Мне удалось создать Amazon MQ Broker с включенным ведением журнала и опубликовать журнал, отправленный в Cloudwatch, с использованием провайдера terraform 1.43.2 - мой проект заблокирован для более старой версии провайдера tf, поэтому, если вы используете более новую версию, вы все должно быть в порядке
https://github.com/terraform-providers/terraform-provider-aws/blob/master/CHANGELOG.md#1430-november-07-2018
Это была политика, которую я не понял с первого раза, и нужно было MQ опубликовать в Cloudwatch:
data "aws_iam_policy_document" "mq-log-publishing-policy" {
statement {
actions = [
"logs:CreateLogStream",
"logs:PutLogEvents",
]
resources = ["arn:aws:logs:*:*:log-group:/aws/amazonmq/*"]
principals {
identifiers = ["mq.amazonaws.com"]
type = "Service"
}
}
}
resource "aws_cloudwatch_log_resource_policy" "mq-log-publishing-policy" {
policy_document = "${data.aws_iam_policy_document.mq-log-publishing-policy.json}"
policy_name = "mq-log-publishing-policy"
}
Убедитесь, что эта политика применена правильно, иначе в Cloudwatch ничего не появится. Я сделал это с помощью aws cli:
aws --profile my-testing-profile-name --region my-profile-region logs describe-resource-policies
и вы должны увидеть политику на выходе.
person
mattmin
schedule
11.12.2018
aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mq.amazonaws.com" }, "Action":[ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource" : "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" } ] }'
Я помню, что перезапуск MQ после включения журналов из консоли AWS помог. - person mattmin   schedule 01.10.2019