View a markdown version of this page

AWS VPC 流程日誌的 受管政策 - Amazon Virtual Private Cloud
AWSVPCFlowLogsServiceRolePolicy AWS 受管政策的更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS VPC 流程日誌的 受管政策

如果您使用 VPC 流程日誌,並建立具有標籤欄位和相關聯 TagFieldSpecifications 參數的訂閱,則 AWSVPCFlowLogsServiceRolePolicy 受管政策會自動建立在您的 IAM 帳戶中,並連接到 AWSServiceRoleForVPCFlowLogs 服務連結角色

此受管政策可讓 VPC 流程日誌執行下列動作:

  • 建立和管理 EventBridge 受管規則,將標籤更新事件傳送至 VPC Flow Logs 服務。

  • 代表客戶呼叫 APIs,以驗證日誌擴充的標籤值新鮮度。

下例顯示建立之受管政策的詳細資訊。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}

上述範例中的第一個陳述式可讓 VPC Flow Logs 在 AWS 您的帳戶中為來源aws.tag和標籤變更事件相關的詳細資訊類型建立 EventBridge aws.autoscaling 受管規則。

上述範例中的第二個陳述式可讓 VPC Flow Logs 控制您 AWS 帳戶中建立的受管規則生命週期,以取得名為 VPCFlowLogsEC2TagsManagedRule和/或 的資源VPCFlowLogsASGTagsManagedRule

上述範例中的第三個陳述式可讓 VPC Flow Logs 代表客戶呼叫標籤 APIs,以驗證日誌擴充的標籤值新鮮度。

AWS 受管政策:AWSVPCFlowLogsServiceRolePolicy

您可將 AWSVPCFlowLogsServiceRolePolicy 政策連接到 IAM 身分。此政策授予許可,讓 VPC Flow Logs 能夠建立和管理 EventBridge 受管規則,並代表您呼叫 DescribeTag APIs,以自動追蹤與包含標籤欄位之 Flow Logs 訂閱下資源相關聯的 EC2 標籤值更新。

若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 AWSVPCFlowLogsServiceRolePolicy

AWS 受管政策的更新

檢視自此服務開始追蹤這些變更以來,VPC Flow Logs AWS 受管政策更新的詳細資訊。

變更 描述 日期
AWS 受管政策:AWSVPCFlowLogsServiceRolePolicy – 新政策 新的 AWSVPCFlowLogsServiceRolePolicy 政策可讓 VPC Flow Logs 建立和管理 EventBridge 受管規則,並代表您呼叫 DescribeTag APIs,以在包含標籤欄位的 Flow Logs 訂閱下自動追蹤與資源相關聯的 EC2 標籤值更新。 2026 年 3 月 31 日
VPC 流程日誌已開始追蹤變更

VPC Flow Logs 開始追蹤其 AWS 受管政策的變更。

 2026 年 3 月 31 日