d'informations, consultez la section [Autorisations du compartiment Amazon S3 pour les journaux de flux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions).

**Type de document**

 Automatisation

**Propriétaire**

Amazon

**Plateformes**

LinuxmacOS, Windows

**Paramètres**
+ AutomationAssumeRole

  Type : Chaîne

  Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DeliverLogsPermissionArn

  Type : Chaîne

   Description : (Facultatif) L'ARN du rôle IAM qui permet à Amazon Elastic Compute Cloud (Amazon EC2) de publier des journaux de flux dans le groupe de journaux Logs de votre CloudWatch compte. Si vous spécifiez `s3` le `LogDestinationType` paramètre, ne fournissez pas de valeur pour ce paramètre. Pour plus d'informations, consultez [Publier des journaux de flux dans des CloudWatch journaux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) dans le guide de l'*utilisateur Amazon VPC*. 
+ LogDestinationARN

  Type : Chaîne

   Description : (Facultatif) L'ARN de la ressource sur laquelle les données du journal de flux sont publiées. Si le `LogDestinationType` paramètre `cloud-watch-logs` est spécifié, indiquez l'ARN du groupe de CloudWatch journaux de journaux dans lequel vous souhaitez publier les données des journaux de flux. Vous pouvez également utiliser `LogGroupName` à la place. Si le `LogDestinationType` paramètre `s3` est spécifié, vous devez spécifier l'ARN du compartiment Amazon S3 dans lequel vous souhaitez publier les données du journal de flux pour ce paramètre. Vous pouvez également spécifier un dossier dans le compartiment. 
**Important**  
 Lorsque `LogDestinationType` vous le choisissez`s3`, vous devez vous assurer que le compartiment sélectionné respecte les [meilleures pratiques en matière de sécurité des compartiments Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) et que vous respectez les lois sur la confidentialité des données applicables à votre organisation et à votre région géographique. 
+ LogDestinationType

  Type : Chaîne

  Valeurs valides : cloud-watch-logs \$1 s3

   Description : (Obligatoire) Détermine où les données du journal de flux sont publiées. Si vous spécifiez `LogDestinationType` comme`s3`, ne spécifiez pas `DeliverLogsPermissionArn` ou`LogGroupName`. 
+ LogFormat

  Type : Chaîne

   Description : (Facultatif) Les champs à inclure dans le journal de flux et l'ordre dans lequel ils doivent apparaître dans l'enregistrement. Pour obtenir la liste des champs disponibles, consultez la section [Enregistrements du journal de flux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) dans le guide de l'*utilisateur Amazon VPC*. Si vous ne fournissez aucune valeur pour ce paramètre, le journal de flux est créé selon le format par défaut. Si vous spécifiez ce paramètre, vous devez spécifier au moins un champ. 
+ LogGroupName

  Type : Chaîne

   Description : (Facultatif) Nom du groupe de CloudWatch journaux dans lequel les données des journaux de flux sont publiées. Si vous spécifiez `s3` le `LogDestinationType` paramètre, ne fournissez pas de valeur pour ce paramètre. 
+ ResourceIds

  Type : StringList

  Description : (Obligatoire) Liste séparée par des virgules IDs des sous-réseaux, interfaces réseau élastiques ou VPC pour lesquels vous souhaitez créer un journal de flux.
+ TrafficType

  Type : Chaîne

  Valeurs valides : ACCEPTER \$1 REJETER \$1 TOUT

  Description : (Obligatoire) Type de trafic à enregistrer. Vous pouvez consigner le trafic que la ressource accepte ou rejette, ou tout le trafic.

**Autorisations IAM requises**

Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+  `ssm:StartAutomationExecution` 
+  `ssm:GetAutomationExecution` 
+  `ec2:CreateFlowLogs` 
+  `ec2:DeleteFlowLogs` 
+  `ec2:DescribeFlowLogs` 
+  `iam:AttachRolePolicy` 
+  `iam:CreateRole` 
+  `iam:CreatePolicy` 
+  `iam:DeletePolicy` 
+  `iam:DeleteRole` 
+  `iam:DeleteRolePolicy` 
+  `iam:GetPolicy` 
+  `iam:GetRole` 
+  `iam:TagRole` 
+  `iam:PassRole` 
+  `iam:PutRolePolicy` 
+  `iam:UpdateRole` 
+  `logs:CreateLogDelivery` 
+  `logs:CreateLogGroup` 
+  `logs:DeleteLogDelivery` 
+  `logs:DeleteLogGroup` 
+  `logs:DescribeLogGroups` 
+  `logs:DescribeLogStreams` 
+  `s3:GetBucketLocation` 
+  `s3:GetBucketAcl` 
+  `s3:GetBucketPublicAccessBlock` 
+  `s3:GetBucketPolicyStatus` 
+  `s3:GetBucketAcl` 
+  `s3:ListBucket` 
+  `s3:PutObject` 

Exemple de politique

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SSMExecutionPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution",
                "ssm:GetAutomationExecution"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2FlowLogsPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateFlowLogs",
                "ec2:DeleteFlowLogs",
                "ec2:DescribeFlowLogs"
            ],
            "Resource": [
            "arn:aws:ec2:us-east-1:111122223333:instance/resource-id",
            "arn:aws:ec2:us-east-1:111122223333:subnet/resource-id",
            "arn:aws:ec2:us-east-1:111122223333:vpc/resource-id",
            "arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id",
            "arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id"
          ]
        },
        {
            "Sid": "IAMCreateRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:DeletePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:GetPolicy",
                "iam:GetRole",
                "iam:TagRole",
                "iam:PassRole",
                "iam:PutRolePolicy",
                "iam:UpdateRole"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/role-name",
                "arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole"
            ]
        },
        {
            "Sid": "CloudWatchLogsPermissions",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:DeleteLogDelivery",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name",
                "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
            ]
        },
        {
            "Sid": "S3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketAcl",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

 **Étapes de document** 
+  `aws:branch`- Branches basées sur la valeur spécifiée pour le `LogDestinationType` paramètre. 
+  `aws:executeScript`- Vérifie si l'Amazon Simple Storage Service (Amazon S3) cible **accorde** potentiellement un accès en lecture **ou** en `public` écriture à ses objets. 
+  `aws:executeScript`- Crée un groupe de journaux si aucune valeur n'est spécifiée pour le `LogDestinationARN` paramètre, mais elle `cloud-watch-logs` est spécifiée pour le `LogDestinationType` paramètre. 
+  `aws:executeScript`- Crée des journaux de flux en fonction des valeurs spécifiées dans les paramètres du runbook.