翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# `AWSSupport-EnableVPCFlowLogs`
<a name="automation-aws-enable-vpc-flowlogs"></a>

 **説明** 

 `AWSSupport-EnableVPCFlowLogs ` ランブックは、 AWS アカウント内のサブネット、ネットワークインターフェイス、および VPC の Amazon Virtual Private Cloud (Amazon VPC) フローログを作成します。サブネットまたは VPC のフローログを作成する場合、そのサブネットまたは Amazon VPC 内の各エラスティックネットワークインターフェイスが監視されます。フローログデータは、Amazon CloudWatch Logs ロググループまたは指定した Amazon Simple Storage Service (Amazon S3) バケットに公開されます。詳細については、Amazon VPC ユーザーガイドの[VPC フローログ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)を参照してください。

**重要**  
 フローログを CloudWatch Logs または Amazon S3 に発行すると、提供されたログに対するデータの取り込み料金とアーカイブ料金が適用されます。詳細については、[「フローログの料金」](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing)を参照してください。

 [このオートメーションを実行する (コンソール)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs) 

**注記**  
ログの送信先`s3`として を選択するときは、バケットポリシーがログ配信サービスにバケットへのアクセスを許可していることを確認します。詳細については、[「フローログの Amazon S3 バケットのアクセス許可](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions)」を参照してください。

**ドキュメントタイプ**

オートメーション

**[所有者]**

Amazon

**[Platforms]** (プラットフォーム)

Linux、macOS、Windows

**パラメータ**
+ AutomationAssumeRole

  タイプ: 文字列

  説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
+ DeliverLogsPermissionArn

  タイプ: 文字列

   説明: (オプション) Amazon Elastic Compute Cloud (Amazon EC2) がアカウントの CloudWatch Logs ロググループにフローログを発行することを許可する IAM ロールの ARN。`LogDestinationType` パラメータに `s3` を指定する場合は、このパラメータの値を指定しないでください。詳細については、「Amazon VPC User Guide」の「[フローログを CloudWatch Logs に発行する](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html)」を参照してください。
+ LogDestinationARN

  タイプ: 文字列

   説明: (オプション) フローログデータが発行されたリソースの ARN。`LogDestinationType` パラメータに `cloud-watch-logs` が指定されている場合は、フローログデータの公開先となる CloudWatch Logs ロググループの ARN を指定します。または、代わりに `LogGroupName` を使用します。`LogDestinationType` パラメータに `s3` を指定する場合は、このパラメータに、フローログデータの公開先となる Amazon S3 バケットの ARN を指定する必要があります。バケットにフォルダを指定することもできます。
**重要**  
 `s3` を として選択する`LogDestinationType`ときは、選択したバケットが [Amazon S3 バケットのセキュリティのベストプラクティス](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)に従っていること、および組織と地域のデータプライバシー法に従っていることを確認する必要があります。
+ LogDestinationType

  タイプ: 文字列

  有効な値: cloud-watch-logs \$1 s3

   説明: (必須) フローログデータを公開する場所を決定します。`LogDestinationType` を `s3` として指定した場合は、`DeliverLogsPermissionArn` または `LogGroupName` を指定しないでください。
+ LogFormat

  タイプ: 文字列

   説明: フローログに含めるフィールド、およびレコードに表示される順番。使用可能なフィールドのリストについては、Amazon VPC ユーザーガイドの[「フローログレコード」](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records)を参照してください。このパラメータに値を指定しない場合、フローログはデフォルトの形式で作成されます。このパラメータを指定する場合は、少なくとも 1 つのフィールドを指定する必要があります。
+ LogGroupName

  タイプ: 文字列

   説明: (オプション) フローログデータの公開先となる CloudWatch Logs ロググループの名前。`LogDestinationType` パラメータに `s3` を指定する場合は、このパラメータの値を指定しないでください。
+ ResourceIds

  タイプ: StringList

  説明: (必須) フローログを作成するサブネット、エラスティックネットワークインターフェイス、または VPC の ID のカンマ区切りリスト。
+ TrafficType

  タイプ: 文字列

  有効な値 :ACCEPT \$1 REJECT \$1 ALL

  説明: (必須) 記録するトラフィックのタイプ。リソースが受け入れたトラフィックまたは拒否したトラフィック、またはすべてのトラフィックを記録できます。

**必要な IAM アクセス許可**

`AutomationAssumeRole` パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
+  `ssm:StartAutomationExecution` 
+  `ssm:GetAutomationExecution` 
+  `ec2:CreateFlowLogs` 
+  `ec2:DeleteFlowLogs` 
+  `ec2:DescribeFlowLogs` 
+  `iam:AttachRolePolicy` 
+  `iam:CreateRole` 
+  `iam:CreatePolicy` 
+  `iam:DeletePolicy` 
+  `iam:DeleteRole` 
+  `iam:DeleteRolePolicy` 
+  `iam:GetPolicy` 
+  `iam:GetRole` 
+  `iam:TagRole` 
+  `iam:PassRole` 
+  `iam:PutRolePolicy` 
+  `iam:UpdateRole` 
+  `logs:CreateLogDelivery` 
+  `logs:CreateLogGroup` 
+  `logs:DeleteLogDelivery` 
+  `logs:DeleteLogGroup` 
+  `logs:DescribeLogGroups` 
+  `logs:DescribeLogStreams` 
+  `s3:GetBucketLocation` 
+  `s3:GetBucketAcl` 
+  `s3:GetBucketPublicAccessBlock` 
+  `s3:GetBucketPolicyStatus` 
+  `s3:GetBucketAcl` 
+  `s3:ListBucket` 
+  `s3:PutObject` 

サンプルポリシー

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SSMExecutionPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution",
                "ssm:GetAutomationExecution"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2FlowLogsPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateFlowLogs",
                "ec2:DeleteFlowLogs",
                "ec2:DescribeFlowLogs"
            ],
            "Resource": [
            "arn:aws:ec2:us-east-1:111122223333:instance/resource-id",
            "arn:aws:ec2:us-east-1:111122223333:subnet/resource-id",
            "arn:aws:ec2:us-east-1:111122223333:vpc/resource-id",
            "arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id",
            "arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id"
          ]
        },
        {
            "Sid": "IAMCreateRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:DeletePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:GetPolicy",
                "iam:GetRole",
                "iam:TagRole",
                "iam:PassRole",
                "iam:PutRolePolicy",
                "iam:UpdateRole"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/role-name",
                "arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole"
            ]
        },
        {
            "Sid": "CloudWatchLogsPermissions",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:DeleteLogDelivery",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name",
                "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
            ]
        },
        {
            "Sid": "S3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketAcl",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

 **ドキュメントステップ** 
+  `aws:branch` - `LogDestinationType` パラメータで指定した値に基づいて分岐させます。
+  `aws:executeScript` - ターゲット Amazon Simple Storage Service (Amazon S3) がオブジェクトへの**読み取り**または**書き込み**`public`アクセスを許可する可能性があるかどうかを確認します。
+  `aws:executeScript` - `LogDestinationARN` パラメータに値が指定されておらず、`LogDestinationType` パラメータに `cloud-watch-logs` が指定されている場合は、ロググループを作成します。
+  `aws:executeScript` - ランブックパラメータで指定された値に基づくフローログを作成します。