Étape 2 : Mettre à jour la stratégie d'accès de la destination existante - Amazon CloudWatch Logs

Étape 2 : Mettre à jour la stratégie d'accès de la destination existante

Une fois que vous avez mis à jour les filtres d'abonnement dans tous les comptes de l'expéditeur, vous pouvez mettre à jour la stratégie d'accès de la destination dans le compte du destinataire.

Dans les exemples suivants, le compte du destinataire est 999999999999 et la destination est nommée testDestination.

La mise à jour permet à tous les comptes qui font partie de l'organisation ayant un ID o-1234567890 d’envoyer les journaux au compte du destinataire. Seuls les comptes sur lesquels des filtres d'abonnement ont été créés envoient des journaux au compte du destinataire.

Pour mettre à jour la stratégie d'accès de la destination dans le compte du destinataire afin de commencer à utiliser un ID d'organisation pour les autorisations

  1. Dans le compte du destinataire, utilisez un éditeur de texte pour créer un fichier ~/AccessPolicy.json avec le contenu suivant.

    { "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : "*", "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination", "Condition": { "StringEquals" : { "aws:PrincipalOrgID" : ["o-1234567890"] } } } ] }
  2. Saisissez la commande suivante pour attacher la politique que vous venez de créer à la destination existante. Pour mettre à jour une destination afin d'utiliser une stratégie d'accès ayant un ID d'organisation au lieu d'une stratégie d'accès qui répertorie des ID de comptes AWS, y compris le paramètre force.

    Avertissement

    Avant d’effectuer cette étape, vous devez d'abord avoir mis à jour les filtres d'abonnement dans tous les comptes de l'expéditeur, comme expliqué dans la section Étape 1 : Mettre à jour les filtres d'abonnement. Si vous n'avez pas déjà mis à jour les filtres d'abonnement, la commande suivante peut entraîner l'arrêt du fonctionnement de ces filtres d'abonnement existants.

    aws logs put-destination-policy \ --destination-name "testDestination" \ --access-policy file://~/AccessPolicy.json \ --force