View a markdown version of this page

Como usar perfis vinculados ao serviço para VPC Flow Logs - Amazon Virtual Private Cloud

Como usar perfis vinculados ao serviço para VPC Flow Logs

O VPC Flow Logs usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao VPC Flow Logs. Os perfis vinculados ao serviços são predefinidas pelo VPC Flow Logs e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração do VPC Flow Logs porque você não precisa adicionar as permissões necessárias manualmente. O VPC Flow Logs define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o VPC Flow Logs poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do VPC Flow Logs porque você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Perfis vinculados aos serviços. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de perfil vinculado ao serviço para o VPC Flow Logs

O VPC Flow Logs usa a função vinculada ao serviço chamada AWSServiceRoleForVPCFlowLogs – Essa função vinculada ao serviço permite que o VPC Flow Logs crie e gerencie as regras gerenciadas do EventBridge e chamem as APIs DescribeTag em seu nome para rastrear automaticamente as atualizações dos valores de tags do EC2 associados aos recursos nas assinaturas do Flow Logs que incluem campos de tag.

O perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs confia nos seguintes serviços para assumir a função:

  • vpc-flow-logs.amazonaws.com

A política de permissões de perfil chamada AWSVPCFlowLogsServiceRolePolicy permite que o VPC Flow Logs conclua as seguintes ações nos recursos especificados:

  • Ação: autoscaling:DescribeTags em grupos de escalonamento automático do EC2 para validar valores de tag.

    Ação: tag:GetResources em instâncias EC2 e ElasticNetworkInterfaces para validar valores de tag.

    Ação: events:PutRule sobre novas regras gerenciadas de fontes aws.tag e aws.autoscaling para tipos de detalhes relacionados a eventos de alteração de tags.

    Ação: events:DeleteRule em regras gerenciadas criadas pelo VPC Flow Logs denominadas VPCFlowLogsEC2TagsManagedRule e/ou VPCFlowLogsASGTagsManagedRule.

    Ação: events:DescribeRule em regras gerenciadas criadas pelo VPC Flow Logs denominadas VPCFlowLogsEC2TagsManagedRule e/ou VPCFlowLogsASGTagsManagedRule.

    Ação: events:PutTargets em regras gerenciadas criadas pelo VPC Flow Logs denominadas VPCFlowLogsEC2TagsManagedRule e/ou VPCFlowLogsASGTagsManagedRule.

    Ação: events:RemoveTargets em regras gerenciadas criadas pelo VPC Flow Logs denominadas VPCFlowLogsEC2TagsManagedRule e/ou VPCFlowLogsASGTagsManagedRule.

Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Permissões do perfil vinculado a serviço no Guia do usuário do IAM.

Como criar um perfil vinculado ao serviço para o VPC Flow Logs

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você usa a função CreateFlowLogs com campos de tag em seu formato de log e o parâmetro TagFieldSpecifications associado no Console de gerenciamento da AWS, na AWS CLI ou na API da AWS o VPC Flow Logs cria a função vinculada ao serviço para você.

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte Um novo perfil apareceu na minha Conta da AWS.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você usa a função CreateFlowLogs com campos de tag em seu formato de log e o parâmetro TagFieldSpecifications associado, o VPC Flow Logs cria a função vinculada ao serviço para você novamente.

Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso AWSServiceRoleForLambda. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço vpc-flow-logs.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Como editar um perfil vinculado ao serviço para o VPC Flow Logs

O VPC Flow Logs não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Como excluir um perfil vinculado ao serviço para o VPC Flow Logs

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o serviço VPC Flow Logs estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do VPC Flow Logs utilizados por AWSServiceRoleForVPCFlowLogs
  1. Exclua todas as assinaturas do VPC Flow Logs que usam campos de tag no formato de log.

  2. Aguarde pelo menos uma hora para que o VPC Flow Logs processe se todas as assinaturas de tags da sua conta foram excluídas e limpe automaticamente as regras gerenciadas do EventBridge criadas para oferecer suporte ao enriquecimento de logs.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para perfis vinculados ao serviço do VPC Flow Logs

O VPC Flow Logs não oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. É possível usar o perfil AWSServiceRoleForVPCFlowLogs nas regiões a seguir.

Nome da região Identidade da região Suporte no VPC Flow Logs
Leste dos EUA (Norte da Virgínia) us-east-1 Sim
Leste dos EUA (Ohio) us-east-2 Sim
Oeste dos EUA (N. da Califórnia) us-west-1 Sim
Oeste dos EUA (Oregon) us-west-2 Sim
África (Cidade do Cabo) af-south-1 Sim
Ásia-Pacífico (Hong Kong) ap-east-1 Sim
Ásia-Pacífico (Jacarta) ap-southeast-3 Sim
Ásia-Pacífico (Mumbai) ap-south-1 Sim
Ásia Pacifico (Osaka) ap-northeast-3 Sim
Ásia-Pacífico (Seul) ap-northeast-2 Sim
Ásia-Pacífico (Singapura) ap-southeast-1 Sim
Ásia-Pacífico (Sydney) ap-southeast-2 Sim
Ásia-Pacífico (Tóquio) ap-northeast-1 Sim
Canadá (Central) ca-central-1 Sim
Europa (Frankfurt) eu-central-1 Sim
Europa (Irlanda) eu-west-1 Sim
Europa (Londres) eu-west-2 Sim
Europa (Milão) eu-south-1 Sim
Europa (Paris) eu-west-3 Sim
Europa (Estocolmo) eu-north-1 Sim
Oriente Médio (Bahrein) me-south-1 Sim
Oriente Médio (Emirados Árabes Unidos) me-central-1 Sim
América do Sul (São Paulo) sa-east-1 Sim
AWS GovCloud (Leste dos EUA) us-gov-east-1 Sim
AWS GovCloud (Oeste dos EUA) us-gov-west-1 Sim