기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
3단계: 교차 계정 대상에 대한 IAM 권한 추가/검증
AWS 교차 계정 정책 평가 로직에 따라 교차 계정 리소스(예: 구독 필터의 대상으로 사용되는 Kinesis 또는 Firehose 스트림)에 액세스하려면 전송 계정에 교차 계정 대상 리소스에 대한 명시적 액세스를 제공하는 자격 증명 기반 정책이 있어야 합니다. 정책 평가 로직에 대한 자세한 내용은 교차 계정 정책 평가 로직을 참조하세요.
구독 필터를 생성하는 데 사용하는 IAM 역할 또는 IAM 사용자에 자격 증명 기반 정책을 연결할 수 있습니다. 전송 계정에 이 정책이 있어야 합니다. 관리자 역할을 사용하여 구독 필터를 만드는 경우 이 단계를 건너뛰고 4단계: 구독 필터 생성(으)로 넘어갈 수 있습니다.
교차 계정에 필요한 IAM 권한을 추가하거나 검증하려면
다음 명령을 입력하여 AWS 로그 명령을 실행하는 데 사용되는 IAM 역할 또는 IAM 사용자를 확인합니다.
aws sts get-caller-identity이 명령은 다음과 비슷한 출력을 반환합니다.
{ "UserId": "User ID", "Account": "sending account id", "Arn": "arn:aws:sending account id:role/user:RoleName/UserName" }RoleName또는 로 표시되는 값을 기록해 둡니다UserName.전송 계정 AWS Management Console 에서에 로그인하고 1단계에서 입력한 명령의 출력에 반환된 IAM 역할 또는 IAM 사용자가 있는 연결된 정책을 검색합니다.
이 역할 또는 사용자에게 연결된 정책이 교차 계정 대상 리소스에서
logs:PutSubscriptionFilter를 호출할 수 있는 명시적 권한을 제공하는지 확인하세요. 다음 정책 예는 권장 권한을 보여 줍니다.다음 정책은 단일 AWS 계정인 계정 에서만 모든 대상 리소스에 대한 구독 필터를 생성할 수 있는 권한을 제공합니다
123456789012.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow subscription filters on any resource in one specific account", "Effect": "Allow", "Action": "logs:PutSubscriptionFilter", "Resource": [ "arn:aws:logs:*:*:log-group:*", "arn:aws:logs:*:123456789012:destination:*" ] } ] }다음 정책은 단일 AWS 계정, 계정에 이름이 지정된 특정 대상 리소스에 대해서만 구독 필터를 생성할
sampleDestination수 있는 권한을 제공합니다123456789012.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow subscription filters on one specific resource in one specific account", "Effect": "Allow", "Action": "logs:PutSubscriptionFilter", "Resource": [ "arn:aws:logs:*:*:log-group:*", "arn:aws:logs:*:123456789012:destination:sampleDestination" ] } ] }
