Étape 2 : mettre à jour la stratégie d'accès de la destination existante - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 2 : mettre à jour la stratégie d'accès de la destination existante

Une fois que vous avez mis à jour les filtres d'abonnement dans tous les comptes d'expéditeur, vous pouvez mettre à jour la stratégie d'accès de la destination dans le compte du destinataire.

Dans les exemples suivants, le compte du destinataire est 999999999999 et la destination est nommée testDestination.

La mise à jour permet à tous les comptes qui font partie de l'organisation ayant un ID o-1234567890 d'envoyer des journaux au compte du destinataire. Seuls les comptes avec des filtres d'abonnement envoient des journaux au compte du destinataire.

Pour mettre à jour la stratégie d'accès de la destination dans le compte du destinataire, afin qu'il commence à utiliser un ID d'organisation pour les autorisations

  1. Dans le compte du destinataire, utilisez un éditeur de texte pour créer un fichier ~/AccessPolicy.json avec le contenu suivant.

    { 
    "Version" : "2012-10-17", 
    "Statement" : [ 
        { 
            "Sid" : "", 
            "Effect" : "Allow",
            "Principal" : "*",
            "Action" : "logs:PutSubscriptionFilter", 
            "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination",
            "Condition": {
               "StringEquals" : {
                   "aws:PrincipalOrgID" : ["o-1234567890"]
                }
            }
        } 
    ] 
}

  2. Saisissez la commande suivante pour attacher la politique que vous venez de créer à la destination existante. Pour mettre à jour une destination et utiliser une stratégie d'accès ayant un ID d'organisation au lieu d'une stratégie d'accès qui répertorie des ID de compte AWS spécifiques, incluez le paramètre force.

    Avertissement

    Si vous travaillez avec des journaux envoyés par un AWS service répertorié dansActivation de la journalisation depuis AWS les services, avant de procéder à cette étape, vous devez d'abord avoir mis à jour les filtres d'abonnement dans tous les comptes d'expéditeurs, comme expliqué dansÉtape 1 : mettre à jour les filtres d'abonnement.

    aws logs put-destination-policy 
    \ --destination-name "testDestination" 
    \ --access-policy file://~/AccessPolicy.json
    \ --force