Paso 2: (solo si se utiliza una organización) crear un rol de IAM

En la sección anterior, si ha creado el destino mediante una política de acceso que otorga permisos a la organización en la que está esa cuenta 111111111111, en lugar de conceder permisos directamente a la cuenta 111111111111, siga los pasos de esta sección. De lo contrario, puede ir directamente a Paso 3: crear una política de filtrado de suscripciones a nivel de cuenta.

Los pasos de esta sección crean un rol de IAM, que CloudWatch puede asumir y validar si la cuenta de remitente tiene permiso para crear un filtro de suscripción contra el destino del destinatario.

Realice los pasos de esta sección en la cuenta del remitente. El rol debe existir en la cuenta del remitente y usted especifica el ARN de este rol en el filtro de suscripción. En este ejemplo, la cuenta del remitente es 111111111111.

Para crear el rol de IAM necesario para las suscripciones de registros entre cuentas mediante AWS Organizations

Cree la siguiente política de confianza en un archivo /TrustPolicyForCWLSubscriptionFilter.json. Utilice un editor de texto para crear este archivo de política; no utilice la consola de IAM.
```
{
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}
```
Cree un rol de IAM que utilice la política. Anote el valor Arn que devuelve el comando, ya que lo necesitará más tarde en este procedimiento. En este ejemplo, usaremos CWLtoSubscriptionFilterRole para el nombre del rol que estamos creando.
```
aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
```

Cree una política de permisos para definir qué acciones puede llevar a cabo Registros de CloudWatch en su cuenta.

En primer lugar, utilice un editor de texto para crear la siguiente política de permisos en un archivo denominado: ~/PermissionsForCWLSubscriptionFilter.json.


{ 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

Ingrese el siguiente comando para asociar la política de permisos que acaba de crear con el rol que creó en el paso 2.


aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Cuando haya terminado, puede proceder a Paso 3: crear una política de filtrado de suscripciones a nivel de cuenta.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Paso 1: crear un destino

Paso 3: crear una política de filtrado de suscripciones a nivel de cuenta