Modifica dell'appartenenza alla destinazione in fase di runtime - CloudWatch Registri Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modifica dell'appartenenza alla destinazione in fase di runtime

Potrebbero verificarsi situazioni in cui potresti dover aggiungere o rimuovere l'adesione di alcuni utenti da una destinazione da te posseduta. Puoi utilizzare il commando put-destination-policy sulla destinazione con una nuova policy di accesso. Nell'esempio seguente, si impedisce a un account aggiunto in precedenza 111111111111 di inviare ulteriori dati di log, mentre l'account 222222222222 viene abilitato.

  1. Recupera la politica attualmente associata alla destinazione testDestinatione prendi nota di: AccessPolicy

    aws logs describe-destinations \
    --destination-name-prefix "testDestination"

{
 "Destinations": [
   {
     "DestinationName": "testDestination",
     "RoleArn": "arn:aws:iam::999999999999:role/CWLtoKinesisRole",
     "DestinationArn": "arn:aws:logs:region:999999999999:destination:testDestination",
     "TargetArn": "arn:aws:kinesis:region:999999999999:stream/RecipientStream",
     "AccessPolicy": "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Sid\": \"\", \"Effect\": \"Allow\", \"Principal\": {\"AWS\": \"111111111111\"}, \"Action\": \"logs:PutSubscriptionFilter\", \"Resource\": \"arn:aws:logs:region:999999999999:destination:testDestination\"}] }"
   }
 ]
}

  2. Aggiorna la policy per riflettere l'arresto di tale account 111111111111, mentre l'account 222222222222 viene abilitato. Inserisci questa politica nel file ~/ NewAccessPolicy .json:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "222222222222"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination"
    }
  ]
}

  3. Chiama PutDestinationPolicyper associare la politica definita nel NewAccessPolicyfile.json alla destinazione:

    aws logs put-destination-policy \
--destination-name "testDestination" \
--access-policy file://~/NewAccessPolicy.json

    Alla fine ciò disabiliterà gli eventi di log dall'ID account 111111111111. I log eventi provenienti dall'ID account 222222222222 iniziano a fluire verso la destinazione non appena il proprietario dell'account 222222222222 crea un filtro di sottoscrizione.