As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 2: atualizar a política de acesso ao destino existente
Depois de atualizar os filtros de assinatura em todas as contas de remetente, você poderá atualizar a política de acesso de destino na conta do destinatário.
Nos exemplos a seguir, a conta do destinatário é 999999999999 e o destino é chamado de testDestination.
A atualização habilita todas as contas que fazem parte da organização com ID de o-1234567890 a enviar logs à conta destinatária. Somente as contas que tiverem filtros de assinatura criados enviarão logs para a conta do destinatário.
Atualizar a política de acesso de destino na conta do destinatário para começar a usar um ID de organização para permissões
Na conta destinatária, use um editor de texto para criar um arquivo
~/AccessPolicy.jsoncom o seguinte conteúdo.{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : "*", "Action" : ["logs:PutSubscriptionFilter","logs:PutAccountPolicy"], "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination", "Condition": { "StringEquals" : { "aws:PrincipalOrgID" : ["o-1234567890"] } } } ] }Insira o seguinte comando para anexar a política que você acabou de criar ao destino existente. Para atualizar um destino para usar uma política de acesso com um ID de organização em vez de uma política de acesso que lista IDs de conta específicos da AWS, inclua o parâmetro
force.Atenção
Se estiver trabalhando com logs enviados por um serviço da AWS listado em Habilitar o registro em log a partir de serviços da AWS, antes de executar essa etapa, primeiramente você deve ter atualizado os filtros de assinatura em todas as contas de remetente, conforme explicado em Etapa 1: atualizar os filtros de assinatura.
aws logs put-destination-policy \ --destination-name "testDestination" \ --access-policy file://~/AccessPolicy.json \ --force
