Modificación de la suscripción al destino en tiempo de ejecución - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Modificación de la suscripción al destino en tiempo de ejecución

Puede encontrar situaciones en las que tenga que añadir o eliminar la pertenencia de algunos usuarios de un destino de su propiedad. Puede utilizar el comando put-destination-policy en su destino con la nueva política de acceso. En el siguiente ejemplo, una cuenta 111111111111 añadida anteriormente deja de enviar más datos de registro y se habilita la cuenta 222222222222.

  1. Busca la política que está asociada actualmente con el destino TestDestination y anota lo siguiente: AccessPolicy

    aws logs describe-destinations \
    --destination-name-prefix "testDestination"

{
 "Destinations": [
   {
     "DestinationName": "testDestination",
     "RoleArn": "arn:aws:iam::999999999999:role/CWLtoKinesisRole",
     "DestinationArn": "arn:aws:logs:region:999999999999:destination:testDestination",
     "TargetArn": "arn:aws:kinesis:region:999999999999:stream/RecipientStream",
     "AccessPolicy": "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Sid\": \"\", \"Effect\": \"Allow\", \"Principal\": {\"AWS\": \"111111111111\"}, \"Action\": \"logs:PutSubscriptionFilter\", \"Resource\": \"arn:aws:logs:region:999999999999:destination:testDestination\"}] }"
   }
 ]
}

  2. Actualice la política para reflejar que la cuenta 111111111111 está detenida y que la cuenta 222222222222 está habilitada. Coloca esta política en el archivo ~/ .json: NewAccessPolicy

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "222222222222"
      },
      "Action" : ["logs:PutSubscriptionFilter","logs:PutAccountPolicy"], 
      "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination"
    }
  ]
}

  3. Llame PutDestinationPolicypara asociar la política definida en el NewAccessPolicyarchivo.json con el destino:

    aws logs put-destination-policy \
--destination-name "testDestination" \
--access-policy file://~/NewAccessPolicy.json

    Esto finalmente deshabilitará los eventos de registro del ID de cuenta 111111111111. Los eventos de registro del ID de cuenta 222222222222 empiezan a fluir al destino en cuanto el propietario de la cuenta 222222222222 crea un filtro de suscripción.