Étape 2 : mettre à jour la stratégie d'accès de la destination existante - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 2 : mettre à jour la stratégie d'accès de la destination existante

Une fois que vous avez mis à jour les filtres d'abonnement dans tous les comptes d'expéditeur, vous pouvez mettre à jour la stratégie d'accès de la destination dans le compte du destinataire.

Dans les exemples suivants, le compte du destinataire est 999999999999 et la destination est nommée testDestination.

La mise à jour permet à tous les comptes qui font partie de l'organisation ayant un ID o-1234567890 d'envoyer des journaux au compte du destinataire. Seuls les comptes avec des filtres d'abonnement envoient des journaux au compte du destinataire.

Pour mettre à jour la stratégie d'accès de la destination dans le compte du destinataire, afin qu'il commence à utiliser un ID d'organisation pour les autorisations

  1. Dans le compte du destinataire, utilisez un éditeur de texte pour créer un fichier ~/AccessPolicy.json avec le contenu suivant.

    {
"Version" : "2012-10-17", 
    "Statement" : [ 
        {
"Sid" : "", 
            "Effect" : "Allow",
            "Principal" : "*",
            "Action" : ["logs:PutSubscriptionFilter","logs:PutAccountPolicy"], 
            "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination",
            "Condition": {
"StringEquals" : {
"aws:PrincipalOrgID" : ["o-1234567890"]
                }
            }
        } 
    ] 
}

  2. Saisissez la commande suivante pour attacher la politique que vous venez de créer à la destination existante. Pour mettre à jour une destination afin d'utiliser une politique d'accès avec un identifiant d'organisation au lieu d'une politique d'accès répertoriant un AWS compte spécifique IDs, incluez le force paramètre.

    Avertissement

    Si vous travaillez avec des journaux envoyés par un AWS service répertorié dansActiver la journalisation à partir AWS des services, avant de procéder à cette étape, vous devez d'abord avoir mis à jour les filtres d'abonnement dans tous les comptes d'expéditeurs, comme expliqué dansÉtape 1 : mettre à jour les filtres d'abonnement.

    aws logs put-destination-policy 
    \ --destination-name "testDestination" 
    \ --access-policy file://~/AccessPolicy.json
    \ --force