Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# `AWSSupport-EnableVPCFlowLogs`
<a name="automation-aws-enable-vpc-flowlogs"></a>

 **Descrizione** 

 Il `AWSSupport-EnableVPCFlowLogs ` runbook crea log di flusso di Amazon Virtual Private Cloud (Amazon VPC) per sottoreti, interfacce di rete e nel tuo. VPCs Account AWS Se crei un log di flusso per una sottorete o un VPC, viene monitorata ogni interfaccia di rete elastica in quella sottorete o Amazon VPC. I dati del log di flusso vengono pubblicati nel gruppo di log Amazon CloudWatch Logs o nel bucket Amazon Simple Storage Service (Amazon S3) specificato dall'utente. Per ulteriori informazioni sui log di flusso, consulta [VPC Flow Logs nella *Amazon VPC*](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) User Guide. 

**Importante**  
 I costi di inserimento e archiviazione dei dati per i log venduti si applicano quando si pubblicano i log di flusso su Logs CloudWatch o su Amazon S3. [Per ulteriori informazioni, consulta i prezzi di Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing) 

 [Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs) 

**Nota**  
Quando selezioni `s3` come destinazione del log, assicurati che la policy del bucket consenta al servizio di consegna dei log di accedere al bucket. Per ulteriori informazioni, consulta le [autorizzazioni del bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions) per i log di flusso

**Tipo di documento**

Automazione

**Proprietario**

Amazon

**Piattaforme**

LinuxmacOS, Windows

**Parametri**
+ AutomationAssumeRole

  Tipo: String

  Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.
+ DeliverLogsPermissionArn

  Tipo: String

   Descrizione: (Facoltativo) L'ARN per il ruolo IAM che consente ad Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute EC2) di pubblicare i log di flusso nel gruppo di log CloudWatch Logs del tuo account. Se specifichi il `LogDestinationType` parametro, non fornire un valore `s3` per questo parametro. Per ulteriori informazioni, consulta [Publish flow logs to CloudWatch Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) nella Amazon *VPC* User Guide. 
+ LogDestinationARN

  Tipo: String

   Descrizione: (Facoltativo) L'ARN della risorsa in cui vengono pubblicati i dati del log di flusso. Se `cloud-watch-logs` è specificato per il `LogDestinationType` parametro, fornisci l'ARN del gruppo di log CloudWatch Logs in cui desideri pubblicare i dati del log di flusso. In alternativa, utilizza `LogGroupName`. Se `s3` è specificato per il `LogDestinationType` parametro, è necessario specificare l'ARN del bucket Amazon S3 in cui si desidera pubblicare i dati del log di flusso per questo parametro. Puoi anche specificare una cartella nel bucket. 
**Importante**  
 Quando scegli `s3` come bucket, assicurati che il bucket selezionato segua le [best practice di sicurezza di Amazon S3 Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) e che rispetti le leggi sulla privacy dei dati per la tua organizzazione e area geografica. `LogDestinationType` 
+ LogDestinationType

  Tipo: String

  Valori validi: \| s3 cloud-watch-logs

   Descrizione: (Obbligatorio) Determina dove vengono pubblicati i dati del log di flusso. Se specificate `LogDestinationType` as`s3`, non specificate `DeliverLogsPermissionArn` o`LogGroupName`. 
+ LogFormat

  Tipo: String

   Descrizione: (Facoltativo) I campi da includere nel log di flusso e l'ordine in cui devono apparire nel record. Per un elenco dei campi disponibili, consulta [Flow log records](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) nella *Amazon VPC User* Guide. Se non fornisci un valore per questo parametro, il log di flusso viene creato utilizzando il formato predefinito. Se specifichi questo parametro, è necessario specificare almeno un campo. 
+ LogGroupName

  Tipo: String

   Descrizione: (Facoltativo) Il nome del gruppo di log CloudWatch Logs in cui vengono pubblicati i dati del log di flusso. Se si specifica `s3` il `LogDestinationType` parametro, non fornire un valore per questo parametro. 
+ ResourceIds

  Tipo: StringList

  Descrizione: (Obbligatorio) Un elenco separato da virgole delle IDs sottoreti, delle interfacce di rete elastiche o del VPC per cui si desidera creare un log di flusso.
+ TrafficType

  Tipo: String

  Valori validi: ACCEPT \| REJECT \| ALL

  Descrizione: (Obbligatorio) Il tipo di traffico da registrare. Puoi registrare il traffico che la risorsa accetta o rifiuta oppure tutto il traffico.

