Étape 2 : (uniquement si vous utilisez une organisation) créer un rôle IAM

Dans la section précédente, si vous avez créé la destination à l'aide d'une stratégie d'accès qui accorde des autorisations à l'organisation dans laquelle ce compte 111111111111 se trouve, au lieu d'accorder des autorisations directement au compte 111111111111, suivez les étapes de cette section. Sinon, vous pouvez passer à Étape 4 : créer un filtre d'abonnement.

Les étapes décrites dans cette section créent un rôle IAM, qui CloudWatch peut assumer et valider si le compte expéditeur est autorisé à créer un filtre d'abonnement par rapport à la destination du destinataire.

Suivez les étapes de cette section dans le compte de l'expéditeur. Le rôle doit exister dans le compte de l'expéditeur et vous devez spécifier l'ARN de ce rôle dans le filtre d'abonnement. Dans cet exemple, le compte de l'expéditeur est 111111111111.

Pour créer le rôle IAM nécessaire aux abonnements aux journaux entre comptes à l'aide de AWS Organizations

Créez la politique de confiance suivante dans un fichier /TrustPolicyForCWLSubscriptionFilter.json. Utilisez un éditeur de texte pour créer ce fichier de politique, n'utilisez pas la console IAM.
```
{
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}
```
Créez le rôle IAM qui utilise cette politique. Notez la valeur Arn qui est renvoyée par la commande ; vous en aurez besoin ultérieurement dans cette procédure. Dans cet exemple, nous utilisons CWLtoSubscriptionFilterRole pour connaître le nom du rôle que nous créons.
```
aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
```

Créez une politique d'autorisation pour définir les actions que CloudWatch Logs peut effectuer sur votre compte.

Utilisez d'abord un éditeur de texte pour créer la politique d'autorisations suivante dans un fichier nommé ~/PermissionsForCWLSubscriptionFilter.json.


{ 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

Saisissez la commande suivante pour associer la politique d'autorisations que vous venez de créer au rôle que vous avez créé à l'étape 2.


aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Lorsque vous aurez terminé, vous pouvez passer à Étape 4 : créer un filtre d'abonnement.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 1 : créer une destination

Étape 3 : ajouter/valider les autorisations IAM pour la destination entre comptes