Блог

Главная - Вопросы по программированию - AWS CloudWatch и роль EC2 Политика

AWS CloudWatch и роль EC2 Политика

#amazon-web-services #amazon-cloudwatch

#amazon-веб-сервисы #amazon-cloudwatch

Вопрос:

Я следовал замечательному руководству Мартина Туэйтса, описывающему процесс входа в AWS CloudWatch с использованием Serilog и .Net Core.

У меня есть часть ведения журнала, которая хорошо работает с текстом и консолью, но я просто не могу найти наилучший способ аутентификации в AWS CloudWatch из моего приложения. Он рассказывает о встроенной аутентификации AWS путем настройки политики IAM, которая великолепна, и предоставляет JSON для этого, но я чувствую, что чего-то не хватает. Я создал политику IAM в соответствии с примером с LogGroup, соответствующей моему appsettings.json, но на экране CloudWatch ничего не отображается.

Мое приложение размещено на экземпляре EC2. Существуют ли более простые способы аутентификации и / или не хватает шага, на котором службы EC2 и CloudWatch «объединены» вместе?

Подробная информация:
Политика, EC2CloudWatch привязанная к роли EC2Role .

 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                ALL EC2 READ ACTIONS HERE
            ],
            "Resource": "*"
        },
        {
            "Sid": "LogStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:cloudwatch-analytics-staging
:log-stream:*"
        },
        {
            "Sid": "LogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:cloudwatch-analytics-staging"

        }
    ]
}

Комментарии:

1. «создал политику IAM» — прикрепили ли вы политику к своей роли экземпляра? Или как вы предоставляете учетные данные aws своему приложению?

2. @Marcin Я обновил свой вопрос дополнительной информацией. Политика, описанная выше, касается чтения / записи CloudWatch, а также чтения EC2. Эта политика используется ролью EC2. Нужно ли мне присоединять эту роль EC2 к конкретному экземпляру или что?

3. Да, роль должна быть назначена экземпляру EC2: aws.amazon.com/premiumsupport/knowledge-center /…

4. Поскольку это помогло решить проблему, я добавил свой комментарий выше в качестве ответа, который вы должны принять. Что касается вашего вопроса, какие конкретные разрешения применять: я согласен, что вы должны предоставлять только необходимые разрешения для любой роли. Это также называется принципом наименьших привилегий . Однако, какие конкретные разрешения вам нужны, очень сильно зависит, и на них невозможно ответить, не углубившись в ваш конкретный вариант использования.

5. @DennisTraub Я буду отключать каждую из них read privilege до тех пор, пока она не сломается. Немного затянуто, но в конечном итоге все будет доведено до идеального состояния.

Ответ №1:

Чтобы эффективно применять разрешения, вам необходимо назначить роль экземпляру EC2.