[Amazon VPC] VPC Flow Logs

Amazon VPC

VPC Flow Logs 구성

1. CloudWatch 로그 그룹 생성
2. IAM 역할 생성
3. Flow Logs 생성
   - VPC, 서브넷, 게이트웨이 등 네트워크 인터페이스

 

VPC Flow Logs란?

VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집하는 기능

 

로그 정보

1. 보안 그룹 및 NACL 규칙에 의해 허용 및 차단된 트래픽 정보
2. 소스&목적지 IP 주소, 포트, 프로토콜 번호 패킷 바이트 모니터링 간격 시간
3. ACCEPT 또는 REJECT 액션 정보

 

Flow Logs를 생성할 수 있는 다른 AWS 서비스

• Elastic Load Balancing
• Amazon RDS
• Amazon ElastiCache
• Amazon Redshift
• Amazon WorkSpaces
• NAT 게이트웨이
• 전송 게이트웨이

 

CloudWatch 로그 그룹 생성

 

ClouWatch 콘솔 접속 > CloudWatch Logs > 로그 그룹 > 로그 그룹 생성

 

로그 그룹 이름 입력 후 생성

 

CloudWatch Logs에 Flow Log를 게시하기 위한 IAM 역할 생성

 

IAM 콘솔 접속 > 역할 > 역할 생성 > AWS 서비스: EC2

 

역할 이름 및 설명 입력 후 생성 완료

 

생성한 역할에 인라인 정책 추가

 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

 

위와 같은 최소 권한 필요

 

정책 생성 완료

 

Flow Logs의 역할을 허용하는 신뢰 관계 편집

 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Flow Logs 생성

 

플로우 로그를 수집할 VPC 선택 후 플로우 로그 생성

 

플로우 로그 구성

 

플로우 로그 생성 완료

 

Flow logs 확인

플로우 로그 작성 후 약 15분 후에 새로운 로그 그룹이 생성되고 로그를 확인할 수 있음