Étape 2 : mettre à jour la stratégie d'accès de la destination existante - Amazon CloudWatch Logs

Étape 2 : mettre à jour la stratégie d'accès de la destination existante

Une fois que vous avez mis à jour les filtres d'abonnement dans tous les comptes d'expéditeur, vous pouvez mettre à jour la stratégie d'accès de la destination dans le compte du destinataire.

Dans les exemples suivants, le compte du destinataire est 999999999999 et la destination est nommée testDestination.

La mise à jour permet à tous les comptes qui font partie de l'organisation ayant un ID o-1234567890 d'envoyer des journaux au compte du destinataire. Seuls les comptes avec des filtres d'abonnement envoient des journaux au compte du destinataire.

Pour mettre à jour la stratégie d'accès de la destination dans le compte du destinataire, afin qu'il commence à utiliser un ID d'organisation pour les autorisations

  1. Dans le compte du destinataire, utilisez un éditeur de texte pour créer un fichier ~/AccessPolicy.json avec le contenu suivant.

    { "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : "*", "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination", "Condition": { "StringEquals" : { "aws:PrincipalOrgID" : ["o-1234567890"] } } } ] }
  2. Saisissez la commande suivante pour attacher la politique que vous venez de créer à la destination existante. Pour mettre à jour une destination et utiliser une stratégie d'accès ayant un ID d'organisation au lieu d'une stratégie d'accès qui répertorie des ID de compte AWS spécifiques, incluez le paramètre force.

    Avertissement

    Si vous travaillez avec des journaux envoyés par un service AWS répertorié dans Activation de la journalisation à partir de certains services AWS, avant de réaliser cette étape, vous devez d'abord avoir mis à jour les filtres d'abonnement de tous les comptes d'expéditeur, comme expliqué dans Étape 1 : mettre à jour les filtres d'abonnement.

    aws logs put-destination-policy \ --destination-name "testDestination" \ --access-policy file://~/AccessPolicy.json \ --force