本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Kinesis Data Streams 进行跨账户跨区域账户级订阅
创建跨账户订阅时,可以指定单个账户或企业作为发件人。如果指定企业,则此过程允许企业中的所有账户向接收方账户发送日志。
要跨账户共享日志数据,您需要建立日志数据发送者和接收者:
-
Log data sender(日志数据发件人)– 从收件人处获取目标信息并告知 CloudWatch Logs 发件人已准备好将其录入事件发送到指定目标。在本部分其余程序中,日志数据发送者显示为虚构的AWS账号 111111111111。
如果您将在企业中设立多个账户向收件人账户发送日志,则可以创建策略,授予企业中的所有账户向收件人账户发送日志的权限。您仍然必须为每个发件人账户设置单独的订阅筛选条件。
-
日志数据接收者 – 设置一个封装 Kinesis Data Streams 流的目标,并告知 CloudWatch Logs 接收者希望接收日志数据。接收者随后与发送者共享与此目标有关的信息。在本部分其余程序中,日志数据接收者显示为虚构的AWS账号 999999999999。
要开始接收来自跨账户用户的日志事件,日志数据接收者应首先创建一个 CloudWatch Logs 目标。每个目标都包含以下键元素:
- 目标名称
-
您要创建的目标的名称。
- 目标 ARN
-
您要用作订阅源目标的AWS资源的 Amazon Resource Name (ARN)。
- 角色 ARN
-
一个 AWS Identity and Access Management (IAM) 角色,用于向 CloudWatch Logs 授予将数据放入所选流所需的必要权限。
- 访问策略
-
一个 IAM policy 文档(采用 JSON 格式,使用 IAM policy 语法编写),用于管理有权对您的目标进行写入的用户组。
注意
日志组和目标必须位于同一AWS区域内。但是,目标指向的AWS资源可位于不同的区域。在以下部分的示例中,所有特定于区域的资源都是在美国东部(弗吉尼亚北部)创建的。
