As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 1: criar um destino
Importante
As etapas deste procedimento devem ser processadas na conta destinatária dos dados do log.
Neste exemplo, a conta do destinatário dos dados de registro tem uma ID de conta de 999999999999, enquanto a ID da AWS conta do remetente dos dados de registro é 111111111111. AWS
Este exemplo cria um destino usando um stream do Kinesis Data RecipientStream Streams chamado, e uma função CloudWatch que permite que o Logs grave dados nele.
Quando o destino é criado, o CloudWatch Logs envia uma mensagem de teste para o destino em nome da conta do destinatário. Quando o filtro de assinatura é ativado posteriormente, o CloudWatch Logs envia eventos de registro para o destino em nome da conta de origem.
Para criar um destino
-
Na conta do destinatário, crie um fluxo de destino no Kinesis Data Streams. Em um prompt de comando, digite:
aws kinesis create-stream --stream-name "RecipientStream" --shard-count 1
-
Aguarde até que o fluxo do fique ativo. Você pode usar o comando aws kinesis describe-stream para verificar o. StreamDescription StreamStatuspropriedade. Além disso, anote o ARN valor StreamDescription.Stream porque você o passará para o CloudWatch Logs posteriormente:
aws kinesis describe-stream --stream-name "RecipientStream"
{ "StreamDescription": { "StreamStatus": "ACTIVE", "StreamName": "RecipientStream", "StreamARN": "arn:aws:kinesis:us-east-1:999999999999:stream/RecipientStream", "Shards": [ { "ShardId": "shardId-000000000000", "HashKeyRange": { "EndingHashKey": "34028236692093846346337460743176EXAMPLE", "StartingHashKey": "0" }, "SequenceNumberRange": { "StartingSequenceNumber": "4955113521868881845667950383198145878459135270218EXAMPLE" } } ] } }
Pode levar um ou dois minutos para o seu stream aparecer no estado ativo.
-
Crie a IAM função que conceda aos CloudWatch Logs a permissão para colocar dados em seu stream. Primeiro, você precisará criar uma política de confiança em um arquivo TrustPolicyForCWL~/.json. Use um editor de texto para criar esse arquivo de política, não use o console do IAM.
Esta política inclui uma chave de contexto de condição global
aws:SourceArn
que especifica osourceAccountId
para evitar o problema de segurança confused deputy. Se você ainda não souber o ID da conta de origem na primeira chamada, recomendamos que você coloque o destino ARN no ARN campo de origem. Nas chamadas subsequentes, você deve definir a fonte ARN como a fonte real ARN que você coletou na primeira chamada. Para obter mais informações, consulte Prevenção de ‘confused deputy’.{ "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Condition": { "StringLike": { "aws:SourceArn": [ "arn:aws:logs:
region
:sourceAccountId
:*", "arn:aws:logs:region
:recipientAccountId
:*" ] } }, "Action": "sts:AssumeRole" } } -
Use o comando aws iam create-role para criar a função do IAM especificando o arquivo de política de confiança. Anote o valor de Role.Arn retornado porque ele também será passado para Logs posteriormente: CloudWatch
aws iam create-role \ --role-name CWLtoKinesisRole \ --assume-role-policy-document file://~/TrustPolicyForCWL.json
{ "Role": { "AssumeRolePolicyDocument": { "Statement": { "Action": "sts:AssumeRole", "Effect": "Allow", "Condition": { "StringLike": { "aws:SourceArn": [ "arn:aws:logs:
region
:sourceAccountId
:*", "arn:aws:logs:region
:recipientAccountId
:*" ] } }, "Principal": { "Service": "logs.amazonaws.com" } } }, "RoleId": "AAOIIAH450GAB4HC5F431", "CreateDate": "2015-05-29T13:46:29.431Z", "RoleName": "CWLtoKinesisRole", "Path": "/", "Arn": "arn:aws:iam::999999999999:role/CWLtoKinesisRole" } } -
Crie uma política de permissões para definir quais ações o CloudWatch Logs pode realizar na sua conta. Primeiro, use um editor de texto para criar uma política de permissões em um arquivo PermissionsForCWL~/.json:
{ "Statement": [ { "Effect": "Allow", "Action": "kinesis:PutRecord", "Resource": "arn:aws:kinesis:
region
:999999999999:stream/RecipientStream" } ] } -
Associe a política de permissões à função usando o put-role-policy comando aws iam:
aws iam put-role-policy \ --role-name CWLtoKinesisRole \ --policy-name Permissions-Policy-For-CWL \ --policy-document file://~/PermissionsForCWL.json
-
Depois que o stream estiver no estado ativo e você tiver criado a IAM função, você poderá criar o destino dos CloudWatch registros.
-
Esta etapa não associará uma política de acesso ao seu destino e é apenas a primeira etapa de duas que concluirá uma criação de destino. Anote o DestinationArn que for retornado na carga útil:
aws logs put-destination \ --destination-name "testDestination" \ --target-arn "arn:aws:kinesis:
region
:999999999999:stream/RecipientStream" \ --role-arn "arn:aws:iam::999999999999:role/CWLtoKinesisRole"{ "DestinationName" : "testDestination", "RoleArn" : "arn:aws:iam::999999999999:role/CWLtoKinesisRole", "DestinationArn" : "arn:aws:logs:us-east-1:999999999999:destination:testDestination", "TargetArn" : "arn:aws:kinesis:us-east-1:999999999999:stream/RecipientStream" }
-
Depois que a etapa 7a for concluída, na conta destinatária dos dados de log, associe uma política de acesso ao destino. Essa política deve especificar os registros: PutSubscriptionFilter ação e concede permissão à conta do remetente para acessar o destino.
A política concede permissão à AWS conta que envia os registros. Você pode especificar apenas essa conta na política ou, se a conta de remetente for parte de uma organização, a política poderá especificar o ID da organização. Dessa forma, você pode criar apenas uma política para permitir que várias contas em uma organização enviem logs para essa conta de destino.
Use um editor de texto para criar um arquivo chamado
~/AccessPolicy.json
com uma das seguintes declarações de política.Este primeiro exemplo de política permite que todas as contas na organização que tenham um ID de
o-1234567890
enviem logs à conta do destinatário.{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : "*", "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination", "Condition": { "StringEquals" : { "aws:PrincipalOrgID" : ["o-1234567890"] } } } ] }
Este próximo exemplo permite que apenas a conta remetente dos dados de log (111111111111) envie logs à conta destinatária dos dados de log.
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : { "AWS" : "111111111111" }, "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:
region
:999999999999:destination:testDestination" } ] } -
Anexe a política criada na etapa anterior ao destino.
aws logs put-destination-policy \ --destination-name "testDestination" \ --access-policy file://~/AccessPolicy.json
Essa política de acesso permite que os usuários da AWS Conta com ID 111111111111 liguem para o destino com arn:aws:logs PutSubscriptionFilter::9999999999:destination:. ARN
region
testDestination A tentativa de qualquer outro usuário de ligar PutSubscriptionFilter para esse destino será rejeitada.Para validar os privilégios de um usuário em relação a uma política de acesso, consulte Usando o Validador de Políticas no Guia do IAM Usuário.
-
Ao terminar, se estiver usando AWS Organizations suas permissões entre contas, siga as etapas emEtapa 2: (Somente se estiver usando uma organização) Criar uma IAM função. Se você estiver concedendo permissões diretamente para a outra conta em vez de usar Organizations, você pode pular essa etapa e prosseguir para Etapa 4: criar um filtro de assinatura.