当我在配置文件中使用 aws_cloudwatch_log_resource_policy 时,它被成功应用。我期望在Web控制台的IAM -> 策略列表中出现一个策略,但没有新的策略迹象。
aws_cloudwatch_log_resource_policy 创建了什么样的资源?
aws_cloudwatch_log_resource_policy会创建哪些资源?
15
- k_shil
2个回答
23
简短回答:它创建了一个CloudWatch日志资源策略!
长篇回答:这是AWS的一个误称,因为它实际上并没有被附加到任何资源上,似乎是CloudWatch日志的服务级别访问策略。
截至本文撰写时,我在AWS文档中找到的唯一参考是API调用和CLI命令描述-其他所有内容都是关于添加资源策略到目标的,这是不同的事情。
此外,在我期望的任何地方都没有控制台支持它,但是如果您在控制台中创建ElasticSearch域并设置慢查询日志,则会提示您输入它。
最后,以下是实际的错误消息,使人们更容易找到此类问题:
ValidationException:为CloudWatch日志日志组es-redacted-prod-logs指定的资源访问策略不足以授予Amazon Elasticsearch Service创建日志流的权限。请检查资源访问策略。
长篇回答:这是AWS的一个误称,因为它实际上并没有被附加到任何资源上,似乎是CloudWatch日志的服务级别访问策略。
截至本文撰写时,我在AWS文档中找到的唯一参考是API调用和CLI命令描述-其他所有内容都是关于添加资源策略到目标的,这是不同的事情。
此外,在我期望的任何地方都没有控制台支持它,但是如果您在控制台中创建ElasticSearch域并设置慢查询日志,则会提示您输入它。
最后,以下是实际的错误消息,使人们更容易找到此类问题:
ValidationException:为CloudWatch日志日志组es-redacted-prod-logs指定的资源访问策略不足以授予Amazon Elasticsearch Service创建日志流的权限。请检查资源访问策略。
- Devon Bleak
1
5
以下是与Cloudwatch日志组资源策略相关的几个提示:
- 只能通过CloudWatch API、AWS SDK之一或AWS CLI创建。
- 不支持云形成。
- 一个帐户每个区域最多可以有10个资源策略。
- 即使日志组/流不存在,我们也可以创建策略。
- IAM的PutResourcePolicy用于Cloudwatch Logs没有可用的条件键。因此,唯一的选择是使用全局条件。
- samtoddler
1
现在您可以使用CloudFormation来创建它们,详见https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-logs-resourcepolicy.html - undefined
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
aws logs describe-resource-policies来查看所有策略。 - undefined