AWSVPCFlowLogsServiceRolePolicy 对 Amazon 托管策略的更新

VPC 流日志的 Amazon 托管式策略

如果您使用的是 VPC 流日志，并且创建了带有标签字段和关联的 TagFieldSpecifications 参数的订阅，则会在您的 IAM 账户中自动创建 AWSVPCFlowLogsServiceRolePolicy 托管式策略，并将其附加到 AWSServiceRoleForVPCFlowLogs 服务相关角色。

此托管式策略允许 VPC 流日志执行以下操作：

创建和管理 EventBridge 托管式规则，将标签更新事件发送到 VPC 流日志服务。
代表客户调用 API 以验证标签值的新鲜度，从而丰富日志。

以下示例显示所创建托管策略的详细信息。

JSON


{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}

前面示例中的第一条语句使 VPC 流日志能够在您的 Amazon 账户中为源 aws.tag 和 aws.autoscaling 创建 EventBridge 托管式规则，获取与标签更改事件相关的详细信息类型。

前面示例中的第二条语句使 VPC 流日志能够控制在您的 Amazon 账户中为名为 VPCFlowLogsEC2TagsManagedRule 和/或 VPCFlowLogsASGTagsManagedRule 的资源创建的托管式规则的生命周期。

前面示例中的第三条语句使 VPC 流日志能够代表客户调用标签 API 来验证标签值的新鲜度，从而丰富日志。

Amazon 托管式策略：AWSVPCFlowLogsServiceRolePolicy

您可以将 AWSVPCFlowLogsServiceRolePolicy 策略附加到 IAM 身份。此策略授予的权限使 VPC 流日志能够创建和管理 EventBridge 托管式规则，并代表您调用 DescribeTag API，进而自动跟踪与包含标签字段的流日志订阅下的资源关联的 EC2 标签值的更新。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》中的 AWSVPCFlowLogsServiceRolePolicy。

对 Amazon 托管策略的更新

查看自服务开始跟踪这些更改以来，VPC 流日志对 Amazon 托管式策略更新的详细信息。

更改	描述	日期
Amazon 托管式策略：AWSVPCFlowLogsServiceRolePolicy - 新策略	新的 AWSVPCFlowLogsServiceRolePolicy 策略使 VPC 流日志能够创建和管理 EventBridge 托管式规则，并代表您调用 DescribeTag API，自动跟踪与包含标签字段的流日志订阅下的资源关联的 EC2 标签值的更新。	March 31, 2026
VPC 流日志开始跟踪更改	VPC 流日志开始跟踪其 Amazon 托管式策略的更改。	March 31, 2026

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用服务关联角色

问题排查