Paso 2: (solo si utilizas una organización) Crea un rol IAM - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 2: (solo si utilizas una organización) Crea un rol IAM

En la sección anterior, si ha creado el destino mediante una política de acceso que otorga permisos a la organización en la que está esa cuenta 111111111111, en lugar de conceder permisos directamente a la cuenta 111111111111, siga los pasos de esta sección. De lo contrario, puede ir directamente a Paso 4: crear un filtro de suscripción.

Los pasos de esta sección crean un IAM rol que CloudWatch puede asumir y validar si la cuenta del remitente tiene permiso para crear un filtro de suscripción para el destino del destinatario.

Realice los pasos de esta sección en la cuenta del remitente. El rol debe existir en la cuenta del remitente y usted debe especificar este rol en el filtro ARN de suscripciones. En este ejemplo, la cuenta del remitente es 111111111111.

Para crear el IAM rol necesario para las suscripciones de registros multicuenta, utilice AWS Organizations

  1. Cree la siguiente política de confianza en un archivo /TrustPolicyForCWLSubscriptionFilter.json. Utilice un editor de texto para crear este archivo de política; no utilice la IAM consola.

    {
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}

  2. Cree el IAM rol que usa esta política. Anote el valor Arn que devuelve el comando, ya que lo necesitará más tarde en este procedimiento. En este ejemplo, usaremos CWLtoSubscriptionFilterRole para el nombre del rol que estamos creando.

    aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json

  3. Crea una política de permisos para definir las acciones que CloudWatch Logs puede realizar en tu cuenta.

    1. En primer lugar, utilice un editor de texto para crear la siguiente política de permisos en un archivo denominado: ~/PermissionsForCWLSubscriptionFilter.json.

      { 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

    2. Ingrese el siguiente comando para asociar la política de permisos que acaba de crear con el rol que creó en el paso 2.

      aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Cuando haya terminado, puede proceder a Paso 4: crear un filtro de suscripción.