使用 VPC 流日志的服务相关角色
VPC 流日志使用 Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,与 VPC 流日志直接相关。服务相关角色由 VPC 流日志预定义,并包含服务代表您调用其他 Amazon 服务所需的所有权限。
您可以使用服务相关角色轻松设置 VPC 流日志,因为您不必手动添加所需的权限。VPC 流日志定义其服务相关角色的权限,除非另外定义,否则只有 VPC 流日志可以代入其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这可以保护您的 VPC 流日志资源,因为您不会无意中移除对资源的访问权限。
有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务,并查找服务相关角色列中显示为是的服务。选择是和链接,查看该服务的服务关联角色文档。
VPC 流日志的服务相关角色权限
VPC 流日志使用名为 AWSServiceRoleForVPCFlowLogs 的服务相关角色 – 此服务相关角色使 VPC 流日志能够创建和管理 EventBridge 托管式规则,并代表您调用 DescribeTag API,自动跟踪与包含标签字段的流日志订阅下的资源关联的 EC2 标签值的更新。
AWSServiceRoleForVPCFlowLogs 服务相关角色信任以下服务来代入该角色:
-
vpc-flow-logs.amazonaws.com
名为 AWSVPCFlowLogsServiceRolePolicy 的角色权限策略允许 VPC 流日志对指定资源完成以下操作:
-
操作:针对 EC2 自动扩缩组执行
autoscaling:DescribeTags,验证标签值。操作:针对 EC2 实例和 ElasticNetworkInterfaces 执行
tag:GetResources,验证标签值。操作:针对来自源
aws.tag和aws.autoscaling的新托管式规则执行events:PutRule,获取与标签更改事件相关的详细信息类型。操作:针对名为
VPCFlowLogsEC2TagsManagedRule和/或VPCFlowLogsASGTagsManagedRule的 VPC 流日志创建的托管式规则执行events:DeleteRule。操作:针对名为
VPCFlowLogsEC2TagsManagedRule和/或VPCFlowLogsASGTagsManagedRule的 VPC 流日志创建的托管式规则执行events:DescribeRule。操作:针对名为
VPCFlowLogsEC2TagsManagedRule和/或VPCFlowLogsASGTagsManagedRule的 VPC 流日志创建的托管式规则执行events:PutTargets。操作:针对名为
VPCFlowLogsEC2TagsManagedRule和/或VPCFlowLogsASGTagsManagedRule的 VPC 流日志创建的托管式规则执行events:RemoveTargets。
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
创建 VPC 流日志的服务相关角色
您无需手动创建服务关联角色。当您在 Amazon Web Services 管理控制台、Amazon CLI 或 Amazon API 中使用日志格式的标签字段和关联的 TagFieldSpecifications 参数 CreateFlowLogs 时,VPC 流日志会为您创建服务相关角色。
重要
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。要了解更多信息,请参阅我的 Amazon Web Services 账户中出现新角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您使用日志格式的标签字段和关联的 TagFieldSpecifications 参数 CreateFlowLogs 时,VPC 流日志会再次为您创建服务相关角色。
您还可以使用 IAM 控制台创建具有 AWSServiceRoleForVPCFlowLogs 使用案例的服务相关角色。在 Amazon CLI 或 Amazon API 中,使用 vpc-flow-logs.amazonaws.com 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
编辑 VPC 流日志的服务相关角色
VPC 流日志不允许您编辑 AWSServiceRoleForVPCFlowLogs 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务关联角色。
删除 VPC 流日志的服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
注意
如果在您尝试删除资源时,VPC 流日志服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForVPCFlowLogs 使用的 VPC 流日志资源
-
删除所有使用日志格式标签字段的 VPC 流日志订阅。
-
等待至少一小时,让 VPC 流日志完成处理,确认您账户的所有标签订阅均已删除,并自动清理为支持日志丰富而创建的 EventBridge 托管式规则。
使用 IAM 手动删除服务关联角色
使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 AWSServiceRoleForVPCFlowLogs 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
支持 VPC 流日志服务相关角色的区域
VPC 流日志并非在提供该服务的每个区域都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForVPCFlowLogs 角色。
| 区域名称 | 区域标识 | 在 VPC 流日志中支持 |
|---|---|---|
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 非洲(开普敦) | af-south-1 | 是 |
| 亚太地区(香港) | ap-east-1 | 是 |
| 亚太地区(雅加达) | ap-southeast-3 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(米兰) | eu-south-1 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 中东(巴林) | me-south-1 | 是 |
| 中东(阿联酋) | me-central-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| 中国(北京) | cn-north-1 | 是 |
| 中国(宁夏) | cn-northwest-1 | 是 |
| Amazon GovCloud(美国东部) | us-gov-east-1 | 是 |
| Amazon GovCloud(美国西部) | us-gov-west-1 | 是 |