本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 3:建立帳戶層級訂閱篩選條件政策
建立目的地之後,日誌資料接收者帳戶可以與其他 AWS 帳戶共用目的地 ARN(arn:aws:logs:us-east-1:999999999999:destination:testDestination),以便他們可以將日誌事件傳送至相同的目的地。然後,這些其他傳送帳戶使用者接著會在個別的日誌群組針對此目的地建立訂閱篩選條件。訂閱篩選條件會立即開始將即時日誌資料從所選的日誌群組傳送到指定的目標。
注意
如果您要將訂閱篩選條件的許可授予整個組織,您將需要使用您在 中建立ARNIAM的角色的 步驟 2:(僅限使用組織時) 建立IAM角色。
在下列範例中,會在傳送帳戶中建立帳戶層級訂閱篩選條件政策。篩選條件會與寄件者帳戶相關聯,111111111111因此每個符合篩選條件和選取條件的日誌事件都會傳送至您先前建立的目的地。該目的地會封裝名為 "RecipientStream" 的串流。
欄位是選用selection-criteria的,但對於排除可從訂閱篩選條件造成無限日誌遞迴的日誌群組而言很重要。如需有關此問題和決定要排除哪些日誌群組的詳細資訊,請參閱 日誌遞迴預防。目前,NOTIN 是 唯一支援的運算子selection-criteria。
aws logs put-account-policy \ --policy-name "CrossAccountStreamsExamplePolicy" \ --policy-type "SUBSCRIPTION_FILTER_POLICY" \ --policy-document '{"DestinationArn":"arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "", "Distribution": "Random"}' \ --selection-criteria 'LogGroupName NOT IN ["LogGroupToExclude1", "LogGroupToExclude2"]' \ --scope "ALL"
寄件者帳戶的日誌群組和目的地必須位於相同的 AWS 區域中。不過,目的地可以指向資源, AWS 例如位於不同區域中的 Kinesis Data Streams 串流。