**Autorizzazioni IAM richieste**

Il `AutomationAssumeRole` parametro richiede le seguenti azioni per utilizzare correttamente il runbook.
+  `ssm:StartAutomationExecution` 
+  `ssm:GetAutomationExecution` 
+  `ec2:CreateFlowLogs` 
+  `ec2:DeleteFlowLogs` 
+  `ec2:DescribeFlowLogs` 
+  `iam:AttachRolePolicy` 
+  `iam:CreateRole` 
+  `iam:CreatePolicy` 
+  `iam:DeletePolicy` 
+  `iam:DeleteRole` 
+  `iam:DeleteRolePolicy` 
+  `iam:GetPolicy` 
+  `iam:GetRole` 
+  `iam:TagRole` 
+  `iam:PassRole` 
+  `iam:PutRolePolicy` 
+  `iam:UpdateRole` 
+  `logs:CreateLogDelivery` 
+  `logs:CreateLogGroup` 
+  `logs:DeleteLogDelivery` 
+  `logs:DeleteLogGroup` 
+  `logs:DescribeLogGroups` 
+  `logs:DescribeLogStreams` 
+  `s3:GetBucketLocation` 
+  `s3:GetBucketAcl` 
+  `s3:GetBucketPublicAccessBlock` 
+  `s3:GetBucketPolicyStatus` 
+  `s3:GetBucketAcl` 
+  `s3:ListBucket` 
+  `s3:PutObject` 

Politica di esempio

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SSMExecutionPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution",
                "ssm:GetAutomationExecution"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2FlowLogsPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateFlowLogs",
                "ec2:DeleteFlowLogs",
                "ec2:DescribeFlowLogs"
            ],
            "Resource": [
            "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{instance}}/{{resource-id}}",
            "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{subnet}}/{{resource-id}}",
            "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{vpc}}/{{resource-id}}",
            "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{transit-gateway}}/{{resource-id}}",
            "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{transit-gateway-attachment}}/{{resource-id}}"
          ]
        },
        {
            "Sid": "IAMCreateRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:DeletePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:GetPolicy",
                "iam:GetRole",
                "iam:TagRole",
                "iam:PassRole",
                "iam:PutRolePolicy",
                "iam:UpdateRole"
            ],
            "Resource": [
                "arn:aws:iam::{{111122223333}}:role/{{role-name}}",
                "arn:aws:iam::{{111122223333}}:role/AWSSupportCreateFlowLogsRole"
            ]
        },
        {
            "Sid": "CloudWatchLogsPermissions",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:DeleteLogDelivery",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}",
                "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*"
            ]
        },
        {
            "Sid": "S3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketAcl",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
            ]
        }
    ]
}
```

------

 **Fasi del documento** 
+  `aws:branch`- Rami basati sul valore specificato per il `LogDestinationType` parametro. 
+  `aws:executeScript`- Verifica se l'Amazon Simple Storage Service (Amazon S3) di destinazione **concede** potenzialmente l'accesso in lettura **o** `public` scrittura ai suoi oggetti. 
+  `aws:executeScript`- Crea un gruppo di log se non viene specificato alcun valore per il `LogDestinationARN` parametro e `cloud-watch-logs` viene specificato per il `LogDestinationType` parametro. 
+  `aws:executeScript`- Crea registri di flusso in base ai valori specificati nei parametri del runbook.