

# VPC 흐름 로그에 대한 AWS 관리형 정책
<a name="flow-logs-managed-policy"></a>

VPC 흐름 로그를 사용하고 태그 필드와 연결된 TagFieldSpecifications 파라미터로 구독을 생성하는 경우 **AWSVPCFlowLogsServiceRolePolicy** 관리형 정책이 IAM 계정에서 자동으로 생성되고 **AWSServiceRoleForVPCFlowLogs** [서비스 연결 역할](flow-logs-slr.md)에 연결됩니다.

이 관리형 정책을 사용하면 VPC 흐름 로그가 다음을 수행할 수 있습니다.
+ EventBridge 관리형 규칙을 생성하고 관리하여 VPC 흐름 로그 서비스로 태그 업데이트 이벤트를 전송합니다.
+ 고객 대신 API를 직접적으로 호출하여 로그 보강을 위한 태그 값의 최신성을 검증합니다.

다음은 생성된 관리형 정책의 세부 정보를 보여주는 예입니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}
```

------

앞서 제시한 예제의 첫 번째 문은 VPC 흐름 로그가 AWS 계정 내에 소스 `aws.tag` 및 `aws.autoscaling`에 대해 태그 변경 이벤트와 관련된 detail-type에 대한 EventBridge 관리형 규칙을 생성할 수 있도록 합니다.

앞서 제시한 예제의 두 번째 문은 VPC 흐름 로그가 `VPCFlowLogsEC2TagsManagedRule` 및/또는 `VPCFlowLogsASGTagsManagedRule`이라는 리소스에 대해 AWS 계정에 생성된 관리형 규칙의 수명 주기를 제어할 수 있도록 합니다.

앞서 제시한 예제의 세 번째 문은 VPC 흐름 로그가 고객 대신 태그 API를 직접적으로 호출하여 로그 보강을 위한 태그 값의 최신성을 검증할 수 있도록 합니다.

## AWS 관리형 정책: AWSVPCFlowLogsServiceRolePolicy
<a name="flow-logs-managed-policy-AWSVPCFlowLogsServiceRolePolicy"></a>

`AWSVPCFlowLogsServiceRolePolicy` 정책을 IAM ID에 연결할 수 있습니다. 이 정책은 VPC 흐름 로그가 EventBridge 관리형 규칙을 생성 및 관리하고 사용자 대신 DescribeTag API를 직접적으로 호출하여 태그 필드가 포함된 흐름 로그 구독에서 리소스와 연결된 EC2 태그 값에 대한 업데이트를 자동으로 추적할 수 있는 권한을 부여합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*의 [AWSVPCFlowLogsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCFlowLogsServiceRolePolicy.html)를 참조하세요.

## AWS 관리형 정책으로 업데이트
<a name="flow-logs-managed-policy-updates"></a>

이 서비스가 해당 변경 사항을 추적하기 시작한 이후 VPC 흐름 로그용 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인합니다.


| 변경 | 설명 | 날짜 | 
| --- | --- | --- | 
| [AWS 관리형 정책: AWSVPCFlowLogsServiceRolePolicy](#flow-logs-managed-policy-AWSVPCFlowLogsServiceRolePolicy) - 새 정책 | 새로운 AWSVPCFlowLogsServiceRolePolicy 정책은 VPC 흐름 로그가 EventBridge 관리형 규칙을 생성 및 관리하고 사용자 대신 DescribeTag API를 직접적으로 호출하여 태그 필드가 포함된 흐름 로그 구독에서 리소스와 연결된 EC2 태그 값에 대한 업데이트를 자동으로 추적할 수 있도록 합니다. | 2026년 3월 31일 | 
| VPC 흐름 로그에서 변경 사항 추적 시작 | VPC 흐름 로그에서 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2026년 3월 31일 | 