Registro mediante CloudWatch Logs

Los flujos de trabajo estándar registran el historial de ejecuciones en AWS Step Functions, aunque opcionalmente puede configurar el registro en Registros de Amazon CloudWatch.

A diferencia de los flujos de trabajo estándar, los flujos de trabajo rápidos no registran el historial de ejecuciones en AWS Step Functions. Para consultar el historial de ejecuciones y los resultados de un flujo de trabajo rápido, tiene que configurar el registro en Registros de Amazon CloudWatch. La publicación de registros no bloquea ni ralentiza las ejecuciones.

nota

Al configurar el registro, se aplicarán los cargos de CloudWatch Logs y se le facturarán según la tarifa de los registros distribuidos. Para obtener más información, consulte Registros distribuidos en la pestaña Registros en la página Precios de CloudWatch.

Configuración de registros

Cuando crea un flujo de trabajo estándar mediante la consola de Step Functions, no se configurará para habilitar el registro en CloudWatch Logs. Un flujo de trabajo rápido creado mediante la consola de Step Functions se configurará de forma predeterminada para habilitar el registro en CloudWatch Logs.

Para los flujos de trabajo rápidos, Step Functions puede crear un rol con la política de AWS Identity and Access Management (IAM) necesaria para CloudWatch Logs. Si se crea un flujo de trabajo estándar o un flujo de trabajo rápido mediante la API, la CLI o AWS CloudFormation, Step Functions no habilitará el registro de forma predeterminada y tendrá que asegurarse de que el rol tenga los permisos necesarios.

En cada ejecución que se inicia desde la consola, Step Functions proporciona un enlace a CloudWatch Logs, configurado con el filtro correcto para obtener los eventos de registro específicos para dicha ejecución.

Para configurar el registro, puede transferir el parámetro LoggingConfiguration al utilizar CreateStateMachine o UpdateStateMachine. Puede analizar aún más los datos en CloudWatch Logs mediante CloudWatch Logs Insights. Para obtener más información, consulte Análisis de los datos de registro con información de CloudWatch Logs.

Cargas de CloudWatch Logs

Los eventos del historial de ejecución pueden contener propiedades de entrada o salida en sus definiciones. Si la entrada o la salida de escape enviada a CloudWatch Logs supera los 248 KB, se truncará como resultado de las cuotas de CloudWatch Logs.

• Para determinar si una carga se ha truncado, revise las propiedades inputDetails y outputDetails. Para obtener más información, consulte el Tipo de datos HistoryEventExecutionDataDetails.

• En el caso de los flujos de trabajo estándar, puede ver el historial de ejecución completo mediante GetExecutionHistory.

• GetExecutionHistory no está disponible para flujos de trabajo rápidos. Puede usar los ARN de Amazon S3 para ver las entradas y salidas completas. Para obtener más información, consulte Utilizar los ARN de Amazon S3 en lugar de pasar cargas de gran tamaño.

Políticas de IAM para registrarse en CloudWatch Logs

También tendrá que configurar el rol de IAM de ejecución de su máquina de estado para que tenga el permiso adecuado para registrarse en CloudWatch Logs, como se muestra en el siguiente ejemplo.

Ejemplo de políticas de IAM

A continuación se muestra una política de ejemplo que puede utilizar para configurar los permisos. Como se muestra en el siguiente ejemplo, debe especificar * en el campo Resource porque las acciones de la API de CloudWatch, como CreateLogDelivery y DescribeLogGroups, no admiten Tipos de recursos definidos por Amazon CloudWatch Logs. Para obtener más información, consulte Acciones definidas por Amazon CloudWatch Logs.

• Para obtener información sobre los recursos de CloudWatch, consulte Recursos y operaciones de CloudWatch Logs en la Guía del usuario de Amazon CloudWatch.

• Para obtener información sobre los permisos necesarios para configurar el envío de registros a CloudWatch Logs, consulte Permisos de usuario en la sección titulada Registros enviados a CloudWatch Logs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:CreateLogStream",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        }
    ]
}

No se puede acceder a los CloudWatch Logs

Si no es posible acceder a los CloudWatch Logs, asegúrese de hacer lo siguiente:

1. Configurar el rol de IAM de ejecución de su máquina de estado para que tenga el permiso adecuado para registrarse en CloudWatch Logs.

   Si utiliza las solicitudes CreateStateMachine o UpdateStateMachine, asegúrese de haber especificado el rol de IAM en el parámetro roleArn que contiene los permisos, como se muestra en el ejemplo anterior.

2. Comprobar que la política de recursos de CloudWatch Logs no supere el límite de 5120 caracteres.

   Si se ha superado el límite de caracteres, elimine los permisos innecesarios de la política de recursos de CloudWatch Logs o ponga el prefijo al nombre del grupo de registros con /aws/vendedlogs, lo que concederá permisos al grupo de registros sin añadir más caracteres a la política de recursos. Al crear un grupo de registros en la consola de Step Functions, a los nombres de los grupos de registro se les añade el prefijo /aws/vendedlogs/states. Para obtener más información, consulte Restricciones de tamaño de política de recursos de registros de Amazon CloudWatch.