View a markdown version of this page

AWS politiques gérées pour les journaux de flux VPC - Amazon Virtual Private Cloud
AWSVPCFlowLogsServiceRolePolicy Mises à jour du AWS politique gérée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour les journaux de flux VPC

Si vous utilisez les journaux de flux VPC et que vous créez un abonnement avec des champs de balise et le TagFieldSpecifications paramètre associé, la politique AWSVPCFlowLogsServiceRolePolicygérée est automatiquement créée dans votre compte IAM et attachée au rôle lié au AWSServiceRoleForVPCFlowLogsservice.

Cette politique gérée permet aux journaux de flux VPC d'effectuer les opérations suivantes :

  • Créez et gérez des règles EventBridge gérées pour envoyer les événements de mise à jour des balises au service VPC Flow Logs.

  • Appelez des API au nom des clients pour valider la fraîcheur de la valeur des balises en vue de l'enrichissement des logs.

L'exemple suivant affiche les détails de la stratégie gérée créée.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}

La première instruction de l'exemple précédent permet aux journaux de flux VPC de créer des règles EventBridge gérées dans votre AWS compte pour les sources aws.tag et aws.autoscaling pour les types de détails liés aux événements de changement de balise.

La deuxième instruction de l'exemple précédent permet aux journaux de flux VPC de contrôler le cycle de vie des règles gérées créées dans votre AWS compte pour les ressources nommées. VPCFlowLogsEC2TagsManagedRule and/or VPCFlowLogsASGTagsManagedRule

La troisième instruction de l'exemple précédent permet aux journaux de flux VPC d'appeler des API de balises pour le compte des clients afin de valider la fraîcheur de la valeur des balises en vue de l'enrichissement des journaux.

AWS politique gérée : AWSVPCFlowLogsServiceRolePolicy

Vous pouvez associer la politique AWSVPCFlowLogsServiceRolePolicy à vos identités IAM. Cette politique accorde des autorisations qui permettent aux journaux de flux VPC de créer et de gérer des règles EventBridge gérées et d'appeler des DescribeTag API en votre nom afin de suivre automatiquement les mises à jour des valeurs des balises EC2 associées aux ressources dans le cadre des abonnements aux journaux de flux qui incluent des champs de balises.

Pour voir les autorisations de cette stratégie, consultez AWSVPCFlowLogsServiceRolePolicy dans le AWS Guide de référence des stratégies gérées par.

Mises à jour du AWS politique gérée

Consultez les détails des mises à jour apportées aux politiques AWS gérées pour les journaux de flux VPC depuis que ce service a commencé à suivre ces modifications.

Modifier Description Date
AWS politique gérée : AWSVPCFlowLogsServiceRolePolicy : nouvelle politique Une nouvelle AWSVPCFlowLogsServiceRolePolicy politique permet aux journaux de flux VPC de créer et de gérer des règles EventBridge gérées et d'appeler des DescribeTag API en votre nom afin de suivre automatiquement les mises à jour des valeurs des balises EC2 associées aux ressources dans le cadre des abonnements aux journaux de flux qui incluent des champs de balises. 31 mars 2026
VPC Flow Logs a commencé à suivre les modifications

VPC Flow Logs a commencé à suivre les modifications apportées à ses politiques AWS gérées.

 31 mars 2026