Passaggio 2: (Solo se utilizzi un'organizzazione) Crea un ruolo IAM

Se nella sezione precedente hai creato la destinazione utilizzando una policy di accesso che concede le autorizzazioni all'organizzazione in cui è presente l'account 111111111111, invece di concederle direttamente all'account 111111111111, segui i passaggi descritti di seguito. In caso contrario, passa alla sezione Passaggio 3: Crea una politica di filtro degli abbonamenti a livello di account.

I passaggi descritti in questa sezione creano un IAM ruolo che CloudWatch può presupporre e verificare se l'account mittente è autorizzato a creare un filtro di sottoscrizione in base alla destinazione del destinatario.

Per l'account mittente, segui la procedura descritta in questa sezione. Il ruolo deve esistere nell'account mittente e devi specificare il ruolo ARN di questo ruolo nel filtro di sottoscrizione. In questo esempio, l'account mittente è denominato 111111111111.

Per creare il IAM ruolo necessario per le sottoscrizioni ai log tra più account utilizzando AWS Organizations

Crea la policy di attendibilità seguente in un file /TrustPolicyForCWLSubscriptionFilter.json. Utilizzate un editor di testo per creare questo file di policy; non utilizzate la IAM console.
```
{
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}
```
Crea il IAM ruolo che utilizza questa politica. Prendi nota del valore Arn restituito dal comando, sarà necessario in seguito in questa procedura. In questo esempio, il ruolo in fase di creazione è denominato CWLtoSubscriptionFilterRole.
```
aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
```

Crea una politica di autorizzazioni per definire le azioni che CloudWatch Logs può eseguire sul tuo account.

In primo luogo, utilizza un editor di testo per creare la policy di autorizzazione seguente in un file denominato ~/PermissionsForCWLSubscriptionFilter.json.


{ 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

Inserisci il comando seguente per associare la policy di autorizzazione appena creata al ruolo creato nella fase 2.


aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Al termine dell'operazione, passa alla sezione Passaggio 3: Crea una politica di filtro degli abbonamenti a livello di account.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Passaggio 1: creazione di una destinazione

Passaggio 3: Crea una politica di filtro degli abbonamenti a livello di account