# VPC 流日志的 Amazon 托管式策略
<a name="flow-logs-managed-policy"></a>

如果您使用的是 VPC 流日志，并且创建了带有标签字段和关联的 TagFieldSpecifications 参数的订阅，则会在您的 IAM 账户中自动创建 **AWSVPCFlowLogsServiceRolePolicy** 托管式策略，并将其附加到 **AWSServiceRoleForVPCFlowLogs** [服务相关角色](flow-logs-slr.md)。

此托管式策略允许 VPC 流日志执行以下操作：
+ 创建和管理 EventBridge 托管式规则，将标签更新事件发送到 VPC 流日志服务。
+ 代表客户调用 API 以验证标签值的新鲜度，从而丰富日志。

以下示例显示所创建托管策略的详细信息。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}
```

------

前面示例中的第一条语句使 VPC 流日志能够在您的 Amazon 账户中为源 `aws.tag` 和 `aws.autoscaling` 创建 EventBridge 托管式规则，获取与标签更改事件相关的详细信息类型。

前面示例中的第二条语句使 VPC 流日志能够控制在您的 Amazon 账户中为名为 `VPCFlowLogsEC2TagsManagedRule` 和/或 `VPCFlowLogsASGTagsManagedRule` 的资源创建的托管式规则的生命周期。

前面示例中的第三条语句使 VPC 流日志能够代表客户调用标签 API 来验证标签值的新鲜度，从而丰富日志。

## Amazon 托管式策略：AWSVPCFlowLogsServiceRolePolicy
<a name="flow-logs-managed-policy-AWSVPCFlowLogsServiceRolePolicy"></a>

您可以将 `AWSVPCFlowLogsServiceRolePolicy` 策略附加到 IAM 身份。此策略授予的权限使 VPC 流日志能够创建和管理 EventBridge 托管式规则，并代表您调用 DescribeTag API，进而自动跟踪与包含标签字段的流日志订阅下的资源关联的 EC2 标签值的更新。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》**中的 [AWSVPCFlowLogsServiceRolePolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSVPCFlowLogsServiceRolePolicy.html)。

## 对 Amazon 托管策略的更新
<a name="flow-logs-managed-policy-updates"></a>

查看自服务开始跟踪这些更改以来，VPC 流日志对 Amazon 托管式策略更新的详细信息。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| [Amazon 托管式策略：AWSVPCFlowLogsServiceRolePolicy](#flow-logs-managed-policy-AWSVPCFlowLogsServiceRolePolicy) - 新策略 | 新的 AWSVPCFlowLogsServiceRolePolicy 策略使 VPC 流日志能够创建和管理 EventBridge 托管式规则，并代表您调用 DescribeTag API，自动跟踪与包含标签字段的流日志订阅下的资源关联的 EC2 标签值的更新。 | March 31, 2026 | 
| VPC 流日志开始跟踪更改 | VPC 流日志开始跟踪其 Amazon 托管式策略的更改。 | March 31, 2026 |