CloudWatch Logs代理无法承担将日志发送到不同帐户的角色

Question

我有2个AWS账户。

• 帐户：从亚马逊与awslogs客户 EC2实例
• 帐户B：集中的日志记录帐户

我想给从EC2实例日志与awslogs客户端（在帐户A）从一个帐户迁移到另一个帐户的CloudWatch日志（帐户B）。

它正常工作，通过创建帐户B的IAM用户和awscli.conf建立AWS凭据项，但我不希望被硬编码的钥匙，所以我想承担的角色如下：

在账户B（该帐户的CloudWatch）IAM角色，我创建了一个角色名CloudWatchCrossRole：

内嵌政策（允许这个角色写日志的CloudWatch日志）：

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Action": [ 
     "logs:*" 
     ], 
     "Effect": "Allow", 
     "Resource": "*" 
    } 
    ] 
} 

信任策略：

{ 
    "Version": "2008-10-17", 
    "Statement": [ 
    { 
     "Sid": "", 
     "Effect": "Allow", 
     "Principal": { 
     "AWS": "arn:aws:iam::ACCOUNT_A:role/CLoudWatchInstanceProfile" 
     }, 
     "Action": "sts:AssumeRole" 
    } 
    ] 
} 

帐号一个，我开始EC2实例与如下所示的曲线CLoudWatchInstanceProfile：

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": [ 
       "*" 
      ], 
      "Resource": "*" 
     }, 
     { 
      "Effect": "Allow", 
      "Action": "sts:AssumeRole", 
      "Resource": "arn:aws:iam::ACCOUNT_B:role/CloudWatchCrossRole" 
     } 
    ] 
} 

没有喜悦，日志都推到ACCOUNT_A而不是ACCOUNT_B。任何人都可以给我提示CloudWatch Logs上的AssumeRole是否可行，或者是否需要创建IAM用户并在awscli.conf中硬编码凭证？

Answer 1

这种方法有两个问题。

首先，帐户B中的角色没有任何内容调用AssumeRole。CloudWatch Logs代理正期待凭据，而不是角色。

其次，在帐户A实例配置文件不能将权限分配给帐户B.

我也能找到任何文件来说明如何在你提到的awscli.conf文件中插入凭据（您可以显示一个样本）？

几个选项：

• 创建帐户B用户，并提供所产生的接入/秘密关键CloudWatch的日志剂（如你似乎都做了，但不喜欢），或
• 有一个过程的调用AssumeRole对B帐户中的角色实例上运行，然后将这些凭证提供给CloudWatch的日志代理

如果您订阅AWS支持，打开支持的情况下，请求指导。