Schritt 2: Aktualisieren der bestehenden Richtlinie für die Zugriffsrichtlinie - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2: Aktualisieren der bestehenden Richtlinie für die Zugriffsrichtlinie

Nachdem Sie die Abonnementfilter in allen Senderkonten aktualisiert haben, können Sie die Zielzugriffsrichtlinie im Empfängerkonto aktualisieren.

In den folgenden Beispielen ist das Empfängerkonto 999999999999 und das Ziel hat den Namen testDestination.

Das Update ermöglicht es allen Konten, die Teil der Organisation mit der ID o-1234567890 sind, Protokolle an das Empfängerkonto zu senden. Nur die Konten, für die Abonnementfilter erstellt wurden, senden tatsächlich Protokolle an das Empfängerkonto.

So aktualisieren Sie die Zielzugriffsrichtlinie im Empfängerkonto, um eine Organisations-ID für Berechtigungen zu verwenden

  1. Verwenden Sie im Empfängerkonto einen Texteditor, um eine ~/AccessPolicy.json-Datei mit dem folgenden Inhalt zu erstellen.

    { 
    "Version" : "2012-10-17", 
    "Statement" : [ 
        { 
            "Sid" : "", 
            "Effect" : "Allow",
            "Principal" : "*",
            "Action" : "logs:PutSubscriptionFilter", 
            "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination",
            "Condition": {
               "StringEquals" : {
                   "aws:PrincipalOrgID" : ["o-1234567890"]
                }
            }
        } 
    ] 
}

  2. Geben Sie den folgenden Befehl ein, um die Richtlinie, die Sie soeben erstellt haben, dem vorhandenen Ziel anzufügen. Um ein Ziel so zu aktualisieren, dass es eine Zugriffsrichtlinie mit einer Organisations-ID anstelle einer Zugriffsrichtlinie verwendet, die bestimmte AWS KontoIDs, schließen Sie den force Parameter ein.

    Warnung

    Wenn Sie mit Protokollen arbeiten, die von einem gesendet wurden AWS DienstProtokollierung aktivieren von AWS service, der unter aufgeführt ist. Bevor Sie diesen Schritt ausführen, müssen Sie zunächst die Abonnementfilter in allen Absenderkonten aktualisiert haben, wie unter beschriebenSchritt 1: Aktualisieren der Abonnementfilter.

    aws logs put-destination-policy 
    \ --destination-name "testDestination" 
    \ --access-policy file://~/AccessPolicy.json
    \ --force