Konfigurasikan log CloudWatchLog muatan Kebijakan IAM untuk log keCloudWatchLog

Logging menggunakanCloudWatchLog

Alur Kerja Standar mencatat riwayat eksekusi diAWS Step Functions, meskipun Anda dapat mengkonfigurasi logging ke Amazon secara opsionalCloudWatchLog.

Tidak seperti Alur Kerja Standar, Alur Kerja Ekspres tidak mencatat riwayat eksekusi di AWS Step Functions. Untuk melihat riwayat eksekusi dan hasil Alur Kerja Ekspres, Anda harus mengonfigurasi pencatatan log ke AmazonCloudWatchLog. Penerbitan log tidak memblokir atau memperlambat eksekusi.

catatan

Saat Anda mengkonfigurasi logging,CloudWatchBiaya logakan berlaku dan Anda akan ditagih pada tarif log vended. Untuk informasi lebih lanjut, lihatLog Vendingdi bawahLogtab padaCloudWatchHalaman harga.

Konfigurasikan log

Ketika Anda membuat alur kerja standar menggunakan konsol Step Functions, itu tidak akan dikonfigurasi untuk mengaktifkan logging keCloudWatchLog. Alur kerja Express yang dibuat menggunakan konsol Step Functions secara default akan dikonfigurasi untuk mengaktifkan logging keCloudWatchLog.

Untuk alur kerja Express, Step Functions dapat membuat peran dengan yang diperlukanAWS Identity and Access Management(IAM) kebijakan untukCloudWatchLog. Jika Anda membuat Alur Kerja Standar, atau Alur Kerja Ekspres menggunakan API, CLI, atau AWS CloudFormation, Step Functions tidak akan mengaktifkan log secara default, dan Anda perlu memastikan peran Anda memiliki izin yang diperlukan.

Untuk setiap eksekusi yang dimulai dari konsol, Step Functions menyediakan tautan keCloudWatchLog, dikonfigurasi dengan filter yang benar untuk mengambil peristiwa log khusus untuk eksekusi itu.

Untuk mengkonfigurasi logging, Anda dapat melewatiLoggingConfigurationparameter saat menggunakanCreateStateMachineatauUpdateStateMachine. Anda dapat menganalisis data Anda lebih lanjut diCloudWatchLog dengan menggunakanCloudWatchLog Wawasan. Untuk informasi lebih lanjut lihatMenganalisis Data Log denganCloudWatchWawasan Log.

CloudWatchLog muatan

Peristiwa riwayat eksekusi mungkin berisi properti input atau output dalam ketetapannya. Jika masukan lolos atau output lolos dikirim keCloudWatchLog melebihi 248KB, itu akan dipotong sebagai akibat dariCloudWatchKuota log.

Anda dapat menentukan apakah muatan telah terpotong dengan meninjau properti inputDetails dan outputDetails. Untuk informasi selengkapnya, lihat HistoryEventExecutionDataDetails Tipe Data.
Untuk Alur Kerja Standar, Anda dapat melihat riwayat eksekusi penuh dengan menggunakan GetExecutionHistory.
GetExecutionHistory tidak tersedia untuk Alur Kerja Ekspres. Jika Anda ingin melihat input dan output penuh, Anda dapat menggunakan ARN Amazon S3. Untuk informasi selengkapnya, lihat Gunakan ARN Amazon S3 bukan meneruskan muatan besar.

Kebijakan IAM untuk log keCloudWatchLog

Anda juga perlu mengonfigurasi peran IAM eksekusi mesin negara Anda agar memiliki izin yang tepat untuk masukCloudWatchLog seperti yang ditunjukkan pada contoh berikut.

Contoh kebijakan IAM

Berikut ini adalah contoh kebijakan yang dapat Anda gunakan untuk mengonfigurasi izin Anda. Seperti yang ditunjukkan pada contoh berikut, Anda perlu menentukan*di dalamResourcelapangan karenaCloudWatchTindakan API, sepertiCreateLogDeliverydanDescribeLogGroups, tidak mendukungJenis sumber daya yang ditentukan olehAmazon CloudWatch Logs. Untuk informasi lebih lanjut, lihatTindakan yang didefinisikan olehAmazon CloudWatch Logs.

Untuk informasi tentangCloudWatchsumber daya, lihatCloudWatch Logssumber daya dan operasidi dalamAmazonCloudWatchPanduan Pengguna.
Untuk informasi tentang izin yang Anda butuhkan untuk mengatur pengiriman log keCloudWatchLog, lihatIzin penggunadi bagian berjudulLog dikirim keCloudWatch Logs.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:CreateLogStream",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        }
    ]
}

Tidak dapat mengaksesCloudWatchLog

Jika Anda tidak dapat mengaksesCloudWatchLog, pastikan Anda telah melakukan hal berikut:

Mengkonfigurasi peran IAM eksekusi mesin status Anda agar memiliki izin yang tepat untuk masukCloudWatchLog.

Jika Anda menggunakanCreateStateMachineatauUpdateStateMachinepermintaan, pastikan Anda telah menentukan peran IAM diroleArnparameter yang berisi izin seperti yang ditunjukkan padacontoh sebelumnya.
MemeriksaCloudWatchKebijakan sumber daya log tidak melebihi batas karakter 5120 untukCloudWatchKebijakan sumber daya log.

Jika Anda telah melampaui batas karakter, hapus izin yang tidak perlu dariCloudWatchKebijakan sumber daya log, atau awalan nama grup log dengan/aws/vendedlogs, yang akan memberikan izin ke grup log tanpa menambahkan lebih banyak karakter ke kebijakan sumber daya. Ketika Anda membuat grup log di konsol Step Functions, nama grup log diawali dengan /aws/vendedlogs/states. Untuk informasi selengkapnya, lihat Pembatasan ukuran kebijakan sumber daya Amazon CloudWatch Logs.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Merekam dengan CloudTrail

Tingkat Log