aws_cloudwatch_log_resource_policy 创造了哪些资源?
What resources does aws_cloudwatch_log_resource_policy create?
当我在配置文件中使用aws_cloudwatch_log_resource_policy时,应用成功。我期待在 Web 控制台的 IAM -> 策略列表中出现一个策略,但没有新策略的迹象。
aws_cloudwatch_log_resource_policy创建什么样的资源?
简答:它创建了 CloudWatch Logs 资源策略!
长答案:这是 AWS 的用词不当,因为它实际上根本没有附加到资源,而且似乎是 CloudWatch 日志的服务级别访问策略。
我在 AWS 文档(撰写本文时)中能找到的唯一参考是 API call and CLI command 描述 - 其他一切都是关于向目的地添加资源策略,这是另一回事。
似乎也没有任何我期望的控制台支持它,但是如果您在控制台中创建一个 ElasticSearch 域,如果您正在设置慢速查询,它会提示您输入一个日志。
最后是真正的错误消息,让我更容易找到这个错误消息 运行 遇到类似问题的人:
ValidationException:为 CloudWatch Logs 日志组 es-redacted-prod-logs 指定的资源访问策略未授予 Amazon Elasticsearch Service 创建日志流的足够权限。请检查资源访问策略。
关于 Cloudwatch 日志组资源策略的更多提示:
- 只能通过 CloudWatch API、AWS SDK 之一或 AWS CLI 创建。
- 不支持云形成。
- 一个帐户每个区域最多可以有 10 个资源策略。
- 即使日志 groups/streams 不存在,我们也可以创建策略。
来自 IAM for Cloudwatch Logs 的 - PutResourcePolicy 没有可用的条件键。所以唯一的选择是使用全局条件。
当我在配置文件中使用aws_cloudwatch_log_resource_policy时,应用成功。我期待在 Web 控制台的 IAM -> 策略列表中出现一个策略,但没有新策略的迹象。
aws_cloudwatch_log_resource_policy创建什么样的资源?
简答:它创建了 CloudWatch Logs 资源策略!
长答案:这是 AWS 的用词不当,因为它实际上根本没有附加到资源,而且似乎是 CloudWatch 日志的服务级别访问策略。
我在 AWS 文档(撰写本文时)中能找到的唯一参考是 API call and CLI command 描述 - 其他一切都是关于向目的地添加资源策略,这是另一回事。
似乎也没有任何我期望的控制台支持它,但是如果您在控制台中创建一个 ElasticSearch 域,如果您正在设置慢速查询,它会提示您输入一个日志。
最后是真正的错误消息,让我更容易找到这个错误消息 运行 遇到类似问题的人:
ValidationException:为 CloudWatch Logs 日志组 es-redacted-prod-logs 指定的资源访问策略未授予 Amazon Elasticsearch Service 创建日志流的足够权限。请检查资源访问策略。
关于 Cloudwatch 日志组资源策略的更多提示:
- 只能通过 CloudWatch API、AWS SDK 之一或 AWS CLI 创建。
- 不支持云形成。
- 一个帐户每个区域最多可以有 10 个资源策略。
- 即使日志 groups/streams 不存在,我们也可以创建策略。 来自 IAM for Cloudwatch Logs 的
- PutResourcePolicy 没有可用的条件键。所以唯一的选择是使用全局条件。