Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 1: aggiornamento dei filtri di sottoscrizione
Nota
Questo passaggio è necessario solo per le sottoscrizioni tra più account per i log creati dai servizi elencati in Abilita la registrazione dai servizi AWS. Se non stai lavorando con log creati da uno di questi gruppi di log, puoi passare alla sezione Fase 2: aggiornamento della policy di accesso alla destinazione esistente.
In alcuni casi, devi aggiornare i filtri di sottoscrizione in tutti gli account del mittente che inviano log all'account di destinazione. L'aggiornamento aggiunge un IAM ruolo che CloudWatch può presupporre e convalidare che l'account mittente disponga dell'autorizzazione a inviare i log all'account del destinatario.
Segui la procedura descritta in questa sezione per ogni account del mittente che desideri aggiornare in modo da utilizzare l'ID dell'organizzazione per le autorizzazioni di sottoscrizione tra più account.
Negli esempi di questa sezione sono già stati creati dei filtri di sottoscrizione negli account 111111111111 e 222222222222 per l'invio di log all'account 999999999999. I valori del filtro di sottoscrizione esistenti sono i seguenti:
## Existing Subscription Filter parameter values { "DestinationArn": "arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "{$.userIdentity.type = Root}", "Distribution": "Random" }
Se è necessario trovare i valori dei parametri del filtro di sottoscrizione correnti, digita il comando seguente.
aws logs describe-account-policies \ --policy-type "SUBSCRIPTION_FILTER_POLICY" \ --policy-name "CrossAccountStreamsExamplePolicy"
Per aggiornare un filtro di sottoscrizione e iniziare a utilizzare l'organizzazione IDs per le autorizzazioni di registro tra account diversi
Crea la policy di attendibilità seguente in un file
~/TrustPolicyForCWL.json. Utilizzate un editor di testo per creare questo file di policy; non utilizzate la IAM console.{ "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Action": "sts:AssumeRole" } }Crea il IAM ruolo che utilizza questa politica. Prendi nota del valore
Arndel valoreArnrestituito dal comando, sarà necessario in seguito in questa procedura. In questo esempio, il ruolo in fase di creazione è denominatoCWLtoSubscriptionFilterRole.aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWL.jsonCrea una politica di autorizzazioni per definire le azioni che CloudWatch Logs può eseguire sul tuo account.
In primo luogo, utilizza un editor di testo per creare la policy di autorizzazione seguente in un file denominato
/PermissionsForCWLSubscriptionFilter.json.{ "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] }Inserisci il comando seguente per associare la policy di autorizzazione appena creata al ruolo creato nella fase 2.
aws iam put-role-policy --role-name CWLtoSubscriptionFilterRole --policy-name Permissions-Policy-For-CWL-Subscription-filter --policy-document file://~/PermissionsForCWLSubscriptionFilter.json
Inserisci il seguente comando per aggiornare la politica di filtro degli abbonamenti.
aws logs put-account-policy \ --policy-name "CrossAccountStreamsExamplePolicy" \ --policy-type "SUBSCRIPTION_FILTER_POLICY" \ --policy-document '{"DestinationArn":"arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "{$.userIdentity.type = Root}", "Distribution": "Random"}' \ --selection-criteria 'LogGroupName NOT IN ["LogGroupToExclude1", "LogGroupToExclude2"]' \ --scope "ALL"
