

# Como usar perfis vinculados ao serviço para VPC Flow Logs
<a name="flow-logs-slr"></a>

O VPC Flow Logs usa [perfis vinculados ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) do AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao VPC Flow Logs. Os perfis vinculados ao serviços são predefinidas pelo VPC Flow Logs e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome. 

Um perfil vinculado ao serviço facilita a configuração do VPC Flow Logs porque você não precisa adicionar as permissões necessárias manualmente. O VPC Flow Logs define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o VPC Flow Logs poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do VPC Flow Logs porque você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte [serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que apresentam **Sim** na coluna **Perfis vinculados aos serviços**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.

## Permissões de perfil vinculado ao serviço para o VPC Flow Logs
<a name="slr-permissions"></a>

O VPC Flow Logs usa a função vinculada ao serviço chamada **AWSServiceRoleForVPCFlowLogs** – Essa função vinculada ao serviço permite que o VPC Flow Logs crie e gerencie as regras gerenciadas do EventBridge e chamem as APIs DescribeTag em seu nome para rastrear automaticamente as atualizações dos valores de tags do EC2 associados aos recursos nas assinaturas do Flow Logs que incluem campos de tag.

O perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs confia nos seguintes serviços para assumir a função:
+ `vpc-flow-logs.amazonaws.com`

A política de permissões de perfil chamada AWSVPCFlowLogsServiceRolePolicy permite que o VPC Flow Logs conclua as seguintes ações nos recursos especificados:
+ Ação: `autoscaling:DescribeTags` em grupos de escalonamento automático do EC2 para validar valores de tag.

  Ação: `tag:GetResources` em instâncias EC2 e ElasticNetworkInterfaces para validar valores de tag.

  Ação: `events:PutRule` sobre novas regras gerenciadas de fontes `aws.tag` e `aws.autoscaling` para tipos de detalhes relacionados a eventos de alteração de tags.

  Ação: `events:DeleteRule` em regras gerenciadas criadas pelo VPC Flow Logs denominadas `VPCFlowLogsEC2TagsManagedRule` e/ou `VPCFlowLogsASGTagsManagedRule`.

  Ação: `events:DescribeRule` em regras gerenciadas criadas pelo VPC Flow Logs denominadas `VPCFlowLogsEC2TagsManagedRule` e/ou `VPCFlowLogsASGTagsManagedRule`.

  Ação: `events:PutTargets` em regras gerenciadas criadas pelo VPC Flow Logs denominadas `VPCFlowLogsEC2TagsManagedRule` e/ou `VPCFlowLogsASGTagsManagedRule`.

  Ação: `events:RemoveTargets` em regras gerenciadas criadas pelo VPC Flow Logs denominadas `VPCFlowLogsEC2TagsManagedRule` e/ou `VPCFlowLogsASGTagsManagedRule`.

Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Como criar um perfil vinculado ao serviço para o VPC Flow Logs
<a name="create-slr"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você usa a função CreateFlowLogs com campos de tag em seu formato de log e o parâmetro TagFieldSpecifications associado no Console de gerenciamento da AWS, na AWS CLI ou na API da AWS o VPC Flow Logs cria a função vinculada ao serviço para você. 

**Importante**  
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Um novo perfil apareceu na minha Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você usa a função CreateFlowLogs com campos de tag em seu formato de log e o parâmetro TagFieldSpecifications associado, o VPC Flow Logs cria a função vinculada ao serviço para você novamente. 

Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso **AWSServiceRoleForLambda**. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço `vpc-flow-logs.amazonaws.com`. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Manual do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

## Como editar um perfil vinculado ao serviço para o VPC Flow Logs
<a name="edit-slr"></a>

O VPC Flow Logs não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Como excluir um perfil vinculado ao serviço para o VPC Flow Logs
<a name="delete-slr"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

**nota**  
Se o serviço VPC Flow Logs estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir os recursos do VPC Flow Logs utilizados por AWSServiceRoleForVPCFlowLogs**

1. Exclua todas as assinaturas do VPC Flow Logs que usam campos de tag no formato de log.

1. Aguarde pelo menos uma hora para que o VPC Flow Logs processe se todas as assinaturas de tags da sua conta foram excluídas e limpe automaticamente as regras gerenciadas do EventBridge criadas para oferecer suporte ao enriquecimento de logs.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForVPCFlowLogs. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões suportadas para perfis vinculados ao serviço do VPC Flow Logs
<a name="slr-regions"></a>

O VPC Flow Logs não oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. É possível usar o perfil AWSServiceRoleForVPCFlowLogs nas regiões a seguir.


| Nome da região | Identidade da região | Suporte no VPC Flow Logs | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim | 
| Leste dos EUA (Ohio) | us-east-2 | Sim | 
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim | 
| Oeste dos EUA (Oregon) | us-west-2 | Sim | 
| África (Cidade do Cabo) | af-south-1 | Sim | 
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim | 
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim | 
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim | 
| Canadá (Central) | ca-central-1 | Sim | 
| Europa (Frankfurt) | eu-central-1 | Sim | 
| Europa (Irlanda) | eu-west-1 | Sim | 
| Europa (Londres) | eu-west-2 | Sim | 
| Europa (Milão) | eu-south-1 | Sim | 
| Europa (Paris) | eu-west-3 | Sim | 
| Europa (Estocolmo) | eu-north-1 | Sim | 
| Oriente Médio (Bahrein) | me-south-1 | Sim | 
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Sim | 
| América do Sul (São Paulo) | sa-east-1 | Sim | 
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Sim | 
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Sim | 