翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 2: 既存の送信先アクセスポリシーを更新する
すべての送信者アカウントのサブスクリプションフィルターを更新した後、受信者アカウントの送信先アクセスポリシーを更新できます。
以下の例では、受信者アカウントは 999999999999、送信先は testDestination となっています。
この更新により、ID o-1234567890 を持つ組織に属するすべてのアカウントが、受信者アカウントにログを送信できるようになりました。サブスクリプションフィルターが作成されたアカウントのみが、実際に受信者アカウントにログを送信します。
受信者アカウントの送信先アクセスポリシーを更新して、権限の組織 ID の使用をスタートする方法
受信者アカウントで、テキストエディタを使用して、以下の内容の
~/AccessPolicy.jsonファイルを作成します。{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : "*", "Action" : ["logs:PutSubscriptionFilter","logs:PutAccountPolicy"], "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination", "Condition": { "StringEquals" : { "aws:PrincipalOrgID" : ["o-1234567890"] } } } ] }次のコマンドを入力して、先ほど作成したポリシーを既存の送信先にアタッチします。特定の AWS アカウント ID をリストにしたアクセスポリシーではなく、組織 ID を含むアクセスポリシーを使用するように送信先を更新するには、
forceパラメータを指定します。警告
に記載されている AWS サービスによって送信されたログを使用している場合はAWS サービスからのログ記録を有効にする、このステップを実行する前に、「」で説明されているように、すべての送信者アカウントのサブスクリプションフィルターを更新しておく必要がありますステップ 1: サブスクリプションフィルターを更新する。
aws logs put-destination-policy \ --destination-name "testDestination" \ --access-policy file://~/AccessPolicy.json \ --force
