步骤 2：（仅在使用企业时）创建 IAM 角色

在上一节中，如果您使用向账户 111111111111 所在的企业授予权限的访问策略创建了目标，而不是直接向账户 111111111111 授予权限，则请按照本节中的步骤操作。否则，您可以跳至步骤 4：创建订阅筛选条件。

本节中的步骤创建了 IAM 角色，CloudWatch 可以代入该角色，并验证发件人账户是否有权针对收件人目标创建订阅筛选条件。

在发送者账户中执行本节中的步骤。该角色必须存在于发送者账户中，并且您在订阅筛选器中指定该角色的 ARN。在此示例中，发送者账户为 111111111111。

要使用 AWS Organizations 为跨账户日志订阅创建所需的 IAM 角色

请在文件 /TrustPolicyForCWLSubscriptionFilter.json 中创建以下信任策略。使用文本编辑器创建此策略文件；请勿使用 IAM 控制台来创建。
```
{
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}
```
创建一个使用此策略的 IAM 角色。记录该命令返回的 Arn 值，您需要在本过程的后续部分中使用该值。在此示例中，我们将 CWLtoSubscriptionFilterRole 用作我们所创建角色的名称。
```
aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
```

创建权限策略以定义 CloudWatch Logs 可对您的账户执行的操作。

首先，使用文本编辑器在名为 ~/PermissionsForCWLSubscriptionFilter.json 的文件中创建以下权限策略。


{ 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

输入以下命令，以将刚创建的权限策略与您在步骤 2 中创建的角色相关联。


aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

完成后，您可以继续执行步骤 4：创建订阅筛选条件。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

步骤 1：创建目标

步骤 3：添加/验证跨账户目标的 IAM 权限