Schritt 2: (Nur wenn Sie eine Organisation verwenden) Erstellen Sie eine Rolle IAM - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2: (Nur wenn Sie eine Organisation verwenden) Erstellen Sie eine Rolle IAM

Wenn Sie im vorherigen Abschnitt das Ziel mithilfe einer Zugriffsrichtlinie erstellt haben, die der Organisation, in der sich Konto 111111111111 befindet, Berechtigungen erteilt, anstatt Konto 111111111111 direkt Berechtigungen zu erteilen, führen Sie die Schritte in diesem Abschnitt aus. Andernfalls können Sie mit Schritt 3: Erstellen Sie eine Abonnementfilterrichtlinie auf Kontoebene fortfahren.

Mit den Schritten in diesem Abschnitt wird eine IAM Rolle erstellt, die davon ausgehen und überprüfen CloudWatch kann, ob das Absenderkonto berechtigt ist, einen Abonnementfilter für das Empfängerziel zu erstellen.

Führen Sie die Schritte in diesem Abschnitt im Sender-Konto aus. Die Rolle muss im Absenderkonto vorhanden sein, und Sie geben die Rolle ARN dieser Rolle im Abonnementfilter an. In diesem Beispiel ist das Sender-Konto 111111111111.

Um die für kontoübergreifende Protokollabonnements erforderliche IAM Rolle zu erstellen, verwenden Sie AWS Organizations

  1. Erstellen Sie die folgende Vertrauensrichtlinie in einer Datei namens /TrustPolicyForCWLSubscriptionFilter.json. Verwenden Sie einen Texteditor, um diese Richtliniendatei zu erstellen. Verwenden Sie nicht die IAM Konsole.

    {
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}

  2. Erstellen Sie die IAM Rolle, die diese Richtlinie verwendet. Notieren Sie sich den Arn-Wert, der vom Befehl zurückgegeben wird, Sie benötigen ihn später in diesem Verfahren. In diesem Beispiel verwenden wir CWLtoSubscriptionFilterRole für den Namen der Rolle, die wir erstellen.

    aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json

  3. Erstellen Sie eine Berechtigungsrichtlinie, um die Aktionen zu definieren, die CloudWatch Logs auf Ihrem Konto ausführen kann.

    1. Verwenden Sie zunächst einen Text-Editor, um die folgende Berechtigungsrichtlinie in einer Datei mit dem Namen zu erstellen ~/PermissionsForCWLSubscriptionFilter.json.

      { 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

    2. Geben Sie den folgenden Befehl ein, um die soeben erstellte Berechtigungsrichtlinie mit der Rolle zu verknüpfen, die Sie in Schritt 2 erstellt haben.

      aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Wenn Sie fertig sind, können Sie mit Schritt 3: Erstellen Sie eine Abonnementfilterrichtlinie auf Kontoebene fortfahren.