Schritt 3: IAM Berechtigungen für das kontoübergreifende Ziel hinzufügen/überprüfen - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 3: IAM Berechtigungen für das kontoübergreifende Ziel hinzufügen/überprüfen

Gemäß der Bewertungslogik für AWS kontenübergreifende Richtlinien muss für den Zugriff auf eine kontoübergreifende Ressource (z. B. ein Kinesis- oder Firehose-Stream, der als Ziel für einen Abonnementfilter verwendet wird) eine identitätsbasierte Richtlinie im sendenden Konto vorhanden sein, die expliziten Zugriff auf die kontenübergreifende Zielressource gewährt. Weitere Informationen zur Logik der Richtlinienbewertung finden Sie unter Bewertungslogik für kontenübergreifende Richtlinien.

Sie können die identitätsbasierte Richtlinie an die IAM Rolle oder den IAM Benutzer anhängen, die Sie zum Erstellen des Abonnementfilters verwenden. Diese Richtlinie muss im übermittelnden Konto vorhanden sein. Wenn Sie die Administratorrolle verwenden, um den Abonnementfilter zu erstellen, können Sie diesen Schritt überspringen und mit Schritt 4: Erstellen eines Abonnementfilters fortfahren.

Um die für kontoübergreifenden Zugriff erforderlichen IAM Berechtigungen hinzuzufügen oder zu überprüfen

  1. Geben Sie den folgenden Befehl ein, um zu überprüfen, welche IAM Rolle oder welcher IAM Benutzer zur Ausführung von AWS Protokollbefehlen verwendet wird.

    aws sts get-caller-identity

    Daraufhin erhalten Sie ein Ergebnis, das dem hier dargestellten entspricht:

    {
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}

    Notieren Sie sich den Wert, der repräsentiert wird durch RoleName or UserName.

  2. Melden Sie sich mit dem AWS Management Console Konto des Absenders an und suchen Sie nach den angehängten Richtlinien mit der IAM Rolle oder dem IAM Benutzer, die in der Ausgabe des in Schritt 1 eingegebenen Befehls zurückgegeben wurden.

  3. Stellen Sie sicher, dass die mit dieser Rolle oder diesem Benutzer verknüpften Richtlinien explizite Zugriffsberechtigungen für die logs:PutSubscriptionFilter auf der kontoübergreifenden Zielressource enthalten. In den folgenden Beispielen für Richtlinien werden empfohlene Berechtigungen erläutert.

    Die folgende Richtlinie gewährt Berechtigungen zum Erstellen eines Abonnementfilters für jede Zielressource nur in einem einzigen AWS Konto, einem Konto123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

    Die folgende Richtlinie gewährt Berechtigungen zum Erstellen eines Abonnementfilters nur für eine bestimmte Zielressource mit sampleDestination dem Namen „ AWS Einzelkonto“123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}