Ändern der Mitgliedschaft im Ziel zur Laufzeit - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern der Mitgliedschaft im Ziel zur Laufzeit

In manchen Situationen müssen Sie die Mitgliedschaft einiger Benutzer in einem Ziel, das Ihr Eigentum ist, hinzufügen oder entfernen. Sie können den Befehl put-destination-policy für Ihr Ziel mit einer neuen Zugriffsrichtlinie verwenden. Im folgenden Beispiel wird festgelegt, dass das zuvor hinzugefügte Konto 111111111111 keine Protokolldaten mehr sendet und das Konto 222222222222 aktiviert wird.

  1. Rufen Sie die Richtlinie ab, die derzeit mit dem Ziel verknüpft ist, testDestinationund notieren Sie sich Folgendes: AccessPolicy

    aws logs describe-destinations \
    --destination-name-prefix "testDestination"

{
 "Destinations": [
   {
     "DestinationName": "testDestination",
     "RoleArn": "arn:aws:iam::999999999999:role/CWLtoKinesisRole",
     "DestinationArn": "arn:aws:logs:region:999999999999:destination:testDestination",
     "TargetArn": "arn:aws:kinesis:region:999999999999:stream/RecipientStream",
     "AccessPolicy": "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Sid\": \"\", \"Effect\": \"Allow\", \"Principal\": {\"AWS\": \"111111111111\"}, \"Action\": \"logs:PutSubscriptionFilter\", \"Resource\": \"arn:aws:logs:region:999999999999:destination:testDestination\"}] }"
   }
 ]
}

  2. Aktualisieren Sie die Richtlinie, sodass angezeigt wird, dass das Konto 111111111111 angehalten wurde und das Konto 222222222222 aktiviert wurde. Fügen Sie diese Richtlinie in die Datei ~/ NewAccessPolicy .json ein:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "222222222222"
      },
      "Action" : ["logs:PutSubscriptionFilter","logs:PutAccountPolicy"], 
      "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination"
    }
  ]
}

  3. Rufen Sie PutDestinationPolicyauf, um die in der NewAccessPolicy.json-Datei definierte Richtlinie dem Ziel zuzuordnen:

    aws logs put-destination-policy \
--destination-name "testDestination" \
--access-policy file://~/NewAccessPolicy.json

    Damit werden schließlich die Protokollereignisse von der Konto-ID 111111111111 deaktiviert. Protokollereignisse der Konto-ID 222222222222 werden an das Ziel übertragen, sobald der Eigentümer des Kontos 222222222222 einen Abonnementfilter erstellt.