翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Amazon CloudWatch Logs のトランジットゲートウェイフローログレコード
<a name="flow-logs-cwl"></a>

フローログはフローログデータを直接 Amazon CloudWatch に発行できます。

フローログデータは、CloudWatch Logs に対して発行されるときはロググループに発行され、各 Transit Gateway にはロググループに一意のログストリームがあります。ログストリームにはフローログレコードが含まれます。同じロググループにデータを公開する複数のフローログを作成できます。同じ Transit Gateway が同じロググループの 1 つまたは複数のフローログに存在する場合、1 つの組み合わされたログストリームがあります。1 つのフローログで、拒否されたトラフィックをキャプチャし、別のフローログで、許可されたトラフィックをキャプチャするよう指定した場合、組み合わされたログストリームですべてのトラフィックがキャプチャされます。

フローログを CloudWatch Logs に発行すると、提供されたログに対するデータの取り込み料金とアーカイブ料金が適用されます。詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com/cloudwatch/pricing/)」を参照してください。

CloudWatch Logs では、**[timestamp]** フィールドはフローログレコードでキャプチャされた開始時刻に対応します。**[ingestionTime]** フィールドは、CloudWatch Logs によってフローログレコードが受信された日時を示します。タイムスタンプは、フローログレコードでキャプチャされた終了時刻より後です。

CloudWatch Logs の詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「[CloudWatch Logs に送信されたログ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL)」を参照してください。

**Topics**
+ [CloudWatch Logs へのフローログ発行のための IAM ロール](#flow-logs-iam)
+ [IAM ユーザーがロールを渡すためのアクセス許可](#flow-logs-iam-user)
+ [CloudWatch Logs に発行するフローログの作成](flow-logs-cwl-create-flow-log.md)
+ [フローログレコードを表示する](view-flow-log-records.md)
+ [フローログレコードの処理](process-records-cwl.md)

## CloudWatch Logs へのフローログ発行のための IAM ロール
<a name="flow-logs-iam"></a>

フローログに関連付けられた IAM ロールには、CloudWatch Logs の指定されたロググループにフローログを発行するために十分なアクセス許可が必要です。IAM ロールは に属している必要があります AWS アカウント。

IAM ロールにアタッチされた IAM ポリシーには、少なくとも以下のアクセス許可が含まれている必要があります。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}
```

------

フローログサービスがロールを引き受けることができる信頼関係がロールにあることも確認します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

[Confused Deputy Problem (混乱した使節の問題)](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) から自分を守るために、`aws:SourceAccount` および `aws:SourceArn` の条件キーを使用することをお勧めします。例えば、前述の信頼ポリシーに次の条件ブロックを追加できます。ソースアカウントはフローログの所有者であり、ソース ARN はフローログ ARN です。フローログ ID が不明な場合は、ARN の不明部分をワイルドカード (\*) に置き換え、フローログ作成後にポリシーを更新できます。

```
"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "{{account_id}}"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:{{region}}:{{account_id}}:vpc-flow-log/{{flow-log-id}}"
    }
}
```

## IAM ユーザーがロールを渡すためのアクセス許可
<a name="flow-logs-iam-user"></a>

フローログに関連付けられた IAM ロール用に `iam:PassRole` アクションを使用するアクセス許可もユーザーに必要です。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::{{111122223333}}:role/{{flow-log-role-name}}"
        }
    ]
}
```

------