Etapa 3: adicionar/validar IAM permissões para o destino entre contas - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 3: adicionar/validar IAM permissões para o destino entre contas

De acordo com a lógica de avaliação de políticas AWS entre contas, para acessar qualquer recurso entre contas (como um stream do Kinesis ou Firehose usado como destino para um filtro de assinatura), você deve ter uma política baseada em identidade na conta de envio que forneça acesso explícito ao recurso de destino entre contas. Para obter mais informações sobre a lógica de avaliação de política, consulte Lógica de avaliação de política entre contas.

Você pode anexar a política baseada em identidade à IAM função ou ao IAM usuário que está usando para criar o filtro de assinatura. Essa política deve estar presente na conta de envio. Se você estiver usando a função de administrador para criar o filtro de assinatura, poderá ignorar esta etapa e prosseguir para Etapa 4: criar um filtro de assinatura.

Para adicionar ou validar as IAM permissões necessárias para várias contas

  1. Digite o comando a seguir para verificar qual IAM função ou IAM usuário está sendo usado para executar comandos de AWS registros.

    aws sts get-caller-identity

    Esse comando retorna uma saída semelhante à seguinte:

    {
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}

    Anote o valor representado por RoleName ouUserName.

  2. Faça login AWS Management Console na conta de envio e pesquise as políticas anexadas com a IAM função ou o IAM usuário retornado na saída do comando que você inseriu na etapa 1.

  3. Verifique se as políticas vinculadas a esse perfil ou usuário fornecem permissões explícitas para chamar logs:PutSubscriptionFilter no recurso de destino entre contas. O exemplo de políticas a seguir mostra as permissões recomendadas.

    A política a seguir fornece permissões para criar um filtro de assinatura em qualquer recurso de destino somente em uma única AWS conta, conta123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

    A política a seguir fornece permissões para criar um filtro de assinatura somente em um recurso de destino específico chamado sampleDestination em uma única AWS conta, conta123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}