View a markdown version of this page

Políticas administradas de AWS para registros de flujo de VPC - Amazon Virtual Private Cloud
AWSVPCFlowLogsServiceRolePolicy Actualizaciones de la política administrada por AWS

Políticas administradas de AWS para registros de flujo de VPC

Si utiliza registros de flujo de VPC y crea una suscripción con campos de etiquetas y el parámetro TagFieldSpecifications asociado, la política administrada AWSVPCFlowLogsServiceRolePolicy se crea automáticamente en la cuenta de IAM y se asocia al rol vinculado al servicio AWSServiceRoleForVPCFlowLogs.

Esta política administrada permite a los registros de flujo de VPC hacer lo siguiente:

  • Crear y administrar reglas administradas de EventBridge para enviar eventos de actualización de etiquetas al servicio de registros de flujo de la VPC.

  • Llamar a las API en nombre de los clientes para validar la vigencia de los valores de las etiquetas para el enriquecimiento de registros.

En el ejemplo siguiente, se muestran detalles de la política administrada que se creó.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleOnSpecificSourcesAndDetailTypes",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [
                        "aws.tag",
                        "aws.autoscaling"
                    ],
                    "events:detail-type": [
                        "AWS API Call via CloudTrail",
                        "Tag Change on Resource"
                    ]
                },
                "Null": {
                    "events:source": "false",
                    "events:detail-type": "false"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowOtherOperationsOnRulesManagedByVPCFlowLogs",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/VPCFlowLogsEC2TagsManagedRule",
                "arn:aws:events:*:*:rule/VPCFlowLogsASGTagsManagedRule"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowDescribeTagsOnAllEC2Resources",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources",
                "autoscaling:DescribeTags"
            ],
            "Resource": "*"
        }
    ]
}

La primera instrucción del ejemplo anterior permite a los registros de flujo de VPC crear reglas administradas de EventBridge en su cuenta AWS para las fuentes aws.tag y aws.autoscaling para los tipos de detalles relacionados con los eventos de cambio de etiquetas.

La segunda instrucción del ejemplo anterior permite a los registros de flujo de VPC controlar el ciclo de vida de las reglas administradas creadas en su cuenta AWS para los recursos denominados VPCFlowLogsEC2TagsManagedRule y/o VPCFlowLogsASGTagsManagedRule.

La tercera instrucción del ejemplo anterior permite a los registros de flujo de VPC llamar a las API de etiquetas en nombre de los clientes para validar la vigencia de los valores de las etiquetas a fin de enriquecer los registros.

Política administrada AWS: AWSVPCFlowLogsServiceRolePolicy

Puede asociar la política AWSVPCFlowLogsServiceRolePolicy a las identidades de IAM. Esta política concede permisos que permiten a los registros de flujo de VPC crear y administrar reglas administradas de EventBridge y llamar a las API DescribeTag en representación del usuario para realizar un seguimiento automático de las actualizaciones de los valores de las etiquetas de EC2 asociados a los recursos en las suscripciones de registros de flujo que incluyen campos de etiquetas.

To view the permissions for this policy, see AWSVPCFlowLogsServiceRolePolicy en la AWS Referencia de la política administrada.

Actualizaciones de la política administrada por AWS

Ver los detalles sobre las actualizaciones de las políticas administradas de AWS para los registros de flujo de VPC desde que este servicio comenzó a realizar el seguimiento de estos cambios.

Cambio Descripción Fecha
Política administrada AWS: AWSVPCFlowLogsServiceRolePolicy: política nueva La nueva política AWSVPCFlowLogsServiceRolePolicy permite a los registros de flujo de VPC crear y administrar reglas administradas de EventBridge y llamar a las API DescribeTag en representación del usuario para realizar un seguimiento automático de las actualizaciones de los valores de las etiquetas de EC2 asociados a los recursos en las suscripciones de registros de flujo que incluyen campos de etiquetas. 31 de marzo de 2026
Los registros de flujo de VPC comenzaron a realizar el seguimiento de los cambios

Los registros de flujo de VPC comenzaron a realizar el seguimiento de los cambios de sus políticas administradas de AWS.

 31 de marzo de 2026