本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Kinesis Data Streams 進行跨帳戶跨區域日誌資料共用
建立跨帳戶訂閱時,您可以指定單一帳戶或一個組織作為寄件者。如果您指定組織,則此程序會讓組織中的所有帳戶都能將日誌傳送至接收者帳戶。
若要跨帳戶共用日誌資料,您需要建立日誌資料寄件者和接收者:
-
日誌資料寄件者 — 從收件人取得目的地資訊,並讓 CloudWatch Logs 知道其已準備好將其日誌事件傳送至指定的目的地。在本節其餘的程序中,日誌資料寄件者會顯示虛構 AWS 帳戶號碼為 111111111111。
如果您要讓一個組織中的多個帳戶將日誌傳送至一個收件人帳戶,則可以建立一個政策,授予組織中所有帳戶將日誌傳送至收件人帳戶的許可。您仍然必須為每個寄件者帳戶設定個別的訂閱篩選條件。
-
日誌資料接收者 — 設定封裝 Kinesis Data Streams 串流的目的地,並讓 CloudWatch Logs 知道接收者想要接收日誌資料。然後,收件人接著會與寄件者共用與其目的地有關的資訊。在本節其餘部分的程序中,日誌資料接收者會顯示虛構 AWS 帳戶號碼為 999999999999。
若要開始從跨帳戶使用者接收日誌事件,日誌資料收件人會先建立 CloudWatch 日誌目的地。每個目的地包含以下關鍵元素:
- 目的地名稱
-
您要建立的目的地名稱。
- 目標 ARN
-
您要用作訂閱饋送目的地之 AWS 資源的 Amazon Resource Name (ARN)。
- 角色 ARN
-
授予 CloudWatch Logs 將資料放入所選串流的必要許可的 AWS Identity and Access Management (IAM) 角色。
- 存取政策
-
IAM 政策文件 (JSON格式,使用IAM政策文法撰寫),用於管理允許寫入目的地的使用者集。
注意
日誌群組和目的地必須位於相同的 AWS 區域中。不過,目的地指向的 AWS 資源可以位於不同的區域。在以下各節的範例中,區域特定的所有資源都在美國東部 (維吉尼亞北部) 建立。