Etapa 2: (somente se estiver usando uma organização) Crie uma função do IAM.

Na seção anterior, se você criou o destino usando uma política de acesso que concede permissões à organização em que está a conta 111111111111, em vez de conceder permissões diretamente para a conta 111111111111, siga as etapas nesta seção. Caso contrário, pule para Etapa 3: criar uma política de filtro de assinatura ao nível da conta.

As etapas desta seção criam uma função do IAM que o CloudWatch pode assumir e validar se a conta de remetente tem permissão para criar um filtro de assinatura no destino do destinatário.

Siga as etapas nesta seção na conta do remetente. A função deve existir na conta do remetente e você especifica o ARN dessa função no filtro de assinatura. Neste exemplo, a conta de remetente é 111111111111.

Criar a função do IAM necessária para assinaturas de log entre contas usando o AWS Organizations

Crie a seguinte política de confiança em um arquivo /TrustPolicyForCWLSubscriptionFilter.json. Use um editor de texto para criar esse arquivo de política; não use o console do IAM.
```
{
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}
```
Crie uma função do IAM que use essa política. Anote o valor Arn retornado pelo comando, pois você precisará dele posteriormente nesse procedimento. Neste exemplo, usamos CWLtoSubscriptionFilterRole como o nome da função que estamos criando.
```
aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
```

Crie uma política de permissões para definir quais ações o CloudWatch Logs podem se realizadas em sua conta.

Primeiro, use um editor de texto para criar a seguinte política de permissões em um arquivo chamado ~/PermissionsForCWLSubscriptionFilter.json.


{ 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

Insira o seguinte comando para associar a política de permissões que você acabou de criar à função criada na etapa 2.


aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Quando terminar, você pode prosseguir para Etapa 3: criar uma política de filtro de assinatura ao nível da conta.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 1: criar um destino

Etapa 3: criar uma política de filtro de assinatura ao nível da conta