其他分享
首页 > 其他分享> > AWS35.创建 AWS VPC 流日志

AWS35.创建 AWS VPC 流日志

作者:互联网

创建 AWS VPC 流日志

=== 什么是VPC 流日志?

  • 利用 VPC 流日志这项功能,您可以捕获有关传入和传出您的 VPC 中网络接口的 IP 流量的信息。帮助您检查访问控制规则监控网络流量进行网络故障排查
  • 流日志数据可以发布到 Amazon CloudWatch LogsAmazon S3
  • 创建流日志后,您可以在选定目标中检索和查看其数据

=== 架构图

image

== 实验步骤

=== 创建CloudWatch Logs

  • 顶部菜单导航到 CloudWatch
  • 单击左侧面板中的日志组,单击创建日志组
  • 输入日志组名称:whizvpclogs,然后单击创建

image

image

=== 创建 IAM 角色

  • 导航到IAM
  • 左侧菜单中,单击角色 。单击创建角色该按钮以创建新的 IAM 角色
  • 在创建角色部分,为角色选择可信实体类型
  • AWS 服务
  • 使用案例:EC2
  • 注意:通过选择 EC2 作为使用案例,您也可以将此角色用于 VPC 流日志

image

  • 单击下一步
  • 添加权限:现在,您可以看到策略列表
  • 选择"创建策略",将打开一个新选项卡,然后将代码复制并粘贴到 JSON 下
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ec2:AssociateVpcCidrBlock",
                  "ec2:AuthorizeSecurityGroupEgress",
                  "ec2:AuthorizeSecurityGroupIngress",
                  "ec2:CreateEgressOnlyInternetGateway",
                  "ec2:CreateFlowLogs",
                  "ec2:CreateRoute",
                  "ec2:CreateRouteTable",
                  "ec2:CreateSecurityGroup",
                  "ec2:CreateSubnet",
                  "ec2:CreateTags",
                  "ec2:CreateVpc",
                  "ec2:Describe*",
                  "ec2:EnableVgwRoutePropagation",
                  "ec2:EnableVpcClassicLink",
                  "ec2:EnableVpcClassicLinkDnsSupport",
                  "ec2:MoveAddressToVpc",
                  "ec2:RestoreAddressToClassic",
                  "ec2:RevokeSecurityGroupEgress",
                  "ec2:RevokeSecurityGroupIngress",
                  "ec2:UnassignPrivateIpAddresses",
                  "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                  "ec2:UpdateSecurityGroupRuleDescriptionsIngress"
              ],
              "Resource": "*",
              "Condition": {
                  "StringEquals": {
                      "aws:RequestedRegion": "us-east-1"
                  }
              }
          }
      ]
  }
  • 现在点击 下一页:标签 按钮。无需更改
  • 单击"下一步:查看"按钮。
  • 输入策略名称:whizpolicy,然后单击"创建策略"
  • 创建策略后,返回"创建角色"选项卡,然后单击右上角的"刷新"按钮。
  • 在"筛选策略"部分中搜索"whizpolicy"并将其选中
  • 单击下一步
  • 角色名称:输入 whizrole
  • 已成功按名称 whizrole 创建了一个 IAM 角色。

=== 创建VPC

  • 请确保您位于美国东部(弗吉尼亚北部)us-east-1 区域
  • 顶部菜单导航到 VPC
  • 单击左侧菜单中的您的 VPC
  • 在这里,您可以看到所有 VPC 的列表,无需对现有和默认 VPC 执行任何操作,我们将创建一个新的 VPC
  • 单击创建 VPC按钮。
  • 名称标签: 输入用于向您的 VPC 标识的 VPC 名称。例如:MyVPC
  • IPv4 CIDR 块: 输入 10.0.0.0/16
  • IPv6 CIDR 块: 无需更改此设置,请确保选中"无 IPv6 CIDR 块"
  • 租期: 无需更改此设置,请确保选中"默认"
  • 现在单击创建 VPC按钮

image

  • 创建VPC后,它将显示详细信息如下所示

image

=== 创建 VPC 流日志

  • 单击进入 MyVPC 内部,向下滚动并单击"流日志"选项卡,然后单击"创建流日志"按钮。
  • MyVPC流日志设置:
  • 名称:whizflow
  • 选择"筛选条件"接受,选择"目标"为发送到 CloudWatch Logs
  • 选择上面的创建CloudWatch Logs"whizvpclogs"
  • 选择 IAM 角色"whizrole"
  • 并将其他设置保留为默认值。单击"创建流日志"
  • 创建流日志后,向下滚动可以查看到创建的"流日志"

image

  • 现在,您已经成功学习了如何创建 VPC 流日志

标签:角色,单击,创建,AWS35,AWS,ec2,VPC,日志
来源: https://www.cnblogs.com/ajajroom/p/16402214.html