私は 4 つの AWS アカウントを持っています。セキュリティ上の理由から、すべてのログを 1 つのアカウントに集中させたいと考えています。
つまり、prod、dev、perf のアカウントから cloudwatch ログを logs というアカウントに収集します。理想的には、それらはアカウント ログの cloudwatch で終了するため、ELK で簡単に処理できます。
私はそれについてここで読んだ:
http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CrossAccountSubscriptions.html
しかし、スタック全体を簡単にセットアップする方法に関するチュートリアルが見つかりません。
任意の提案をいただければ幸いです。
別のアカウントで CloudWatch Logs を使用する場合の唯一の違いは、使用する必要がある認証情報です。
私はこのようにします。ログ アカウントで、3 つの IAM ユーザーを作成します。
ログを CloudWatch ログに書き込むために必要な IAM アクセス許可を各ユーザーに付与します。また、認証に使用する 3 人のユーザーの一連の AWS 資格情報を作成します。
次に、アプリケーションで、使用しているスタックに応じて、関連する認証情報 (つまり、Dev、Prod) を使用して CloudWatch ログに書き込むようにコードを構成します。唯一の違いは、CloudWatch ログ クライアントを作成するコード内の場所です。「ログ」アカウントから、関連する IAM ユーザーの資格情報をクライアントに渡す必要があります。
編集:
CloudWatch Logs クライアントを使用している場合、考え方は同じです。ユーザーを作成し、代わりにクライアントに関連する AWS 資格情報を与えるだけです。/etc/awslogs/awslogs.conf で、ログ アカウントからユーザーの資格情報を指定します。使用する資格情報は、他のアカウントの CloudWatch にログを送信するものです。従う必要があるプロセスは、基本的にAWSのドキュメントに記載されています