Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # `AWSSupport-EnableVPCFlowLogs` **Deskripsi** `AWSSupport-EnableVPCFlowLogs `Runbook membuat Log Aliran Amazon Virtual Private Cloud (Amazon VPC) untuk subnet, antarmuka jaringan, dan di file Anda. VPCs Akun AWS Jika Anda membuat flow log untuk subnet atau VPC, setiap elastic network interface di subnet atau Amazon VPC akan dipantau. Data log aliran dipublikasikan ke grup CloudWatch log Amazon Logs atau bucket Amazon Simple Storage Service (Amazon S3) S3 yang Anda tentukan. Untuk informasi selengkapnya tentang log aliran, lihat [Log Aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) di Panduan Pengguna Amazon *VPC*. **penting** Biaya konsumsi data dan arsip untuk log vended berlaku saat Anda memublikasikan log aliran ke Log atau ke Amazon CloudWatch S3. Untuk informasi selengkapnya, lihat [harga Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing) [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs) **catatan** Saat memilih `s3` sebagai tujuan log, pastikan kebijakan bucket memungkinkan akses layanan pengiriman log ke bucket. Untuk informasi selengkapnya, lihat [izin bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions) untuk log aliran **Jenis dokumen** Otomatisasi **Pemilik** Amazon **Platform** Linux,macOS, Windows **Parameter** + AutomationAssumeRole Tipe: String Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini. + DeliverLogsPermissionArn Tipe: String Deskripsi: (Opsional) ARN untuk peran IAM yang mengizinkan Amazon Elastic Compute Cloud (Amazon EC2) memublikasikan log alur ke grup log Log di akun Anda. CloudWatch Jika Anda menentukan `s3` `LogDestinationType` parameter, jangan berikan nilai untuk parameter ini. Untuk informasi selengkapnya, lihat [Menerbitkan log alur ke CloudWatch Log](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) di *Panduan Pengguna Amazon VPC*. + LogDestinationARN Tipe: String Deskripsi: (Opsional) ARN sumber daya tempat data log aliran diterbitkan. Jika `cloud-watch-logs` ditentukan untuk `LogDestinationType` parameter, berikan ARN dari grup CloudWatch log Log yang ingin Anda publikasikan data log aliran. Alternatif lainnya, gunakan `LogGroupName` sebagai gantinya. Jika `s3` ditentukan untuk `LogDestinationType` parameter, Anda harus menentukan ARN bucket Amazon S3 yang ingin Anda publikasikan data log aliran untuk parameter ini. Anda juga dapat menentukan folder di ember. **penting** Saat memilih `s3` sebagai, `LogDestinationType` Anda harus memastikan bahwa bucket yang dipilih mengikuti [praktik terbaik keamanan Amazon S3 Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html), dan Anda mengikuti undang-undang privasi data untuk organisasi dan wilayah geografis Anda. + LogDestinationType Tipe: String Nilai yang valid: cloud-watch-logs \$1 s3 Deskripsi: (Wajib) Menentukan di mana data log aliran diterbitkan. Jika Anda menentukan `LogDestinationType` sebagai`s3`, jangan tentukan `DeliverLogsPermissionArn` atau`LogGroupName`. + LogFormat Tipe: String Deskripsi: (Opsional) Bidang yang akan disertakan dalam log aliran, dan urutan tampilannya dalam catatan. Untuk daftar bidang yang tersedia, lihat [Catatan log aliran](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) di *Panduan Pengguna Amazon VPC*. Jika Anda tidak memberikan nilai untuk parameter ini, log aliran dibuat menggunakan format default. Jika Anda menentukan parameter ini, Anda harus menentukan setidaknya satu bidang. + LogGroupName Tipe: String Deskripsi: (Opsional) Nama grup CloudWatch log log tempat data log aliran diterbitkan. Jika Anda menentukan `s3` `LogDestinationType` parameter, jangan berikan nilai untuk parameter ini. + ResourceIds Jenis: StringList Deskripsi: (Wajib) Daftar subnet yang dipisahkan koma, antarmuka jaringan elastis, atau VPC yang ingin Anda buat log alirannya. IDs + TrafficType Tipe: String Nilai yang valid: TERIMA \$1 TOLAK \$1 SEMUA Deskripsi: (Wajib) Jenis lalu lintas untuk log. Anda dapat mencatat lalu lintas yang diterima atau ditolak sumber daya, atau semua lalu lintas. **Izin IAM yang diperlukan** `AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:CreateFlowLogs` + `ec2:DeleteFlowLogs` + `ec2:DescribeFlowLogs` + `iam:AttachRolePolicy` + `iam:CreateRole` + `iam:CreatePolicy` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:TagRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `s3:GetBucketLocation` + `s3:GetBucketAcl` + `s3:GetBucketPublicAccessBlock` + `s3:GetBucketPolicyStatus` + `s3:GetBucketAcl` + `s3:ListBucket` + `s3:PutObject` Kebijakan Sampel ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "SSMExecutionPermissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2FlowLogsPermissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": [ "arn:aws:ec2:us-east-1:111122223333:instance/resource-id", "arn:aws:ec2:us-east-1:111122223333:subnet/resource-id", "arn:aws:ec2:us-east-1:111122223333:vpc/resource-id", "arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id", "arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id" ] }, { "Sid": "IAMCreateRolePermissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:aws:iam::111122223333:role/role-name", "arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatchLogsPermissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name", "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*" ] }, { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] } ``` ------ **Langkah Dokumen** + `aws:branch`- Cabang berdasarkan nilai yang ditentukan untuk `LogDestinationType` parameter. + `aws:executeScript`- Memeriksa apakah target Amazon Simple Storage Service (Amazon S3) berpotensi **memberikan** akses baca **atau** `public` tulis ke objeknya. + `aws:executeScript`- Membuat grup log jika tidak ada nilai yang ditentukan untuk `LogDestinationARN` parameter, dan `cloud-watch-logs` ditentukan untuk `LogDestinationType` parameter. + `aws:executeScript`- Membuat log aliran berdasarkan nilai yang ditentukan dalam parameter runbook.