View a markdown version of this page

VPC 流日志的 AWS 托管式策略 - Amazon Virtual Private Cloud

VPC 流日志的 AWS 托管式策略

如果您使用的是 VPC 流日志,并且创建了带有标签字段和关联的 TagFieldSpecifications 参数的订阅,则会在您的 IAM 账户中自动创建 AWSVPCFlowLogsServiceRolePolicy 托管式策略,并将其附加到 AWSServiceRoleForVPCFlowLogs 服务相关角色

此托管式策略允许 VPC 流日志执行以下操作:

  • 创建和管理 EventBridge 托管式规则,将标签更新事件发送到 VPC 流日志服务。

  • 代表客户调用 API 以验证标签值的新鲜度,从而丰富日志。

以下示例显示所创建托管策略的详细信息。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes", "Effect": "Allow", "Action": "events:PutRule", "Resource": [ "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule", "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule" ], "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.tag", "aws.autoscaling" ], "events:detail-type": [ "AWS API Call via CloudTrail", "Tag Change on Resource" ] }, "Null": { "events:source": "false", "events:detail-type": "false" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs", "Effect": "Allow", "Action": [ "events:DeleteRule", "events:DescribeRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule", "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowDescribeTagsOnAllEC2Resources", "Effect": "Allow", "Action": [ "tag:GetResources", "autoscaling:DescribeTags" ], "Resource": "*" } ] }

前面示例中的第一条语句使 VPC 流日志能够在您的 AWS 账户中为源 aws.tagaws.autoscaling 创建 EventBridge 托管式规则,获取与标签更改事件相关的详细信息类型。

前面示例中的第二条语句使 VPC 流日志能够控制在您的 AWS 账户中为名为 VPCFlowLogsEC2TagsManagedRule 和/或 VPCFlowLogsASGTagsManagedRule 的资源创建的托管式规则的生命周期。

前面示例中的第三条语句使 VPC 流日志能够代表客户调用标签 API 来验证标签值的新鲜度,从而丰富日志。

AWS 托管式策略:AWSVPCFlowLogsServiceRolePolicy

您可以将 AWSVPCFlowLogsServiceRolePolicy 策略附加到 IAM 身份。此策略授予的权限使 VPC 流日志能够创建和管理 EventBridge 托管式规则,并代表您调用 DescribeTag API,进而自动跟踪与包含标签字段的流日志订阅下的资源关联的 EC2 标签值的更新。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSVPCFlowLogsServiceRolePolicy

对 AWS 托管策略的更新

查看自服务开始跟踪这些更改以来,VPC 流日志对 AWS 托管式策略更新的详细信息。

更改 描述 日期
AWS 托管式策略:AWSVPCFlowLogsServiceRolePolicy - 新策略 新的 AWSVPCFlowLogsServiceRolePolicy 策略使 VPC 流日志能够创建和管理 EventBridge 托管式规则,并代表您调用 DescribeTag API,自动跟踪与包含标签字段的流日志订阅下的资源关联的 EC2 标签值的更新。 March 31, 2026
VPC 流日志开始跟踪更改

VPC 流日志开始跟踪其 AWS 托管式策略的更改。

March 31, 2026