创建 AWS VPC 流日志

=== 什么是VPC 流日志？

• 利用 VPC 流日志这项功能，您可以捕获有关传入和传出您的 VPC 中网络接口的 IP 流量的信息。帮助您检查访问控制规则、监控网络流量、进行网络故障排查。
• 流日志数据可以发布到 Amazon CloudWatch Logs 和 Amazon S3。
• 创建流日志后，您可以在选定目标中检索和查看其数据。

=== 架构图

== 实验步骤

=== 创建CloudWatch Logs

• 顶部菜单导航到 CloudWatch。
• 单击左侧面板中的日志组，单击创建日志组。
• 输入日志组名称：whizvpclogs，然后单击创建

=== 创建 IAM 角色

• 导航到IAM
• 在左侧菜单中，单击角色 。单击创建角色该按钮以创建新的 IAM 角色。
• 在创建角色部分，为角色选择可信实体类型：

• AWS 服务
• 使用案例:EC2

• 注意：通过选择 EC2 作为使用案例，您也可以将此角色用于 VPC 流日志。

• 单击下一步

• 添加权限：现在，您可以看到策略列表。
• 选择"创建策略"，将打开一个新选项卡，然后将代码复制并粘贴到 JSON 下。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ec2:AssociateVpcCidrBlock",
                  "ec2:AuthorizeSecurityGroupEgress",
                  "ec2:AuthorizeSecurityGroupIngress",
                  "ec2:CreateEgressOnlyInternetGateway",
                  "ec2:CreateFlowLogs",
                  "ec2:CreateRoute",
                  "ec2:CreateRouteTable",
                  "ec2:CreateSecurityGroup",
                  "ec2:CreateSubnet",
                  "ec2:CreateTags",
                  "ec2:CreateVpc",
                  "ec2:Describe*",
                  "ec2:EnableVgwRoutePropagation",
                  "ec2:EnableVpcClassicLink",
                  "ec2:EnableVpcClassicLinkDnsSupport",
                  "ec2:MoveAddressToVpc",
                  "ec2:RestoreAddressToClassic",
                  "ec2:RevokeSecurityGroupEgress",
                  "ec2:RevokeSecurityGroupIngress",
                  "ec2:UnassignPrivateIpAddresses",
                  "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                  "ec2:UpdateSecurityGroupRuleDescriptionsIngress"
              ],
              "Resource": "*",
              "Condition": {
                  "StringEquals": {
                      "aws:RequestedRegion": "us-east-1"
                  }
              }
          }
      ]
  }

• 现在点击 下一页：标签 按钮。无需更改
• 单击"下一步：查看"按钮。
• 输入策略名称：whizpolicy，然后单击"创建策略"。
• 创建策略后，返回"创建角色"选项卡，然后单击右上角的"刷新"按钮。
• 在"筛选策略"部分中搜索"whizpolicy"并将其选中。
• 单击下一步
• 角色名称：输入 whizrole
• 您已成功按名称 whizrole 创建了一个 IAM 角色。

=== 创建VPC

• 请确保您位于美国东部（弗吉尼亚北部）us-east-1 区域
• 顶部菜单导航到 VPC
• 单击左侧菜单中的您的 VPC
• 在这里，您可以看到所有 VPC 的列表，无需对现有和默认 VPC 执行任何操作，我们将创建一个新的 VPC。
• 单击创建 VPC按钮。

• 名称标签： 输入用于向您的 VPC 标识的 VPC 名称。例如：MyVPC
• IPv4 CIDR 块： 输入 10.0.0.0/16
• IPv6 CIDR 块： 无需更改此设置，请确保选中"无 IPv6 CIDR 块"
• 租期： 无需更改此设置，请确保选中"默认"。

• 现在单击创建 VPC按钮

• 创建VPC后，它将显示详细信息，如下所示：

=== 创建 VPC 流日志

• 单击进入 MyVPC 内部，向下滚动并单击"流日志"选项卡，然后单击"创建流日志"按钮。
• MyVPC流日志设置：

• 名称：whizflow
• 选择"筛选条件"为接受，选择"目标"为发送到 CloudWatch Logs
• 选择上面的创建CloudWatch Logs"whizvpclogs"
• 选择 IAM 角色"whizrole"
• 并将其他设置保留为默认值。单击"创建流日志"。

• 创建流日志后，向下滚动可以查看到创建的"流日志"。

• 现在，您已经成功学习了如何创建 VPC 流日志。