Passaggio 3: aggiungere/convalidare le IAM autorizzazioni per la destinazione tra account diversi - CloudWatch Registri Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio 3: aggiungere/convalidare le IAM autorizzazioni per la destinazione tra account diversi

In base alla AWS logica di valutazione dei criteri tra account, per accedere a qualsiasi risorsa tra account (ad esempio uno stream Kinesis o Firehose utilizzato come destinazione per un filtro di abbonamento) è necessario disporre di una politica basata sull'identità nell'account di invio che fornisca l'accesso esplicito alla risorsa di destinazione tra account diversi. Per ulteriori informazioni sulla logica di valutazione delle policy, consulta la pagina Cross-account policy evaluation logic.

Puoi allegare la politica basata sull'identità al IAM ruolo o all'utente che stai utilizzando per creare il filtro di abbonamento. IAM Questa policy deve essere presente nell'account mittente. Se utilizzi il ruolo di amministratore per creare il filtro di sottoscrizione, puoi saltare questo passaggio e passare a Passaggio 4: creazione di un filtro di sottoscrizione.

Per aggiungere o convalidare le autorizzazioni necessarie per più IAM account

  1. Immetti il comando seguente per verificare quale IAM ruolo o IAM utente viene utilizzato per eseguire AWS i comandi di log.

    aws sts get-caller-identity

    Il comando restituisce un output simile al seguente:

    {
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}

    Prendi nota del valore rappresentato da RoleName oppure UserName.

  2. AWS Management Console Accedi all'account di invio e cerca le politiche allegate con il IAM ruolo o IAM l'utente restituito nell'output del comando inserito nel passaggio 1.

  3. Verifica che le policy associate a questo ruolo o utente forniscano autorizzazioni esplicite per richiamare logs:PutSubscriptionFilter sulla risorsa di destinazione multi-account. Le seguenti policy di esempio mostrano le autorizzazioni suggerite.

    La seguente politica fornisce le autorizzazioni per creare un filtro di sottoscrizione su qualsiasi risorsa di destinazione solo in un singolo AWS account, account123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

    La seguente politica fornisce le autorizzazioni per creare un filtro di sottoscrizione solo su una risorsa di destinazione specifica denominata sampleDestination in AWS account singolo, account: 123456789012

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}