Uso compartido de datos de registros entre cuentas mediante Kinesis Data Streams
Al crear una suscripción entre cuentas, puede especificar una única cuenta o una organización para que sea el remitente. Si especifica una organización, este procedimiento permite que todas las cuentas de la organización envíen registros a la cuenta de receptor.
Para compartir los datos de registro entre cuentas, es necesario establecer un emisor y receptor de datos de registro:
-
Remitente de los datos de registro: obtiene la información de destino del destinatario y permite a Registros de CloudWatch saber que está listo para enviar sus eventos de registro al destino especificado. En los procedimientos del resto de esta sección, el remitente de los datos de registro se muestra con un número de cuenta de AWS ficticio de 111111111111.
Si va a tener varias cuentas de una organización que envíen registros a una cuenta de destinatario, puede crear una política que otorgue a todas las cuentas de la organización el permiso para enviar registros a la cuenta de destinatario. Aún tiene que configurar filtros de suscripción independientes para cada cuenta de remitente.
-
Destinatario de datos de registro: configura un destino que encapsula un flujo de Kinesis Data Streams y permite a Registros de CloudWatch saber que el destinatario desea recibir datos de registro. A continuación, el destinatario comparte la información sobre este destino con el remitente. En los procedimientos del resto de esta sección, el destinatario de los datos de registro se muestra con un número de cuenta de AWS ficticio de 999999999999.
Para comenzar a recibir eventos de registro de usuarios entre cuentas, el destinatario de los datos de registro crea primero un destino de Registros de CloudWatch. Cada destino consta de los siguientes elementos fundamentales:
- Nombre de destino
-
El nombre del destino que desea crear.
- ARN de destino
-
El nombre de recurso de Amazon (ARN) del recurso de AWS que desea utilizar como destino de la fuente de suscripción.
- ARN de rol
-
Un rol de AWS Identity and Access Management (IAM) que concede a Registros de CloudWatch los permisos necesarios para incluir datos en el flujo elegido.
- Política de acceso
-
Un documento de política de IAM (en formato JSON, escrito con la gramática de política de IAM) que rige el conjunto de los usuarios a los que se les permite escribir en su destino.
El grupo de registro y el destino deben estar en la misma región de AWS. Sin embargo, el recurso de AWS al que apunta el destino puede estar ubicado en una región diferente. En los ejemplos de las secciones siguientes, todos los recursos específicos de una región se crean en EE. UU. Este (Norte de Virginia).