💭
パブリックサブネットのec2内で、`aws logs describe-log-groups --region ap-northeast-1
課題
パブリックサブネットのec2内で、aws logs describe-log-groups --region ap-northeast-1を実行するエラーの原因と解決方法
エラー内容
[ec2-user@ip-10-0-0-170 ~]$ aws logs describe-log-groups --region ap-northeast-1
An error occurred (AccessDeniedException) when calling the DescribeLogGroups operation: User: arn:aws:sts::[アカウントID]:assumed-role/test-from-ec2-to-s3-read-only-access/i-06ac5a8bb2c9c67ee is not authorized to perform: logs:DescribeLogGroups on resource: arn:aws:logs:ap-northeast-1:[アカウントID]:log-group::log-stream: because no identity-based policy allows the logs:DescribeLogGroups action
エラーの場所
対象のEC2のIAM ロール
エラーの原因
logs:DescribeLogGroupsアクションを許可していないから
解決策
-
対象のEC2のIAM ロールを開いて、「ポリシーをアタッチ」を押下する。
-
「CloudWatchFullAccess」を選択して、許可を追加する。
結果
エラーが発生しなくなった。
[ec2-user@ip-10-0-0-170 ~]$ aws logs describe-log-groups --region ap-northeast-1
{
"logGroups": []
}
Discussion