Étape 2 : (uniquement si vous utilisez une organisation) Créer un rôle IAM - Amazon CloudWatch Logs

Étape 2 : (uniquement si vous utilisez une organisation) Créer un rôle IAM

Dans la section précédente, si vous avez créé la destination à l'aide d'une stratégie d'accès qui accorde des autorisations à l'organisation dans laquelle ce compte 111111111111 se trouve, au lieu d'accorder des autorisations directement au compte111111111111, suivez les étapes de cette section. Sinon, vous pouvez passer à Créer un filtre d'abonnement.

Les étapes de cette section créent un rôle IAM, que CloudWatch peut remplir et vérifier si le compte de l'expéditeur est autorisé à créer un filtre d'abonnement par rapport à la destination du destinataire.

Pour créer le rôle IAM nécessaire aux abonnements au journal entre comptes à l'aide de AWS Organizations

  1. Créez la politique d'approbation suivante dans un fichier /TrustPolicyForCWLSubscriptionFilter.json. Utilisez un éditeur de texte pour créer ce fichier de politique, n'utilisez pas la console IAM.

    { "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com" }, "Action": "sts:AssumeRole" } }
  2. Créez le rôle IAM qui utilise cette politique. Notez la valeur Arn qui est renvoyée par la commande, vous en aurez besoin ultérieurement dans cette procédure. Dans cet exemple, nous utilisons CWLtoSubscriptionFilterRole pour connaître le nom du rôle que nous créons.

    aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWL.json
  3. Créez une politique d'autorisations pour définir les actions effectuées par CloudWatch Logs sur votre compte.

    1. Utilisez d’abord un éditeur de texte pour créer la politique d'autorisations suivante dans un fichier nommé /PermissionsForCWLSubscriptionFilter.json.

      { "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] }
    2. Saisissez la commande suivante pour associer la politique d'autorisations que vous venez de créer au rôle que vous avez créé à l'étape 2.

      aws iam put-role-policy \ --role-name CWLtoSubscriptionFilterRole \ --policy-name Permissions-Policy-For-CWL-Subscription-filter \ --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Lorsque vous aurez terminé, vous pouvez passer à Créer un filtre d'abonnement.