Como usar perfis vinculados ao serviço para VPC Flow Logs
O VPC Flow Logs usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao VPC Flow Logs. Os perfis vinculados ao serviços são predefinidas pelo VPC Flow Logs e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Um perfil vinculado ao serviço facilita a configuração do VPC Flow Logs porque você não precisa adicionar as permissões necessárias manualmente. O VPC Flow Logs define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o VPC Flow Logs poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do VPC Flow Logs porque você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Perfis vinculados aos serviços. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Permissões de perfil vinculado ao serviço para o VPC Flow Logs
O VPC Flow Logs usa a função vinculada ao serviço chamada AWSServiceRoleForVPCFlowLogs – Essa função vinculada ao serviço permite que o VPC Flow Logs crie e gerencie as regras gerenciadas do EventBridge e chamem as APIs DescribeTag em seu nome para rastrear automaticamente as atualizações dos valores de tags do EC2 associados aos recursos nas assinaturas do Flow Logs que incluem campos de tag.
O perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs confia nos seguintes serviços para assumir a função:
-
vpc-flow-logs.amazonaws.com
A política de permissões de perfil chamada AWSVPCFlowLogsServiceRolePolicy permite que o VPC Flow Logs conclua as seguintes ações nos recursos especificados:
-
Ação:
autoscaling:DescribeTagsem grupos de escalonamento automático do EC2 para validar valores de tag.Ação:
tag:GetResourcesem instâncias EC2 e ElasticNetworkInterfaces para validar valores de tag.Ação:
events:PutRulesobre novas regras gerenciadas de fontesaws.tageaws.autoscalingpara tipos de detalhes relacionados a eventos de alteração de tags.Ação:
events:DeleteRuleem regras gerenciadas criadas pelo VPC Flow Logs denominadasVPCFlowLogsEC2TagsManagedRulee/ouVPCFlowLogsASGTagsManagedRule.Ação:
events:DescribeRuleem regras gerenciadas criadas pelo VPC Flow Logs denominadasVPCFlowLogsEC2TagsManagedRulee/ouVPCFlowLogsASGTagsManagedRule.Ação:
events:PutTargetsem regras gerenciadas criadas pelo VPC Flow Logs denominadasVPCFlowLogsEC2TagsManagedRulee/ouVPCFlowLogsASGTagsManagedRule.Ação:
events:RemoveTargetsem regras gerenciadas criadas pelo VPC Flow Logs denominadasVPCFlowLogsEC2TagsManagedRulee/ouVPCFlowLogsASGTagsManagedRule.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Permissões do perfil vinculado a serviço no Guia do usuário do IAM.
Como criar um perfil vinculado ao serviço para o VPC Flow Logs
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você usa a função CreateFlowLogs com campos de tag em seu formato de log e o parâmetro TagFieldSpecifications associado no Console de gerenciamento da AWS, na AWS CLI ou na API da AWS o VPC Flow Logs cria a função vinculada ao serviço para você.
Importante
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte Um novo perfil apareceu na minha Conta da AWS.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você usa a função CreateFlowLogs com campos de tag em seu formato de log e o parâmetro TagFieldSpecifications associado, o VPC Flow Logs cria a função vinculada ao serviço para você novamente.
Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso AWSServiceRoleForLambda. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço vpc-flow-logs.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
Como editar um perfil vinculado ao serviço para o VPC Flow Logs
O VPC Flow Logs não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Como excluir um perfil vinculado ao serviço para o VPC Flow Logs
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
nota
Se o serviço VPC Flow Logs estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos do VPC Flow Logs utilizados por AWSServiceRoleForVPCFlowLogs
-
Exclua todas as assinaturas do VPC Flow Logs que usam campos de tag no formato de log.
-
Aguarde pelo menos uma hora para que o VPC Flow Logs processe se todas as assinaturas de tags da sua conta foram excluídas e limpe automaticamente as regras gerenciadas do EventBridge criadas para oferecer suporte ao enriquecimento de logs.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões suportadas para perfis vinculados ao serviço do VPC Flow Logs
O VPC Flow Logs não oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. É possível usar o perfil AWSServiceRoleForVPCFlowLogs nas regiões a seguir.
| Nome da região | Identidade da região | Suporte no VPC Flow Logs |
|---|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Sim |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Milão) | eu-south-1 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| Europa (Estocolmo) | eu-north-1 | Sim |
| Oriente Médio (Bahrein) | me-south-1 | Sim |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Sim |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Sim |