VPC単位でAmazon CloudWatchへlogを保管する

VPC単位でVPCフローログをCloudWatch Logsへ保管処理を実施しましたので、その備忘録となります。

以下のような構成図でパブリックサブネットとプライベートサブネットにEC2を立てて、pingを飛ばしてログを確認してみたいと思います。

Amazon CloudWatchへのロールを作成

CloudWatchサービスを使用するためにロールを作成します。

AWSマネジメントコンソールからIAMで検索します

左ペインのロールを選択し、ロールを作成を押下します

信頼されたエンティティを選択画面にて

信頼されたエンティティタイプはAWSサービス

ユースケースはEC2を選択し次へを押下します

ポリシーの作成は後ほど作成するので、ここもそのまま次へ

ロール名を入力し、ロールを作成する

空のロールが出来上がります。

ポリシーを作成し、アタッチ

作成したロールにポリシーを作成し、ロールに対してポリシーをアタッチします。

許可タブからインラインポリシーを作成を選択します。

ポリシーの作成ではJSONタブを選択し、以下のリンクからポリシーを貼り付けます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}  

こちらのポリシーはCloudWatch Logsへ

ロググループを作成し、ログストリームを作成し、ログイベントを送り、ログを記載する。というアクションを許可するJSONの情報です。

ポリシーに名前を付けて作成します。

ポリシーが作成されました。

信頼関係のタブから信頼されたエンティティを編集します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

どのサービスに対してポリシーを許可するか、の設定になるので、今回はCloudWatch Logsへvpc-flow-logsを発行するため、”Service”: “ec2.amazonaws.com”の部分を”Service”: “vpc-flow-logs.amazonaws.com”に書き換えます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

ポリシーを更新します。

ここまででロールの作成→ポリシーの作成ができました。

CloudWatchロググループの作成

簡潔に説明すると、ログストリームはログが蓄積され、それらを集約したものをロググループ、となります。

ググループを作成します

ロググループ名とログの保持期間の設定を選択します

対象のVPCにフローログを作成します。

フローログの設定をし、フローログを作成します。

VPCに作成してフローログの送信先名をクリックしてCloudWatchのロググループを開きます。

現状は何もサービスを操作していないため、ログが発行されてませんので、EC2インスタンスを起動しパブリックサブネット→プライベートサブネットのインスタンスにping通信をしてみたいと思います。

ログの確認

ロググループからログイベントが確認できます。

内容は以上です。