Etapa 3: adicionar/validar as permissões do IAM para o destino entre contas - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 3: adicionar/validar as permissões do IAM para o destino entre contas

De acordo com a lógica de avaliação de políticas entre contas da AWS, para acessar qualquer recurso entre contas (como um fluxo do Kinesis ou do Firehose usado como destino para um filtro de assinatura), você deve ter uma política baseada em identidade na conta de envio que forneça acesso explícito entre contas ao recurso de destino. Para obter mais informações sobre a lógica de avaliação de política, consulte Lógica de avaliação de política entre contas.

Você pode associar a política baseada em identidade ao perfil do IAM ou ao usuário do IAM que você está usando para criar o filtro de assinatura. Essa política deve estar presente na conta de envio. Se você estiver usando a função de administrador para criar o filtro de assinatura, poderá ignorar esta etapa e prosseguir para Etapa 4: criar um filtro de assinatura.

Para adicionar ou validar as permissões do IAM necessárias entre contas

  1. Insira o comando a seguir para verificar qual perfil do IAM ou usuário do IAM está sendo usado para executar comandos de log da AWS.

    aws sts get-caller-identity

    Esse comando retorna uma saída semelhante à seguinte:

    {
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}

    Anote o valor representado por RoleName ou UserName.

  2. Faça login no AWS Management Console com a conta de envio e procure as políticas vinculadas com o perfil do IAM ou com o usuário do IAM retornado na saída do comando inserido na etapa 1.

  3. Verifique se as políticas vinculadas a esse perfil ou usuário fornecem permissões explícitas para chamar logs:PutSubscriptionFilter no recurso de destino entre contas. O exemplo de políticas a seguir mostra as permissões recomendadas.

    A política a seguir fornece permissões para criar um filtro de assinatura em qualquer recurso de destino, somente em uma única conta da AWS, conta 123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

    A política a seguir fornece permissões para criar um filtro de assinatura somente em um recurso de destino específico chamado sampleDestination, em uma única conta da AWS, conta 123456789012:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}