Paso 3: agregar o validar los permisos de IAM para el destino entre cuentas - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 3: agregar o validar los permisos de IAM para el destino entre cuentas

Según la lógica de evaluación de políticas de AWS entre cuentas, para acceder a cualquier recurso entre cuentas (como un flujo de Kinesis o Firehose utilizado como destino para un filtro de suscripciones), debe tener una política basada en la identidad en la cuenta remitente que ofrezca acceso explícito al recurso de destino entre cuentas. Para obtener más información sobre la lógica de evaluación de políticas, consulte Lógica de evaluación de políticas entre cuentas.

Puede adjuntar la política basada en la identidad al rol de IAM o al usuario de IAM que utilice para crear el filtro de suscripción. Esta política debe estar presente en la cuenta de envío. Si utiliza la función de administrador para crear el filtro de suscripciones, puede omitir este paso y continuar con Paso 4: crear un filtro de suscripción.

Para agregar o validar los permisos de IAM necesarios para el uso entre cuentas

  1. Introduzca el siguiente comando para comprobar qué rol o usuario de IAM se utiliza para ejecutar los comandos de registros de AWS.

    aws sts get-caller-identity

    El comando devuelve un resultado similar al siguiente:

    {
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}

    Anote el valor representado en RoleName o UserName.

  2. Inicie sesión en la AWS Management Console en la cuenta remitente y busque las políticas adjuntas con el rol o el usuario de IAM que aparecen en el resultado del comando que ingresó en el paso 1.

  3. Compruebe que las políticas adjntas a este rol o usuario brindan permisos explícitos para llamar a logs:PutSubscriptionFilter en el recurso de destino entre cuentas. En los siguientes ejemplos de política, se muestran los permisos recomendados.

    La siguiente política brinda permisos para crear un filtro de suscripción en cualquier recurso de destino únicamente en una sola cuenta de AWS, la cuenta 123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

    La siguiente política brinda permisos para crear un filtro de suscripción solo en un recurso de destino específico denominado sampleDestination, en una sola cuenta de AWS, la cuenta 123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}