Paso 2: actualizar la política de acceso de destino existente - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 2: actualizar la política de acceso de destino existente

Después de actualizar los filtros de suscripción en todas las cuentas de remitente, puede actualizar la política de acceso de destino en la cuenta de destinatario.

En los ejemplos siguientes, la cuenta de destinatario es 999999999999 y el destino se llama testDestination.

La actualización permite que todas las cuentas que forman parte de la organización con ID o-1234567890 envíen registros a la cuenta de destinatario. Solo las cuentas que tienen filtros de suscripción creados enviarán registros a la cuenta del destinatario.

Para actualizar la política de acceso de destino en la cuenta de destinatario a fin de empezar a utilizar un ID de organización para obtener permisos

  1. En la cuenta del destinatario, utilice un editor de texto para crear un archivo ~/AccessPolicy.json con el siguiente contenido.

    {
"Version" : "2012-10-17", 
    "Statement" : [ 
        {
"Sid" : "", 
            "Effect" : "Allow",
            "Principal" : "*",
            "Action" : ["logs:PutSubscriptionFilter","logs:PutAccountPolicy"], 
            "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination",
            "Condition": {
"StringEquals" : {
"aws:PrincipalOrgID" : ["o-1234567890"]
                }
            }
        } 
    ] 
}

  2. Ingrese el siguiente comando para adjuntar la política que acaba de crear al destino existente. Para actualizar un destino para usar una política de acceso con un identificador de organización en lugar de una política de acceso que muestre una AWS cuenta específica IDs, incluye el force parámetro.

    aviso

    Si está trabajando con registros enviados por uno de los AWS servicios incluidos en la listaHabilitar el registro desde AWS los servicios, antes de realizar este paso, debe haber actualizado los filtros de suscripción de todas las cuentas de remitentes, tal y como se explica en la secciónPaso 1: actualizar los filtros de suscripción.

    aws logs put-destination-policy 
    \ --destination-name "testDestination" 
    \ --access-policy file://~/AccessPolicy.json
    \ --force