当我aws_cloudwatch_log_resource_policy
在配置文件中使用时,它被成功应用。我期待策略出现在 IAM -> Web 控制台的策略列表中,但没有新策略的迹象。
aws_cloudwatch_log_resource_policy
创造了什么样的资源?
当我aws_cloudwatch_log_resource_policy
在配置文件中使用时,它被成功应用。我期待策略出现在 IAM -> Web 控制台的策略列表中,但没有新策略的迹象。
aws_cloudwatch_log_resource_policy
创造了什么样的资源?
简短的回答:它创建了一个 CloudWatch Logs 资源策略!
长答案:这是 AWS 用词不当,因为它实际上根本没有附加到资源,并且似乎是 CloudWatch 日志的服务级别访问策略。
我在 AWS 文档(撰写本文时)中可以找到的唯一参考是API 调用和CLI 命令描述 - 其他所有内容都是关于将资源策略添加到不同的目标。
在我期望的任何地方似乎也没有任何控制台支持它,但是如果你在控制台中创建一个 ElasticSearch 域,如果你正在设置慢查询日志,它会提示你一个。
最后,这是将我带到这里的实际错误消息,以便遇到类似问题的人更容易找到它:
ValidationException:为 CloudWatch Logs 日志组 es-redacted-prod-logs 指定的资源访问策略未授予 Amazon Elasticsearch Service 创建日志流的足够权限。请检查资源访问策略。
与 Cloudwatch 日志组资源策略相关的更多提示: