Paso 3: Crea una política de filtrado de suscripciones a nivel de cuenta - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 3: Crea una política de filtrado de suscripciones a nivel de cuenta

Después de crear un destino, la cuenta receptora de los datos de registro puede compartir el destino ARN (arn:aws:logs:us-east- 1:8379999:destination:testDestination) con otras cuentas para que puedan enviar los eventos de registro al mismo destino. AWS A continuación, los usuarios de estas otras cuentas remitentes crean un filtro de suscripción en sus grupos de registros respectivos frente a este destino. El filtro de suscripción inicia de inmediato el flujo de datos de registro en tiempo real desde el grupo de registros elegido al destino especificado.

nota

Si vas a conceder permisos para el filtro de suscripciones a toda una organización, tendrás que usar el rol en el que lo creaste. ARN IAM Paso 2: (solo si utilizas una organización) Crea un rol IAM

En el siguiente ejemplo, se crea una política de filtrado de suscripciones a nivel de cuenta en una cuenta remitente. El filtro se asocia a la cuenta del remitente 111111111111 para que cada evento de registro que coincida con el filtro y los criterios de selección se entregue en el destino que creó anteriormente. Ese destino encapsula una transmisión llamada "». RecipientStream

El selection-criteria campo es opcional, pero es importante para excluir de un filtro de suscripción los grupos de registros que pueden provocar una recursión infinita de registros. Para obtener más información sobre este problema y determinar qué grupos de registros se van a excluir, consultePrevención de la recursión de registros. Actualmente, NOT IN es el único operador compatibleselection-criteria.

aws logs put-account-policy \
    --policy-name "CrossAccountStreamsExamplePolicy" \
    --policy-type "SUBSCRIPTION_FILTER_POLICY" \
    --policy-document '{"DestinationArn":"arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "", "Distribution": "Random"}' \
    --selection-criteria 'LogGroupName NOT IN ["LogGroupToExclude1", "LogGroupToExclude2"]' \
    --scope "ALL"

Los grupos de registro de la cuenta del remitente y el destino deben estar en la misma AWS región. Sin embargo, el destino puede apuntar a un AWS recurso, como una transmisión de Kinesis Data Streams, que se encuentre en una región diferente.