从CloudTrack到CloudWatch到其他帐户 [英] Cloudtrail to Cloudwatch to other account

问题描述

我有4个AWS帐户，出于安全考虑，我想将我所有的日志集中到一个帐户中。

表示将账户prod、dev、perf中的CloudWatch日志收集到一个名为Logs的账户中。理想情况下，它们最终会出现在帐户日志中的CloudWatch中，这样我就可以使用elk轻松处理它们。

我在这里读到了它：

http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CrossAccountSubscriptions.html

但我找不到有关如何简单设置整个堆栈的教程。

如有任何建议，我们将不胜感激。

推荐答案

在另一个帐户中使用云监控日志的唯一不同之处在于您将需要使用凭据。

我会这样做；在您的日志帐户中，创建3个IAM用户：

• 生产
• 开发
• 性能

向每个用户授予将日志写入CloudWatch日志所需的IAM权限。另外，为您将用来进行身份验证的3个用户创建一组AWS凭据。

然后在您的应用程序中，根据您所在的堆栈，配置您的代码以使用相关凭据(即Dev、Prod)写入CloudWatch日志。唯一的区别应该是在代码中的任何位置创建CloudWatch Logs客户端。您应该将"Logs"帐户中相关IAM用户的凭据传递给客户端。

编辑：

如果您使用的是CloudWatch Logs客户端，其想法是相同的。您可以创建用户，而只需向客户端提供相关的AWS凭据。您可以在/etc/awslog/awslogs.conf中从您的日志帐户为用户指定凭据。您使用的凭据会将您的日志发送到另一个帐户中的CloudWatch。您需要遵循的流程基本记录在AWS docs

中

这篇关于从CloudTrack到CloudWatch到其他帐户的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！