У меня возникли проблемы с попыткой записи логов лямбда-функции в логи CloudWatch. Кажется, это не проблема авторизации, как вы можете видеть ниже:
PolicyDocument:
Version: 2012-10-17
Statement:
-
Effect: Allow
Action:
- logs:CreateLogGroup
Resource: !Sub arn:aws:logs:${AWS::Region}:${AWS::AccountId}:*
- Effect: Allow
Action:
- logs:CreateLogStream
- logs:PutLogEvent
Resource: !Sub arn:aws:logs:${AWS::Region}:${AWS::AccountId}:log-group:/aws/lambda/${FunctionName}:*
Я также попробовал более широкую политику с arn:aws:logs:*:*:* в качестве ресурса, как некоторые примеры, которые я нашел.
Шаблон отлично работает в CloudFormation и ресурсы создаются соответствующим образом, когда я выполняю лямбда-функцию в качестве теста, все работает нормально, но журналы не записываются. Он создает группу журналов и поток журналов, но внутри потока журналов ничего нет.
Это не проблема и с лямбда-функцией. Я развернул функцию вручную перед созданием шаблона, и в этом случае все отлично работает с журналами CloudWatch. Я скопировал роль и политику точно так, как написано в ручном подходе для создания шаблона.
Это какая-то известная ошибка в CloudFormation / SAM / Lambda? Или я что-то делаю не так, как не заметил?
Пожалуйста, скажите мне, если вам нужна дополнительная информация для понимания контекста. Спасибо!