AWS Copilot CLI 环境部署中的 CloudWatch Logs 资源策略限制问题解析
问题背景
在使用 AWS Copilot CLI 创建多个预览环境时,用户会遇到一个关键限制:当尝试创建第11个环境时,CloudFormation 堆栈部署会失败,并返回"Resource limit exceeded"错误。这个问题的根源在于 AWS CloudWatch Logs 服务对资源策略数量的硬性限制。
技术原理
AWS CloudWatch Logs 对每个区域每个账户设置了严格的资源策略配额:
- 每个区域最多只能创建10个 CloudWatch Logs 资源策略
- 这个配额是硬性限制,无法通过支持请求提升
Copilot 在创建每个环境时,默认会生成一个独立的资源策略,其目的是允许 AWS 服务(如 delivery.logs.amazonaws.com)为工作负载创建日志流。这个策略包含以下关键权限:
- logs:CreateLogStream
- logs:PutLogEvents
解决方案
临时解决方案
-
移除环境特定的资源策略
通过 Copilot 的覆盖功能,可以移除每个环境中的 LogResourcePolicy 资源:- op: remove path: /Resources/LogResourcePolicy
这个配置应放置在
copilot/environments/overrides/cfn.patches.yml
文件中。 -
创建共享资源策略
使用 AWS CLI 创建一个通用的资源策略,覆盖所有环境:aws logs put-resource-policy --policy-name "copilot-app-LogResourcePolicy" \ --policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"StateMachineToCloudWatchLogs\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"delivery.logs.amazonaws.com\"},\"Action\":[\"logs:CreateLogStream\",\"logs:PutLogEvents\"],\"Resource\":\"arn:aws:logs:<region>:<account-id>:log-group:/copilot/*:log-stream:*\",\"Condition\":{\"StringEquals\":{\"aws:SourceAccount\":\"<account-id>\"},\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:logs:<region>:<account-id>:*\"}}}]}"
注意替换命令中的
<region>
和<account-id>
占位符。
长期优化建议
-
策略合并
Copilot 可以考虑将多个环境的日志策略合并为一个,通过更精细的资源 ARN 模式匹配来区分不同环境的权限。 -
可选策略
将日志资源策略设为可选配置,允许用户在 manifest 文件中选择是否创建。 -
账户级策略
对于大型组织,可以推荐使用账户级的共享策略,通过 IAM 条件进一步细化权限控制。
实施注意事项
-
策略范围
共享策略的范围应仔细设计,避免过度授权。示例中的策略已经通过 Condition 块限制了源账户和 ARN 模式。 -
环境清理
删除不再需要的环境时,记得清理对应的 CloudWatch Log 组,避免日志数据堆积。 -
多账户策略
对于企业级部署,考虑使用多账户架构,每个开发团队使用独立的 AWS 账户,可以绕过单账户的限制。
总结
AWS Copilot CLI 的环境部署机制与 CloudWatch Logs 服务限制之间存在设计上的冲突。虽然通过覆盖和共享策略可以暂时解决问题,但长期来看需要工具层面的优化。对于频繁创建临时环境的开发团队,建议采用上述解决方案,并关注 Copilot 的未来版本更新。
HunyuanImage-3.0
HunyuanImage-3.0 统一多模态理解与生成,基于自回归框架,实现文本生成图像,性能媲美或超越领先闭源模型00- DDeepSeek-V3.2-ExpDeepSeek-V3.2-Exp是DeepSeek推出的实验性模型,基于V3.1-Terminus架构,创新引入DeepSeek Sparse Attention稀疏注意力机制,在保持模型输出质量的同时,大幅提升长文本场景下的训练与推理效率。该模型在MMLU-Pro、GPQA-Diamond等多领域公开基准测试中表现与V3.1-Terminus相当,支持HuggingFace、SGLang、vLLM等多种本地运行方式,开源内核设计便于研究,采用MIT许可证。【此简介由AI生成】Python00
Hunyuan3D-Part
腾讯混元3D-Part00GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~0291ops-transformer
本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。C++051Hunyuan3D-Omni
腾讯混元3D-Omni:3D版ControlNet突破多模态控制,实现高精度3D资产生成00Spark-Chemistry-X1-13B
科大讯飞星火化学-X1-13B (iFLYTEK Spark Chemistry-X1-13B) 是一款专为化学领域优化的大语言模型。它由星火-X1 (Spark-X1) 基础模型微调而来,在化学知识问答、分子性质预测、化学名称转换和科学推理方面展现出强大的能力,同时保持了强大的通用语言理解与生成能力。Python00GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile09
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
项目优选









