11

当我aws_cloudwatch_log_resource_policy在配置文件中使用时,它被成功应用。我期待策略出现在 IAM -> Web 控制台的策略列表中,但没有新策略的迹象。

aws_cloudwatch_log_resource_policy创造了什么样的资源?

4

2 回答 2

15

简短的回答:它创建了一个 CloudWatch Logs 资源策略!

长答案:这是 AWS 用词不当,因为它实际上根本没有附加到资源,并且似乎是 CloudWatch 日志的服务级别访问策略。

我在 AWS 文档(撰写本文时)中可以找到的唯一参考是API 调用CLI 命令描述 - 其他所有内容都是关于将资源策略添加到不同的目标。

在我期望的任何地方似乎也没有任何控制台支持它,但是如果你在控制台中创建一个 ElasticSearch 域,如果你正在设置慢查询日志,它会提示你一个。

最后,这是将我带到这里的实际错误消息,以便遇到类似问题的人更容易找到它:

ValidationException:为 CloudWatch Logs 日志组 es-redacted-prod-logs 指定的资源访问策略未授予 Amazon Elasticsearch Service 创建日志流的足够权限。请检查资源访问策略。

于 2018-05-15T00:41:58.077 回答
3

与 Cloudwatch 日志组资源策略相关的更多提示:

  1. 只能通过 CloudWatch API、AWS 开发工具包之一或 AWS CLI 创建。
  2. 没有云形成支持。
  3. 一个账户每个区域最多可以有 10 个资源策略。
  4. 即使日志组/流不存在,我们也可以创建策略。
  5. 来自 IAM for Cloudwatch Logs 的PutResourcePolicy没有可用的条件键。所以唯一的选择是使用全局条件。
于 2019-10-01T11:49:51.980 回答