Paso 3: crear una política de filtrado de suscripciones a nivel de cuenta - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 3: crear una política de filtrado de suscripciones a nivel de cuenta

Después de crear un destino, la cuenta del destinatario de los datos de registro puede compartir el ARN de destino (arn:aws:logs:us-east-1:999999999999:destination:testDestination) con otras cuentas de AWS para que puedan enviar eventos de registro al mismo destino. A continuación, los usuarios de estas otras cuentas remitentes crean un filtro de suscripción en sus grupos de registro respectivos frente a este destino. El filtro de suscripción inicia de inmediato el flujo de datos de registro en tiempo real desde el grupo de registro elegido al destino especificado.

nota

Si concede permisos para el filtro de suscripción a toda una organización, tendrá que usar el ARN del rol de IAM en el que creó Paso 2: (solo si se utiliza una organización) crear un rol de IAM.

En el siguiente ejemplo, se crea una política de filtrado de suscripciones a nivel de cuenta en una cuenta de envío. El filtro se asocia a la cuenta 111111111111 del remitente para que cada evento de registro que coincida con el filtro y los criterios de selección se envíe al destino creado anteriormente. Ese destino encapsula una transmisión llamada "». RecipientStream

El campo selection-criteria es opcional, pero es importante usarlo si quiere excluir de un filtro de suscripción los grupos de registro que pueden provocar una recursión infinita de registros. Para obtener más información sobre este problema y determinar qué grupos de registro excluir, consulte Prevención de recursión de registros. Actualmente, NOT IN es el único operador compatible para selection-criteria.

aws logs put-account-policy \
    --policy-name "CrossAccountStreamsExamplePolicy" \
    --policy-type "SUBSCRIPTION_FILTER_POLICY" \
    --policy-document '{"DestinationArn":"arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "", "Distribution": "Random"}' \
    --selection-criteria 'LogGroupName NOT IN ["LogGroupToExclude1", "LogGroupToExclude2"]' \
    --scope "ALL"

Los grupos de registro de la cuenta del remitente y el destino deben estar en la misma AWS región. Sin embargo, el destino puede apuntar a un AWS recurso, como una transmisión de Kinesis Data Streams, que se encuentre en una región diferente.