ステップ 2: (組織を使用している場合のみ) IAMロールを作成する - Amazon CloudWatch ログ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: (組織を使用している場合のみ) IAMロールを作成する

前のセクションで アカウント 111111111111 に直接アクセス許可を付与するのではなく、アカウント 111111111111 が属する組織にアクセス許可を付与するアクセスポリシーを使用することにより送信先を作成した場合は、このセクションのステップを実行します。それ以外の場合は、「ステップ 3: アカウントレベルのサブスクリプションフィルタポリシーを作成する」に進みます。

このセクションのステップでは、 IAMロールを作成します。これにより、送信者アカウントに受信者の送信先に対してサブスクリプションフィルターを作成するアクセス許可があるかどうかを引き受けて検証 CloudWatch できます。

このセクションの手順は、送信者アカウントで実行してください。ロールは送信者アカウントに存在し、サブスクリプションフィルターでこのロールARNの を指定する必要があります。この例では、送信者アカウントは 111111111111 です。

を使用してクロスアカウントログサブスクリプションに必要なIAMロールを作成するには AWS Organizations

  1. 以下の信頼ポリシーを作成し、/TrustPolicyForCWLSubscriptionFilter.json という名前のテキストファイルに保存します。テキストエディタを使用してこのポリシーファイルを作成します。 IAMコンソールは使用しないでください。

    {
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}

  2. このポリシーを使用するIAMロールを作成します。下記のコマンドが返す Arn の値は後ほど必要になるため、書き留めておきます。この例では、作成するロールに CWLtoSubscriptionFilterRole という名前を付けます。

    aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json

  3. アクセス許可ポリシーを作成して、 CloudWatch Logs がアカウントで実行できるアクションを定義します。

    1. まず、テキストエディタを使用して、~/PermissionsForCWLSubscriptionFilter.json という名前のファイルに以下のようなアクセス許可ポリシーを作成します。

      { 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

    2. 次のコマンドを入力して、先ほど作成したアクセス許可ポリシーを、ステップ 2 で作成したロールに関連付けます。

      aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

終了したら、「ステップ 3: アカウントレベルのサブスクリプションフィルタポリシーを作成する」に進みます。