Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # `AWSSupport-EnableVPCFlowLogs` **Descripción** El `AWSSupport-EnableVPCFlowLogs ` manual crea registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) para subredes, VPCs interfaces de red y en su. Cuenta de AWS Si crea un log de flujo para una subred o VPC, se supervisará cada interfaz de red elástica de Amazon VPC o la subred. Los datos del registro de flujo se publican en el grupo de CloudWatch registros de Amazon Logs o en el depósito de Amazon Simple Storage Service (Amazon S3) que especifique. Para obtener más información sobre los registros de flujo, consulte [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) en la *Guía del usuario de Amazon VPC*. **importante** Los cargos por ingesta y archivado de datos para los registros vendidos se aplican cuando publica los CloudWatch registros de flujo en Logs o en Amazon S3. Para obtener más información, consulte [Registros de flujo de precios](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing). [Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs) **nota** `s3`Al seleccionar el destino del registro, asegúrese de que la política de compartimentos permita al servicio de entrega de registros acceder al depósito. Para obtener más información, consulte [Permisos de bucket de Amazon S3 para registros de flujo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions). **Tipo de documento** Automatización **Propietario** Amazon **Plataformas** Linux, macOS, Windows **Parámetros** + AutomationAssumeRole Tipo: cadena Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos. + DeliverLogsPermissionArn Tipo: cadena Descripción: (opcional) El ARN de la función de IAM que permite a Amazon Elastic Compute Cloud (Amazon EC2) publicar registros de flujo en CloudWatch el grupo de registros de su cuenta. Si especifica `s3` para el parámetro `LogDestinationType`, no proporcione un valor para este parámetro. Para obtener más información, consulte [Publicar registros de flujo en CloudWatch registros](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) en la Guía del *usuario de Amazon VPC*. + LogDestinationARN Tipo: cadena Descripción: (opcional) el ARN del recurso en el que se publican los datos del registro de flujo. Si `cloud-watch-logs` se especifica para el `LogDestinationType` parámetro, proporcione el ARN del grupo de CloudWatch registros en el que desea publicar los datos del registro de flujo. También puede utilizar `LogGroupName` en su lugar. Si se especifica `s3` para el parámetro `LogDestinationType`, debe especificar el ARN del bucket de Amazon S3 en el que desea publicar los datos del registro de flujo para este parámetro. También puede especificar una carpeta de bucket. **importante** `s3`Al elegir uno, `LogDestinationType` debe asegurarse de que el bucket seleccionado siga [las prácticas recomendadas de seguridad de Amazon S3 Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) y de que cumpla con las leyes de privacidad de datos de su organización y región geográfica. + LogDestinationType Tipo: cadena Valores válidos: cloud-watch-logs \| s3 Descripción: (obligatorio) determina dónde se publican los datos del registro de flujo. Si especifica `LogDestinationType` como `s3`, no especifique `DeliverLogsPermissionArn` ni `LogGroupName`. + LogFormat Tipo: cadena Descripción: (opcional) los campos que se van a incluir en el registro de logs de flujo, en el orden en que deben aparecer. Para obtener una lista de los campos disponibles, consulte [Entradas de registros de flujo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) en la *Guía del usuario de Amazon VPC*. Si no proporciona un valor para este parámetro, el registro de flujo se crea con el formato predeterminado. Si especifica este parámetro, debe especificar al menos un campo. + LogGroupName Tipo: cadena Descripción: (opcional) Nombre del grupo de CloudWatch registros donde se publican los datos del registro de flujo. Si especifica `s3` para el parámetro `LogDestinationType`, no proporcione un valor para este parámetro. + ResourceIds Tipo: StringList Descripción: (Obligatorio) Una lista separada IDs por comas de las subredes, interfaces de red elásticas o VPC para las que desea crear un registro de flujo. + TrafficType Tipo: cadena Valores válidos: ACCEPT \| REJECT \| ALL Descripción: (obligatorio) el tipo de tráfico que se va a registrar. Puede registrar el tráfico que el recurso acepta o rechaza, o todo el tráfico. **Permisos de IAM necesarios** El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:CreateFlowLogs` + `ec2:DeleteFlowLogs` + `ec2:DescribeFlowLogs` + `iam:AttachRolePolicy` + `iam:CreateRole` + `iam:CreatePolicy` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:TagRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `s3:GetBucketLocation` + `s3:GetBucketAcl` + `s3:GetBucketPublicAccessBlock` + `s3:GetBucketPolicyStatus` + `s3:GetBucketAcl` + `s3:ListBucket` + `s3:PutObject` Ejemplo de política ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "SSMExecutionPermissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2FlowLogsPermissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": [ "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{instance}}/{{resource-id}}", "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{subnet}}/{{resource-id}}", "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{vpc}}/{{resource-id}}", "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{transit-gateway}}/{{resource-id}}", "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:{{transit-gateway-attachment}}/{{resource-id}}" ] }, { "Sid": "IAMCreateRolePermissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:aws:iam::{{111122223333}}:role/{{role-name}}", "arn:aws:iam::{{111122223333}}:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatchLogsPermissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}", "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*" ] }, { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::{{amzn-s3-demo-bucket}}", "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*" ] } ] } ``` ------ **Pasos de documentos** + `aws:branch`: se ramifica en función del valor especificado para el parámetro `LogDestinationType`. + `aws:executeScript`- Comprueba si el Amazon Simple Storage Service (Amazon S3) de destino puede **conceder** acceso de lectura **o** `public` escritura a sus objetos. + `aws:executeScript`: crea un grupo de registro si no se especifica ningún valor para el parámetro `LogDestinationARN`, y se especifica `cloud-watch-logs` para el parámetro `LogDestinationType`. + `aws:executeScript`: crea registros de flujo en función de los valores especificados en los parámetros del manual de procedimientos.