View a markdown version of this page

AWS politiche gestite per VPC Flow Logs - Amazon Virtual Private Cloud
AWSVPCFlowLogsServiceRolePolicy Aggiornamenti al AWS policy gestita

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per VPC Flow Logs

Se utilizzi VPC Flow Logs e crei un abbonamento con campi tag e il TagFieldSpecifications parametro associato, la policy AWSVPCFlowLogsServiceRolePolicygestita viene creata automaticamente nel tuo account IAM e allegata al ruolo collegato al AWSServiceRoleForVPCFlowLogsservizio.

Questa policy gestita consente a VPC Flow Logs di eseguire le seguenti operazioni:

  • Crea e gestisci regole EventBridge gestite per inviare eventi di aggiornamento dei tag al servizio VPC Flow Logs.

  • Richiama le API per conto dei clienti per convalidare la freschezza del valore dei tag per l'arricchimento dei log.

L'esempio che segue mostra i dettagli relativi alle policy gestite create.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}

La prima istruzione dell'esempio precedente consente ai log di flusso VPC di EventBridge creare regole gestite nel AWS tuo account per le aws.tag fonti aws.autoscaling e per i tipi di dettaglio relativi agli eventi di modifica dei tag.

La seconda istruzione dell'esempio precedente consente ai log di flusso VPC di controllare il ciclo di vita delle regole gestite create nell' AWS account per le risorse denominate. VPCFlowLogsEC2TagsManagedRule and/or VPCFlowLogsASGTagsManagedRule

La terza istruzione dell'esempio precedente consente a VPC Flow Logs di chiamare le API dei tag per conto dei clienti per convalidare la freschezza del valore dei tag per l'arricchimento dei log.

AWS politica gestita: AWSVPCFlowLogsServiceRolePolicy

È possibile allegare la policy AWSVPCFlowLogsServiceRolePolicy alle identità IAM. Questa policy concede autorizzazioni che consentono a VPC Flow Logs di creare e gestire le EventBridge Managed Rules e di chiamare le DescribeTag API per tuo conto per tracciare automaticamente gli aggiornamenti ai valori dei tag EC2 associati alle risorse negli abbonamenti Flow Logs che includono campi tag.

Per vedere le autorizzazioni per questa policy, consulta AWSVPCFlowLogsServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS .

Aggiornamenti al AWS policy gestita

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per i log di flusso VPC da quando questo servizio ha iniziato a tenere traccia di queste modifiche.

Modifica Descrizione Data
AWS politica gestita: AWSVPCFlowLogsServiceRolePolicy: nuova policy AWSVPCFlowLogsServiceRolePolicy La nuova policy consente a VPC Flow Logs di creare e gestire le EventBridge Managed Rules e di chiamare le DescribeTag API per tuo conto per tracciare automaticamente gli aggiornamenti ai valori dei tag EC2 associati alle risorse negli abbonamenti Flow Logs che includono campi tag. 31 marzo 2026
I log di flusso VPC hanno iniziato a tracciare le modifiche

VPC Flow Logs ha iniziato a tracciare le modifiche per le sue AWS policy gestite.

 31 marzo 2026