J'ai 2 comptes AWS.L'agent CloudWatch Logs ne peut pas assumer le rôle d'envoyer des journaux à un compte différent
- compte A: instances EC2 avec awslogs client de amazon
- compte B: compte de journalisation centralisée
Je veux envoyer des journaux de l'instance EC2 avec awslogs client (en compte A) d'un compte vers CloudWatch Logs dans un autre compte (compte B).
Il fonctionne très bien en créant un utilisateur IAM compte B et la mise en place de la clé des titres de compétence AWS dans awscli.conf
, mais je ne veux pas les clés à codés en dur, donc je suis en train d'assumer le rôle comme suit:
IAM rôle du compte B (le compte CloudWatch), je créé un nom de rôle CloudWatchCrossRole
:
politique en ligne (permettre à ce rôle d'écrire des journaux à CloudWatch journaux):
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
politique de confiance:
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNT_A:role/CLoudWatchInstanceProfile"
},
"Action": "sts:AssumeRole"
}
]
}
Compte A, je commence une instance EC2 avec le profil CLoudWatchInstanceProfile
qui se présente comme suit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::ACCOUNT_B:role/CloudWatchCrossRole"
}
]
}
Pas de joie, les journaux sont poussés à ACCOUNT_A au lieu de ACCOUNT_B. Quelqu'un peut-il m'indiquer si AssumeRole sur CloudWatch Logs est possible ou s'il est obligatoire de créer un utilisateur IAM et de coder en dur les informations d'identification dans awscli.conf
?
HI John, merci pour votre réponse, pour le awscli.conf, voici le lien: http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/QuickStartEC2Instance.html # running-ec2-step-2 En ce qui concerne cloudwatch, je ne comprends tout simplement pas comment une autre société fait quand elle a plusieurs comptes et qu'elle veut agréger tous les journaux dans un compte de journal sécurisé, je pensais que c'était une bonne pratique. Pourquoi aws le rend si compliqué – jthemovie
J'ai trouvé ça, mais je ne suis pas sûr que ce soit ce que vous voulez: [Amazon CloudWatch Logs - Abonnements Cross Account] (https://aws.amazon.com/about-aws/whats-new/ 2015/08/amazon-cloudwatch-logs-cross-compte-abonnements /) –
Merci encore John, je connaissais celui-ci, mais en ajoutant kinesis entre les deux semblait un peu exagéré, je vais essayer ce projet https://github.com/ryotarai/fluent-plugin-cloudwatch-logs et voir. – jthemovie