View a markdown version of this page

AWS kebijakan terkelola untuk Log Aliran VPC - Amazon Virtual Private Cloud
AWSVPCFlowLogsServiceRolePolicy Pembaruan untuk AWS Kebijakan terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Log Aliran VPC

Jika Anda menggunakan Log Aliran VPC dan membuat langganan dengan bidang tag dan TagFieldSpecifications parameter terkait, kebijakan AWSVPCFlowLogsServiceRolePolicyterkelola secara otomatis dibuat di akun IAM Anda dan dilampirkan ke peran terkait layanan. AWSServiceRoleForVPCFlowLogs

Kebijakan terkelola ini memungkinkan Log Aliran VPC melakukan hal berikut:

  • Buat dan EventBridge kelola Aturan Terkelola untuk mengirim peristiwa pembaruan tag ke layanan VPC Flow Logs.

  • Panggil API atas nama pelanggan untuk memvalidasi kesegaran nilai tag untuk pengayaan log.

Contoh berikut menunjukkan detail kebijakan terkelola yang dibuat.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}

Pernyataan pertama dalam contoh sebelumnya memungkinkan Log Aliran VPC untuk membuat Aturan EventBridge Terkelola di AWS akun Anda untuk sumber aws.tag dan aws.autoscaling untuk tipe detail yang terkait dengan peristiwa perubahan tag.

Pernyataan kedua dalam contoh sebelumnya memungkinkan Log Aliran VPC untuk mengontrol siklus hidup Aturan Terkelola yang dibuat di akun Anda untuk sumber daya bernama. AWS VPCFlowLogsEC2TagsManagedRule and/or VPCFlowLogsASGTagsManagedRule

Pernyataan ketiga dalam contoh sebelumnya memungkinkan VPC Flow Logs memanggil API tag atas nama pelanggan untuk memvalidasi kesegaran nilai tag untuk pengayaan log.

AWS kebijakan terkelola: AWSVPCFlowLogsServiceRolePolicy

Anda dapat melampirkan kebijakan AWSVPCFlowLogsServiceRolePolicy ke identitas IAM Anda. Kebijakan ini memberikan izin yang memungkinkan Log Aliran VPC untuk membuat dan mengelola Aturan EventBridge Terkelola dan memanggil DescribeTag API atas nama Anda untuk secara otomatis melacak pembaruan nilai Tag EC2 yang terkait dengan sumber daya di bawah langganan Log Aliran yang menyertakan bidang tag.

Untuk melihat izin kebijakan ini, lihat AWSVPCFlowLogsServiceRolePolicy di Referensi Kebijakan AWS Terkelola.

Pembaruan untuk AWS Kebijakan terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Log Aliran VPC sejak layanan ini mulai melacak perubahan ini.

Ubah Deskripsi Date
AWS kebijakan terkelola: AWSVPCFlowLogsServiceRolePolicy – Kebijakan baru AWSVPCFlowLogsServiceRolePolicy Kebijakan baru memungkinkan Log Aliran VPC untuk membuat dan mengelola Aturan EventBridge Terkelola dan memanggil DescribeTag API atas nama Anda untuk secara otomatis melacak pembaruan nilai Tag EC2 yang terkait dengan sumber daya di bawah langganan Log Aliran yang menyertakan bidang tag. Maret 31, 2026
VPC Flow Logs mulai melacak perubahan

VPC Flow Logs mulai melacak perubahan untuk kebijakan AWS terkelolanya.

 Maret 31, 2026