使用 Kinesis Data Streams 進行跨帳戶跨區域日誌資料共用 - Amazon CloudWatch Logs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Kinesis Data Streams 進行跨帳戶跨區域日誌資料共用

建立跨帳戶訂閱時,您可以指定單一帳戶或一個組織作為寄件者。如果您指定組織,則此程序會讓組織中的所有帳戶都能將日誌傳送至接收者帳戶。

若要跨帳戶共用日誌資料,您需要建立日誌資料寄件者和接收者:

  • 日誌資料寄件者 — 從收件人取得目的地資訊,並讓 CloudWatch Logs 知道其已準備好將其日誌事件傳送至指定的目的地。在本節其餘的程序中,日誌資料寄件者會顯示虛構 AWS 帳戶號碼為 111111111111。

    如果您要讓一個組織中的多個帳戶將日誌傳送至一個收件人帳戶,則可以建立一個政策,授予組織中所有帳戶將日誌傳送至收件人帳戶的許可。您仍然必須為每個寄件者帳戶設定個別的訂閱篩選條件。

  • 日誌資料接收者 — 設定封裝 Kinesis Data Streams 串流的目的地,並讓 CloudWatch Logs 知道接收者想要接收日誌資料。然後,收件人接著會與寄件者共用與其目的地有關的資訊。在本節其餘部分的程序中,日誌資料接收者會顯示虛構 AWS 帳戶號碼為 999999999999。

若要開始從跨帳戶使用者接收日誌事件,日誌資料收件人會先建立 CloudWatch 日誌目的地。每個目的地包含以下關鍵元素:

目的地名稱

您要建立的目的地名稱。

目標 ARN

您要用作訂閱饋送目的地之 AWS 資源的 Amazon Resource Name (ARN)。

角色 ARN

授予 CloudWatch Logs 將資料放入所選串流的必要許可的 AWS Identity and Access Management (IAM) 角色。

存取政策

IAM 政策文件 (JSON格式,使用IAM政策文法撰寫),用於管理允許寫入目的地的使用者集。

注意

日誌群組和目的地必須位於相同的 AWS 區域中。不過,目的地指向的 AWS 資源可以位於不同的區域。在以下各節的範例中,區域特定的所有資源都在美國東部 (維吉尼亞北部) 建立。