AWS Copilot CLI 环境部署中的 CloudWatch Logs 资源策略限制问题解析

问题背景

在使用 AWS Copilot CLI 创建多个预览环境时，用户会遇到一个关键限制：当尝试创建第11个环境时，CloudFormation 堆栈部署会失败，并返回"Resource limit exceeded"错误。这个问题的根源在于 AWS CloudWatch Logs 服务对资源策略数量的硬性限制。

技术原理

AWS CloudWatch Logs 对每个区域每个账户设置了严格的资源策略配额：

• 每个区域最多只能创建10个 CloudWatch Logs 资源策略
• 这个配额是硬性限制，无法通过支持请求提升

Copilot 在创建每个环境时，默认会生成一个独立的资源策略，其目的是允许 AWS 服务（如 delivery.logs.amazonaws.com）为工作负载创建日志流。这个策略包含以下关键权限：

• logs:CreateLogStream
• logs:PutLogEvents

解决方案

临时解决方案

1. 移除环境特定的资源策略
   通过 Copilot 的覆盖功能，可以移除每个环境中的 LogResourcePolicy 资源：

   - op: remove
     path: /Resources/LogResourcePolicy
   

   这个配置应放置在 copilot/environments/overrides/cfn.patches.yml 文件中。

2. 创建共享资源策略
   使用 AWS CLI 创建一个通用的资源策略，覆盖所有环境：

   aws logs put-resource-policy --policy-name "copilot-app-LogResourcePolicy" \
   --policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"StateMachineToCloudWatchLogs\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"delivery.logs.amazonaws.com\"},\"Action\":[\"logs:CreateLogStream\",\"logs:PutLogEvents\"],\"Resource\":\"arn:aws:logs:<region>:<account-id>:log-group:/copilot/*:log-stream:*\",\"Condition\":{\"StringEquals\":{\"aws:SourceAccount\":\"<account-id>\"},\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:logs:<region>:<account-id>:*\"}}}]}"
   

   注意替换命令中的 <region> 和 <account-id> 占位符。

长期优化建议

1. 策略合并
   Copilot 可以考虑将多个环境的日志策略合并为一个，通过更精细的资源 ARN 模式匹配来区分不同环境的权限。

2. 可选策略
   将日志资源策略设为可选配置，允许用户在 manifest 文件中选择是否创建。

3. 账户级策略
   对于大型组织，可以推荐使用账户级的共享策略，通过 IAM 条件进一步细化权限控制。

实施注意事项

1. 策略范围
   共享策略的范围应仔细设计，避免过度授权。示例中的策略已经通过 Condition 块限制了源账户和 ARN 模式。

2. 环境清理
   删除不再需要的环境时，记得清理对应的 CloudWatch Log 组，避免日志数据堆积。

3. 多账户策略
   对于企业级部署，考虑使用多账户架构，每个开发团队使用独立的 AWS 账户，可以绕过单账户的限制。

总结

AWS Copilot CLI 的环境部署机制与 CloudWatch Logs 服务限制之间存在设计上的冲突。虽然通过覆盖和共享策略可以暂时解决问题，但长期来看需要工具层面的优化。对于频繁创建临时环境的开发团队，建议采用上述解决方案，并关注 Copilot 的未来版本更新。