Cloudtrail到Cloudwatch到其他帐户
问题描述:
我有4个新帐户,我想将所有日志集中到一个帐户中用于安全目的。Cloudtrail到Cloudwatch到其他帐户
含义收集帐户产品,开发和性能的cloudwatch日志到一个称为日志的帐户。理想情况下,他们最终会在帐户日志中的Cloudwatch中,所以我可以使用ELK轻松处理它们。
我读到这里:
http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CrossAccountSubscriptions.html
但我无法找到如何设置简单整个堆叠的教程。
任何建议,将不胜感激。
答
在另一个帐户中使用CloudWatch Logs的唯一不同之处就是您需要使用的凭据。
我会这样做;在你的日志帐户,创建3个IAM用户:
- 督促
- 开发
- PERF
为每个用户提供必要的IAM的权限来写日志CloudWatch的日志。另外,为您将用于验证的3个用户创建一组AWS证书。
然后在您的应用程序中,根据您的入门级别,配置代码以使用相关凭据(即Dev,Prod)写入CloudWatch日志。唯一的区别应该是您的代码中创建CloudWatch日志客户端的任何位置。您应该从您的“日志”帐户向客户端传递相关IAM用户的凭证。
编辑:
如果您正在使用CloudWatch的日志客户端,这个想法是一样的。您可以创建用户,而只需向客户端提供相关的AWS凭据。您可以在/etc/awslogs/awslogs.conf中的日志帐户中为用户指定信用卡。您使用的凭据是将日志发送到其他帐户中的CloudWatch的凭据。你需要遵循的过程基本上记录在AWS docs
感谢您的建议mickzer,但我没有任何具体的应用程序,只是awslogs代理程序安装在EC2和抓住系统日志,审计日志等..,没有看到/etc/awslogs/awslog.conf一种方法来指定我可以瞄准哪个cloudwatch – jthemovie
@jthemovie查看我上面的编辑。 – mickzer
感谢您的编辑,今天就给我做实践中的这件事,我回到你身边) – jthemovie