View a markdown version of this page

AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket - AWS Systems Manager Automation Runbook 參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket

Description

AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket Runbook 會使用將流程日誌資料發佈至您指定的 Amazon Simple Storage Service (Amazon S3) 儲存貯體的流程日誌,取代將流程日誌資料發佈至 Amazon CloudWatch Logs (CloudWatch Logs) 的現有 Amazon VPC 流程日誌。 Amazon CloudWatch Amazon S3

執行此自動化 (主控台)

文件類型

 自動化

擁有者

Amazon

平台

Linux、macOS、 Windows

參數

  • AutomationAssumeRole

    類型:字串

    描述:(必要) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。

  • DestinationS3BucketArn

    類型:字串

    描述:(必要) 您要發佈流程日誌資料的 Amazon S3 儲存貯體 ARN。

  • FlowLogId

    類型:字串

    描述:(必要) 發佈至您要取代之 CloudWatch Logs 的流程日誌 ID。

  • MaxAggregationInterval

    類型:整數

    有效值:60 | 600

    描述:(選用) 以秒為單位的最大時間間隔,在此期間會擷取封包流程並將其彙總到流程日誌記錄中。

  • TrafficType

    類型:字串

    有效值:接受 | 拒絕 | ALL

    描述:(必要) 您要記錄和發佈的流程日誌資料類型。

必要的 IAM 許可

AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ec2:CreateFlowLogs

  • ec2:DeleteFlowLogs

  • ec2:DescribeFlowLogs

文件步驟

  • aws:executeAwsApi - 從您在 FlowLogId 參數中指定的值收集 VPC 的詳細資訊。

  • aws:executeAwsApi - 根據您為 Runbook 參數指定的值建立流程日誌。

  • aws:assertAwsResourceProperty - 驗證新建立的流程日誌發佈至 Amazon S3。

  • aws:executeAwsApi - 刪除發佈至 CloudWatch Logs 的流程日誌。

  • aws:executeScript - 確認發佈至 CloudWatch Logs 的流程日誌已刪除。