翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 2: (組織を使用している場合のみ) IAMロールを作成する
前のセクションで アカウント 111111111111
に直接アクセス許可を付与するのではなく、アカウント 111111111111
が属する組織にアクセス許可を付与するアクセスポリシーを使用することにより送信先を作成した場合は、このセクションのステップを実行します。それ以外の場合は、「ステップ 4: サブスクリプションフィルターを作成する」に進みます。
このセクションのステップでは、 IAMロールを作成します。これにより、送信者アカウントに受信者の送信先に対してサブスクリプションフィルターを作成するアクセス許可があるかどうかを引き受けて検証 CloudWatch できます。
このセクションの手順は、送信者アカウントで実行してください。ロールは送信者アカウントに存在し、サブスクリプションフィルターでこのロールARNの を指定する必要があります。この例では、送信者アカウントは 111111111111
です。
を使用してクロスアカウントログサブスクリプションに必要なIAMロールを作成するには AWS Organizations
以下の信頼ポリシーを作成し、
/TrustPolicyForCWLSubscriptionFilter.json
という名前のテキストファイルに保存します。テキストエディタを使用してこのポリシーファイルを作成します。 IAMコンソールは使用しないでください。{ "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Action": "sts:AssumeRole" } }
このポリシーを使用するIAMロールを作成します。下記のコマンドが返す
Arn
の値は後ほど必要になるため、書き留めておきます。この例では、作成するロールにCWLtoSubscriptionFilterRole
という名前を付けます。aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
アクセス許可ポリシーを作成して、 CloudWatch Logs がアカウントで実行できるアクションを定義します。
まず、テキストエディタを使用して、
~/PermissionsForCWLSubscriptionFilter.json
という名前のファイルに以下のようなアクセス許可ポリシーを作成します。{ "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:
region
:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] }次のコマンドを入力して、先ほど作成したアクセス許可ポリシーを、ステップ 2 で作成したロールに関連付けます。
aws iam put-role-policy --role-name CWLtoSubscriptionFilterRole --policy-name Permissions-Policy-For-CWL-Subscription-filter --policy-document file://~/PermissionsForCWLSubscriptionFilter.json
終了したら、「ステップ 4: サブスクリプションフィルターを作成する」に進みます。