Schritt 3: IAM Berechtigungen für das kontoübergreifende Ziel hinzufügen/validieren

Laut AWS Bewertungslogik für kontenübergreifende Richtlinien: Um auf kontoübergreifende Ressourcen zugreifen zu können (z. B. einen Kinesis- oder Firehose-Stream, der als Ziel für einen Abonnementfilter verwendet wird), muss das sendende Konto über eine identitätsbasierte Richtlinie verfügen, die expliziten Zugriff auf die kontenübergreifende Zielressource gewährt. Weitere Informationen zur Logik der Richtlinienbewertung finden Sie unter Bewertungslogik für kontenübergreifende Richtlinien.

Sie können die identitätsbasierte Richtlinie an die IAM Rolle oder den IAM Benutzer anhängen, die Sie zum Erstellen des Abonnementfilters verwenden. Diese Richtlinie muss im übermittelnden Konto vorhanden sein. Wenn Sie die Administratorrolle verwenden, um den Abonnementfilter zu erstellen, können Sie diesen Schritt überspringen und mit Schritt 4: Erstellen eines Abonnementfilters fortfahren.

Um die für kontoübergreifenden Zugriff erforderlichen IAM Berechtigungen hinzuzufügen oder zu überprüfen

Geben Sie den folgenden Befehl ein, um zu überprüfen, welche IAM Rolle oder welcher IAM Benutzer für die Ausführung verwendet wird AWS protokolliert Befehle.
```
aws sts get-caller-identity
```
Daraufhin erhalten Sie ein Ergebnis, das dem hier dargestellten entspricht:
```
{
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}
```
Notieren Sie sich den Wert, der repräsentiert wird durch RoleName or UserName.
Loggen Sie sich ein in AWS Management Console im Absenderkonto und suchen Sie nach den angehängten Richtlinien mit der IAM Rolle oder dem IAM Benutzer, die in der Ausgabe des Befehls, den Sie in Schritt 1 eingegeben haben, zurückgegeben wurde.

Stellen Sie sicher, dass die mit dieser Rolle oder diesem Benutzer verknüpften Richtlinien explizite Zugriffsberechtigungen für die logs:PutSubscriptionFilter auf der kontoübergreifenden Zielressource enthalten. In den folgenden Beispielen für Richtlinien werden empfohlene Berechtigungen erläutert.

Die folgende Richtlinie gewährt Berechtigungen zum Erstellen eines Abonnementfilters für jede Zielressource nur in einer einzigen AWS Konto, Konto123456789012:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

Die folgende Richtlinie gewährt Berechtigungen zum Erstellen eines Abonnementfilters nur für eine bestimmte Zielressource mit sampleDestination dem Namen Single AWS Konto, Konto123456789012:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schritt 2: (Nur wenn Sie eine Organisation verwenden) Erstellen Sie eine Rolle IAM

Schritt 4: Erstellen eines Abonnementfilters