我有4个aws帐户,为了安全起见,我想将所有日志集中到一个帐户中。
意义将来自帐户prod,dev和perf的cloudwatch日志收集到名为logs的帐户中。理想情况下,他们最终会在帐户日志中使用cloudwatch,因此我可以使用ELK轻松处理它们。
我在这里读到了它:
http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CrossAccountSubscriptions.html
但是我找不到关于如何设置整个堆栈的教程。
任何建议都将不胜感激。
答案 0 :(得分:1)
在另一个帐户中使用CloudWatch Logs唯一不同的是您需要使用的凭据。
我会这样做;在您的日志帐户中,创建3个IAM用户:
为每个用户提供必要的IAM权限,以便将日志写入CloudWatch日志。此外,为将用于进行身份验证的3个用户创建一组AWS凭据。
然后在您的应用程序中,根据您的内容堆栈,配置您的代码以使用相关凭据(即Dev,Prod)写入CloudWatch日志。唯一的区别应该是您在代码中创建CloudWatch日志客户端的任何位置。您应该从您的" Logs"向客户端传递相关IAM用户的凭据。帐户。
编辑:
如果您正在使用CloudWatch Logs客户端,那么这个想法是一样的。您创建用户,而只是为客户端提供相关的AWS凭据。您可以在/etc/awslogs/awslogs.conf中的日志帐户中指定用户的cred。您使用的凭据是将您的日志发送到其他帐户中的CloudWatch的凭据。您需要遵循的流程基本上记录在AWS docs
中