Modificación de la suscripción al destino en tiempo de ejecución - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Modificación de la suscripción al destino en tiempo de ejecución

Puede encontrar situaciones en las que tenga que agregar o eliminar remitentes de registros de un destino de su propiedad. Puedes usar la PutDestinationPolicyacción en tu destino con una nueva política de acceso. En el siguiente ejemplo, una cuenta 111111111111 agregada anteriormente deja de enviar datos de registro y se habilita la cuenta 333333333333.

  1. Busca la política que está asociada actualmente con el destino TestDestination y anota lo siguiente: AccessPolicy

    aws logs describe-destinations \
    --destination-name-prefix "testFirehoseDestination"

{
    "destinations": [
        {
            "destinationName": "testFirehoseDestination",
            "targetArn": "arn:aws:firehose:us-east-1:222222222222:deliverystream/my-delivery-stream",
            "roleArn": "arn:aws:iam:: 222222222222:role/CWLtoKinesisFirehoseRole",
            "accessPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Statement\" : [\n    {\n      \"Sid\" : \"\",\n      \"Effect\" : \"Allow\",\n      \"Principal\" : {\n        \"AWS\" : \"111111111111 \"\n      },\n      \"Action\" : \"logs:PutSubscriptionFilter\",\n      \"Resource\" : \"arn:aws:logs:us-east-1:222222222222:destination:testFirehoseDestination\"\n    }\n  ]\n}\n\n",
            "arn": "arn:aws:logs:us-east-1: 222222222222:destination:testFirehoseDestination",
            "creationTime": 1612256124430
        }
    ]
}

  2. Actualice la política para reflejar que la cuenta 111111111111 está detenida y que la cuenta 333333333333 está habilitada. Coloca esta política en el archivo ~/ .json: NewAccessPolicy

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "333333333333 "
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:222222222222:destination:testFirehoseDestination"
    }
  ]
}

  3. Use el siguiente comando para asociar la política definida en el NewAccessPolicyarchivo.json con el destino:

    aws logs put-destination-policy \
    --destination-name "testFirehoseDestination" \                                                                              
    --access-policy file://~/NewAccessPolicy.json

    Esto finalmente deshabilita los eventos de registro del ID de cuenta 111111111111. Los eventos de registro del ID de cuenta 333333333333 empiezan a fluir al destino en cuanto el propietario de la cuenta 333333333333 crea un filtro de suscripción.