As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # `AWSSupport-EnableVPCFlowLogs` **Descrição** O `AWSSupport-EnableVPCFlowLogs ` runbook cria registros de fluxo da Amazon Virtual Private Cloud (Amazon VPC) para sub-redes, interfaces de rede e no seu. VPCs Conta da AWS Se você criar um log de fluxo para uma sub-rede ou VPC, toda interface de rede na sub-rede ou Amazon VPC será monitorada. Os dados do log de fluxo são publicados no grupo de CloudWatch logs Amazon Logs ou no bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Para obter mais informações sobre logs de fluxo, consulte [Logs de fluxo ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário da Amazon VPC*. **Importante** As taxas de ingestão e arquivamento de dados para registros vendidos se aplicam quando você publica registros de fluxo no Logs ou no CloudWatch Amazon S3. Para obter mais informações, consulte [Precificação de logs de fluxo do ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing). [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs) **nota** Ao selecionar `s3` como destino do log, certifique-se de que a política do bucket permita que o serviço de entrega de log acesse o bucket. Para obter mais informações, consulte [Permissões de bucket do Amazon S3 para registros de](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions) fluxo **Tipo de documento** Automação **Proprietário** Amazon **Plataformas** Linux, macOS, Windows **Parâmetros** + AutomationAssumeRole Tipo: String Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook. + DeliverLogsPermissionArn Tipo: string Descrição: (Opcional) O ARN para a função do IAM que permite que o Amazon Elastic Compute Cloud (Amazon EC2) publique registros de fluxo no grupo de registros de registros CloudWatch em sua conta. Se especificar `s3` para o parâmetro `LogDestinationType`, não forneça um valor para esse parâmetro. Para obter mais informações, consulte [Publicar registros de fluxo em CloudWatch registros](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) no Guia do *usuário da Amazon VPC*. + LogDestinationARN Tipo: string Descrição: (opcional) O ARN do recurso no qual os dados de log de fluxo são publicados. Se `cloud-watch-logs` for especificado para o `LogDestinationType` parâmetro, forneça o ARN do grupo de CloudWatch registros no qual você deseja publicar os dados do registro de fluxo. Como alternativa, use `LogGroupName`. Se `s3` for especificado para o parâmetro `LogDestinationType`, você deverá especificar o ARN do bucket do Amazon S3 no qual deseja publicar dados de log de fluxo para esse parâmetro. Você também pode especificar uma pasta no bucket. **Importante** Ao escolher `s3` como o, `LogDestinationType` você deve garantir que o bucket selecionado siga as [melhores práticas de segurança do Amazon S3 Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) e que você siga as leis de privacidade de dados da sua organização e região geográfica. + LogDestinationType Tipo: string Valores válidos: cloud-watch-logs \$1 s3 Descrição: (obrigatório) Determina onde os dados do log de fluxo são publicados. Se você especificar `LogDestinationType` como `s3`, não especifique `DeliverLogsPermissionArn` ou `LogGroupName`. + LogFormat Tipo: string Descrição: (opcional) os campos a serem incluídos no log de fluxo e a ordem na qual eles devem aparecer no registro. Para obter uma lista de campos disponíveis, consulte [Registros de logs de fluxo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) no *Guia do usuário da Amazon VPC*. Se não fornecer um valor para esse parâmetro, o log de fluxo será criado usando o formato padrão. Se você especificar esse parâmetro, deverá especificar pelo menos um campo. + LogGroupName Tipo: string Descrição: (Opcional) O nome do grupo de registros de CloudWatch registros em que os dados do registro de fluxo são publicados. Se especificar `s3` para o parâmetro `LogDestinationType`, não forneça um valor para esse parâmetro. + ResourceIds Tipo: StringList Descrição: (Obrigatório) Uma lista separada por vírgulas das IDs sub-redes, interfaces de rede elástica ou VPC para as quais você deseja criar um log de fluxo. + TrafficType Tipo: string Valores válidos: ACCEPT \$1 REJECT \$1 ALL Descrição: (obrigatório) O tipo de tráfego para o log. Você pode registrar em log o tráfego que o recurso aceita ou rejeita ou todo o tráfego. **Permissões obrigatórias do IAM** O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:CreateFlowLogs` + `ec2:DeleteFlowLogs` + `ec2:DescribeFlowLogs` + `iam:AttachRolePolicy` + `iam:CreateRole` + `iam:CreatePolicy` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:TagRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `s3:GetBucketLocation` + `s3:GetBucketAcl` + `s3:GetBucketPublicAccessBlock` + `s3:GetBucketPolicyStatus` + `s3:GetBucketAcl` + `s3:ListBucket` + `s3:PutObject` Política de amostra ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "SSMExecutionPermissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2FlowLogsPermissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": [ "arn:aws:ec2:us-east-1:111122223333:instance/resource-id", "arn:aws:ec2:us-east-1:111122223333:subnet/resource-id", "arn:aws:ec2:us-east-1:111122223333:vpc/resource-id", "arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id", "arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id" ] }, { "Sid": "IAMCreateRolePermissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:aws:iam::111122223333:role/role-name", "arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatchLogsPermissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name", "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*" ] }, { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] } ``` ------ **Etapas do documento** + `aws:branch` :Ramificações com base no valor especificado para o parâmetro `LogDestinationType`. + `aws:executeScript`- Verifica se o Amazon Simple Storage Service (Amazon S3) de destino potencialmente **concede** acesso de leitura **ou** `public` gravação a seus objetos. + `aws:executeScript` :Cria um grupo de logs se nenhum valor for especificado para o parâmetro `LogDestinationARN` e for especificado `cloud-watch-logs` para o parâmetro `LogDestinationType`. + `aws:executeScript` :Cria logs de fluxo com base nos valores especificados nos parâmetros do runbook.