使用 Terraform 將 AWS Lambda 日志寫入 CloudWatch 日志組
[英]Write AWS Lambda Logs to CloudWatch Log Group with Terraform
問題描述
我正在嘗試將 lambda function 的日志寫入由 terraform 創建的 CloudWatch 日志組。
這是 lambda 政策 json -
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1580216411252",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogDelivery",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:*"
}
]
}
這是 lambda 承擔政策 json -
{
"Version": "2012-10-17",
"Statement": [{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}]
}
我已將其添加到 lambda.tf 文件中 -
resource "aws_cloudwatch_log_group" "example" {
name = "/test/logs/${var.lambda_function_name}"
}
雖然 CloudWatch 日志組 '/test/logs/${var.lambda_function_name}' 是通過 terraform 創建的,但我無法將 lambda function 的日志寫入該組。
如果我將 lambda 政策 json 更改為此 -
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "Stmt1580204738067",
"Action": "logs:*",
"Effect": "Allow",
"Resource": "*"
}]
}
然后它會自動將日志存儲在 /aws/lambda/ 目錄中。
我如何確保將 lambda 日志寫入我創建的 CloudWatch 日志組中,而不是寫入由 lambda 本身創建的 /aws/lambda/ 組中?
2 個解決方案
解決方案1
2 2020-01-28 17:46:01
如果您希望 Terraform 管理 CloudWatch 日志組,您必須提前使用 Lambda 函數將用於其日志組的確切名稱創建日志組。 您根本無法更改名稱。 然后在您的 Terraform 中,您需要使日志組成為 Lambda 函數的依賴項,以確保 Terraform 有機會在 Lambda 自動創建日志組之前創建它。
解決方案2
0 2023-01-18 09:35:33
僅將日志組作為依賴項添加到 lambda 是不夠的。 您還必須將 IAM 策略附加到 lambda 角色。
步驟如下:
- 為 lambda 定義 IAM 角色:
resource "aws_iam_role" "iam_for_lambda" {
name = "iam_for_lambda"
assume_role_policy = <<EOF
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
EOF
}
- 定義允許 lambda 創建日志流和放置日志事件的 IAM 策略
resource "aws_iam_policy" "function_logging_policy" {
name = "function-logging-policy"
policy = jsonencode({
"Version" : "2012-10-17",
"Statement" : [
{
Action : [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
Effect : "Allow",
Resource : "arn:aws:logs:*:*:*"
}
]
})
}
- 通過創建新資源“aws_iam_role_policy_attachment”將策略附加到在步驟 1 中創建的 IAM 角色
resource "aws_iam_role_policy_attachment" "function_logging_policy_attachment" {
role = aws_iam_role.iam_for_lambda.id
policy_arn = aws_iam_policy.function_logging_policy.arn
}
- 定義日志組
resource "aws_cloudwatch_log_group" "lambda_log_group" {
name = "/aws/lambda/${var.lambda.function_name}"
retention_in_days = 7
lifecycle {
prevent_destroy = false
}
}
- 使用 depends_on 參數定義您的 lambda function:
resource "aws_lambda_function" "lambda_function" {
filename = "../${var.lambda.function_filename}"
function_name = "${var.lambda.function_name}"
role = aws_iam_role.iam_for_lambda.arn
handler = "${var.lambda.handler}"
layers = [aws_lambda_layer_version.lambda_layer.arn]
depends_on = [aws_cloudwatch_log_group.lambda_log_group]
source_code_hash = filebase64sha256("../${var.lambda.function_filename}")
runtime = "python3.9"
}
IAM 策略創建和附件來自這篇文章,rest 來自我為我工作的個人項目。
如何在 VPC 中配置 AWS Lambda 以便能夠登錄到另一個 Cloudwatch 日志組?
[英]How do I configure an AWS Lambda in a VPC to be able to log to another Cloudwatch log group?
我們可以通過 terraform 為 AWS Step Functions 啟用 Cloudwatch 日志嗎
[英]Can we enable Cloudwatch logs for AWS Step Functions via terraform
在 Nodejs 日志中間件(例如:morgan、pino)中登錄到 AWS CloudWatch Logs
[英]Log to AWS CloudWatch Logs in Nodejs log middleware (ex: morgan, pino)
如何從前端使用 AWS CloudWatch Logs 提交簡單日志?
[英]How to submit the simple log with AWS CloudWatch Logs from frontend?
在 cloudwatch 中創建日志組時,如何觸發 lambda?
[英]How can I trigger a lambda when a log group is created in cloudwatch?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
跟蹤 aws lambda/cloudwatch 日志
AWS CloudWatch 日志組命名約定
如何在 VPC 中配置 AWS Lambda 以便能夠登錄到另一個 Cloudwatch 日志組?
我們可以通過 terraform 為 AWS Step Functions 啟用 Cloudwatch 日志嗎
什么會導致 AWS Lambda 不寫入 Cloudwatch?
在 Nodejs 日志中間件(例如:morgan、pino)中登錄到 AWS CloudWatch Logs
如何從前端使用 AWS CloudWatch Logs 提交簡單日志?
Terraform AWS 日志組訂閱過濾模式
在 cloudwatch 中創建日志組時,如何觸發 lambda?
localstack aws cloudwatch 日志
相關標簽