Étape 3 : ajouter/valider IAM les autorisations pour la destination multi-comptes

Selon la logique d'évaluation des politiques AWS entre comptes, pour accéder à toute ressource intercomptes (telle qu'un flux Kinesis ou Firehose utilisé comme destination pour un filtre d'abonnement), vous devez disposer d'une politique basée sur l'identité dans le compte d'envoi qui fournit un accès explicite à la ressource de destination entre comptes. Pour plus d'informations sur la logique d'évaluation des politiques, consultez la section Logique d'évaluation des politiques entre comptes.

Vous pouvez associer la politique basée sur l'identité au IAM rôle ou à l'IAMutilisateur que vous utilisez pour créer le filtre d'abonnement. Cette politique doit être présente dans le compte de l'expéditeur. Si vous utilisez le rôle d'administrateur pour créer le filtre d'abonnement, vous pouvez ignorer cette étape et passer à Étape 4 : créer un filtre d'abonnement.

Pour ajouter ou valider les IAM autorisations nécessaires pour les comptes multiples

Entrez la commande suivante pour vérifier quel IAM rôle ou quel IAM utilisateur est utilisé pour exécuter les commandes de AWS journalisation.
```
aws sts get-caller-identity
```
La commande renvoie un résultat semblable à ce qui suit :
```
{
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}
```
Prenez note de la valeur représentée par RoleName or UserName.
Connectez-vous AWS Management Console au compte expéditeur et recherchez les politiques jointes avec le IAM rôle ou l'IAMutilisateur renvoyé dans le résultat de la commande que vous avez saisie à l'étape 1.

Vérifiez que les politiques associées à ce rôle ou à cet utilisateur fournissent des autorisations explicites pour appeler logs:PutSubscriptionFilter au niveau de la ressource de destination entre comptes. L'exemple de politique suivant présente les autorisations recommandées.

La politique suivante autorise la création d'un filtre d'abonnement sur n'importe quelle ressource de destination uniquement dans un seul AWS compte, un compte 123456789012 :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

La politique suivante autorise la création d'un filtre d'abonnement uniquement sur une ressource de destination spécifique nommée sampleDestination dans un AWS compte unique, un compte 123456789012 :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 2 : créer une destination

Étape 4 : créer un filtre d'abonnement