本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS VPC 流程日誌的 受管政策
如果您使用 VPC 流程日誌,並建立具有標籤欄位和相關聯 TagFieldSpecifications 參數的訂閱,則 **AWSVPCFlowLogsServiceRolePolicy** 受管政策會自動建立在您的 IAM 帳戶中,並連接到 **AWSServiceRoleForVPCFlowLogs** [服務連結角色](flow-logs-slr.md)。
此受管政策可讓 VPC 流程日誌執行下列動作:
+ 建立和管理 EventBridge 受管規則,將標籤更新事件傳送至 VPC Flow Logs 服務。
+ 代表客戶呼叫 APIs,以驗證日誌擴充的標籤值新鮮度。
下例顯示建立之受管政策的詳細資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": [
"arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
"arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
],
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [
"aws.tag",
"aws.autoscaling"
],
"events:detail-type": [
"AWS API Call via CloudTrail",
"Tag Change on Resource"
]
},
"Null": {
"events:source": "false",
"events:detail-type": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
"arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowDescribeTagsOnAllEC2Resources",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"autoscaling:DescribeTags"
],
"Resource": "*"
}
]
}
```
------
上述範例中的第一個陳述式可讓 VPC Flow Logs 在 AWS 您的帳戶中為來源`aws.tag`和標籤變更事件相關的詳細資訊類型建立 EventBridge `aws.autoscaling` 受管規則。
上述範例中的第二個陳述式可讓 VPC Flow Logs 控制您 AWS 帳戶中建立的受管規則生命週期,以取得名為 `VPCFlowLogsEC2TagsManagedRule`和/或 的資源`VPCFlowLogsASGTagsManagedRule`。
上述範例中的第三個陳述式可讓 VPC Flow Logs 代表客戶呼叫標籤 APIs,以驗證日誌擴充的標籤值新鮮度。
## AWS 受管政策:AWSVPCFlowLogsServiceRolePolicy
您可將 `AWSVPCFlowLogsServiceRolePolicy` 政策連接到 IAM 身分。此政策授予許可,讓 VPC Flow Logs 能夠建立和管理 EventBridge 受管規則,並代表您呼叫 DescribeTag APIs,以自動追蹤與包含標籤欄位之 Flow Logs 訂閱下資源相關聯的 EC2 標籤值更新。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSVPCFlowLogsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCFlowLogsServiceRolePolicy.html)。
## AWS 受管政策的更新
檢視自此服務開始追蹤這些變更以來,VPC Flow Logs AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | 日期 |
| --- | --- | --- |
| [AWS 受管政策:AWSVPCFlowLogsServiceRolePolicy](#flow-logs-managed-policy-AWSVPCFlowLogsServiceRolePolicy) – 新政策 | 新的 AWSVPCFlowLogsServiceRolePolicy 政策可讓 VPC Flow Logs 建立和管理 EventBridge 受管規則,並代表您呼叫 DescribeTag APIs,以在包含標籤欄位的 Flow Logs 訂閱下自動追蹤與資源相關聯的 EC2 標籤值更新。 | 2026 年 3 月 31 日 |
| VPC 流程日誌已開始追蹤變更 | VPC Flow Logs 開始追蹤其 AWS 受管政策的變更。 | 2026 年 3 月 31 日 |