AWS Доставка Firehose в кросс-аккаунт Elasticsearch в VPC

Question

У меня есть Elasticsearch внутри VP C, работающий в учетной записи A.

Я хочу доставить журналы из Firehose в учетной записи B в Elasticsearch в учетной записи A.

Возможно ли это ?

Когда я пытаюсь создать поток доставки из AWS CLI, я получаю исключение ниже:

$: /usr/local/bin/aws firehose create-delivery-stream --cli-input-json file://input.json --profile devops
An error occurred (InvalidArgumentException) when calling the CreateDeliveryStream operation: Verify that the IAM role has access to the ElasticSearch domain.

Та же роль IAM и тот же ввод. json работает при изменении на Elasticsearch в учетной записи B. У меня включено подключение к транзитному шлюзу между учетными записями AWS, и я могу подключить te lnet к Elasticsearch в учетной записи A из экземпляра EC2 в учетной записи B.

Добавление моего полного кода терраформирования (у меня такое же исключение в AWS CLI, а также в Terraform): https://gist.github.com/karthikeayan/a67e93b4937a7958716dfecaa6ff7767

Answer 1

https://forums.aws.amazon.com/message.jspa?messageID=943731

На форуме AWS мне сообщили, что эта функция в настоящее время не поддерживается.

Answer 2

Похоже, вы не предоставили достаточных разрешений для роли, которая используется при создании потока (из примера с интерфейсом командной строки, при условии, что я предполагаю, что это роль с именем «DevOps»). Как минимум вам потребуется firehose: CreateDeliveryStream.

Я предлагаю добавить следующие разрешения к вашей роли:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "firehose:PutRecord",
                "firehose:CreateDeliveryStream",
                "firehose:UpdateDestination"
            ],
            "Resource": "*"
        }
    ]
}