查看针对 Amazon ECS 任务的 IAM 角色请求 - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

查看针对 Amazon ECS 任务的 IAM 角色请求

当您在 IAM 角色中使用提供程序作为任务凭证时,提供程序的请求会保存在审计日志中。审计日志继承与容器代理日志相同的日志轮换设置。可以设置 ECS_LOG_ROLLOVER_TYPEECS_LOG_MAX_FILE_SIZE_MBECS_LOG_MAX_ROLL_COUNT 容器代理配置变量来影响审计日志的行为。有关更多信息,请参阅 Amazon ECS 容器代理日志配置参数

对于容器代理版本 1.36.0 及更高版本,审计日志位于 /var/log/ecs/audit.log。在轮换日志时,将在日志文件名的末尾添加 YYYY-MM-DD-HH 格式的时间戳。

对于容器代理版本 1.35.0 及以前的版本,审计日志位于 /var/log/ecs/audit.log.YYYY-MM-DD-HH

日志条目格式如下:

  • Timestamp

  • HTTP 响应代码

  • 请求来源的 IP 地址和端口号

  • 凭证提供程序的相对 URI

  • 发出请求的用户代理

  • 请求容器所属的任务 ARN

  • GetCredentials API 名称和版本号

  • 容器实例注册到的 Amazon ECS 集群名称

  • 容器实例 ARN

您可以使用以下命令查看日志文件。

cat /var/log/ecs/audit.log.2016-07-13-16

输出:

2016-07-13T16:11:53Z 200 172.17.0.5:52444 "/v1/credentials" "python-requests/2.7.0 CPython/2.7.6 Linux/4.4.14-24.50.amzn1.x86_64" TASK_ARN GetCredentials 1 CLUSTER_NAME CONTAINER_INSTANCE_ARN