Paso 3: agregar o validar los permisos de IAM para el destino entre cuentas

Según la lógica de evaluación de políticas AWS multicuenta, para acceder a cualquier recurso multicuenta (como una transmisión de Kinesis o Firehose utilizada como destino para un filtro de suscripciones), debe tener una política basada en la identidad en la cuenta remitente que proporcione acceso explícito al recurso de destino multicuenta. Para obtener más información sobre la lógica de evaluación de políticas, consulte Lógica de evaluación de políticas entre cuentas.

Puede adjuntar la política basada en la identidad al rol de IAM o al usuario de IAM que utilice para crear el filtro de suscripción. Esta política debe estar presente en la cuenta de envío. Si utiliza la función de administrador para crear el filtro de suscripciones, puede omitir este paso y continuar con Paso 4: crear un filtro de suscripción.

Para agregar o validar los permisos de IAM necesarios para el uso entre cuentas

Introduzca el siguiente comando para comprobar qué rol o usuario de IAM se utiliza para ejecutar los comandos de registros de AWS .
```
aws sts get-caller-identity
```
El comando devuelve un resultado similar al siguiente:
```
{
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}
```
Anote el valor representado por o. RoleNameUserName
Inicie sesión AWS Management Console en la cuenta remitente y busque las políticas adjuntas con el rol de IAM o el usuario de IAM que aparecen en el resultado del comando que ingresó en el paso 1.

Compruebe que las políticas adjntas a este rol o usuario brindan permisos explícitos para llamar a logs:PutSubscriptionFilter en el recurso de destino entre cuentas. En los siguientes ejemplos de política, se muestran los permisos recomendados.

La siguiente política proporciona permisos para crear un filtro de suscripción en cualquier recurso de destino solo en una sola AWS cuenta, la cuenta: 123456789012


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

La siguiente política proporciona permisos para crear un filtro de suscripción solo en un recurso de destino específico denominado sampleDestination AWS cuenta única123456789012:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Paso 2: (solo si se utiliza una organización) crear un rol de IAM

Paso 4: crear un filtro de suscripción