Partage de données du journal entre comptes à l'aide de Kinesis - Amazon CloudWatch Logs

Partage de données du journal entre comptes à l'aide de Kinesis

Lorsque vous créez un abonnement entre comptes, vous pouvez spécifier un seul compte ou une organisation comme expéditeur. Si vous spécifiez une organisation, cette procédure permet à tous les comptes de l'organisation d'envoyer des journaux au compte récepteur.

Pour partager des données du journal entre comptes, vous devez spécifier un expéditeur et un récepteur :

  • Log data sender (Expéditeur de données du journal) : il obtient les informations de destination à partir du destinataire et signale à CloudWatch Logs qu'il est prêt à envoyer ses événements du journal à la destination spécifiée. Dans les procédures énoncées dans le reste de cette section, l'expéditeur des données du journal est indiqué par le numéro de compte AWS fictif 111111111111.

    Si plusieurs comptes dans une organisation doivent envoyer des journaux au compte d'un destinataire, vous pouvez créer une politique qui accorde à tous les comptes de l'organisation l'autorisation d'envoyer des journaux au compte du destinataire. Vous devez toujours configurer des filtres d'abonnement distincts pour chaque compte d'expéditeur.

  • Le destinataire de données du journal met en place une destination qui encapsule un flux Kinesis et signale à CloudWatch Logs qu'il souhaite recevoir des données du journal. Le destinataire partage ensuite les informations sur cette destination avec l'expéditeur. Dans les procédures énoncées dans le reste de cette section, le destinataire des données du journal est indiqué par le numéro de compte AWS fictif 999999999999.

Pour commencer à recevoir des événements du journal en provenance d'utilisateurs entre comptes, le destinataire des données du journal doit tout d'abord créer une destination CloudWatch Logs. Chaque destination comprend les éléments clés suivants :

Nom de destination

Le nom de la destination que vous souhaitez créer.

ARN cible

L'Amazon Resource Name (ARN) de la ressource AWS que vous souhaitez utiliser comme destination du flux d'abonnement.

ARN de rôle

Un rôle AWS Identity and Access Management (IAM) qui octroie à CloudWatch Logs les autorisations nécessaires pour placer des données dans le flux Kinesis choisi.

Stratégie d'accès

Un document de politique IAM (au format JSON, écrit à l'aide de la syntaxe des politiques IAM) régissant l'ensemble des utilisateurs qui sont autorisés à écrire à votre destination.

Le groupe de journaux et la destination doivent se trouver dans la même région AWS. Par contre, la ressource AWS vers laquelle pointe la destination peut être située dans une autre région. Dans les exemples des sections suivantes, toutes les ressources spécifiques à la région sont créées dans USA Est (Virginie du Nord).