Langkah 2: (Hanya jika menggunakan organisasi) Buat peran IAM - CloudWatch Log Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 2: (Hanya jika menggunakan organisasi) Buat peran IAM

Di bagian sebelumnya, jika Anda membuat tujuan dengan menggunakan kebijakan akses yang memberikan izin kepada organisasi tempat akun111111111111 berada, alih-alih memberikan izin langsung ke akun111111111111, ikuti langkah-langkah di bagian ini. Jika tidak, Anda dapat melewati keBuat filter langganan.

Langkah-langkah di bagian ini membuat peran IAM, yang CloudWatch dapat mengasumsikan dan memvalidasi apakah akun pengirim memiliki izin untuk membuat filter langganan terhadap tujuan penerima.

Lakukan langkah-langkah dalam bagian ini di akun pengirim. Peran harus ada di akun pengirim, dan Anda menentukan ARN peran ini dalam filter langganan. Dalam contoh ini, akun pengirim adalah111111111111.

Untuk membuat IAM role yang diperlukan untuk langganan lintas akun log menggunakanAWS Organizations
  1. Buat kebijakan kepercayaan berikut dalam sebuah file/TrustPolicyForCWLSubscriptionFilter.json. Gunakan editor teks untuk membuat file kebijakan ini; jangan menggunakan konsol IAM.

    { "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Action": "sts:AssumeRole" } }
  2. Buat peran IAM yang menggunakan kebijakan ini. CatatArn nilai yang dikembalikan oleh perintah, Anda akan membutuhkannya nanti dalam prosedur ini. Dalam contoh ini, kami menggunakanCWLtoSubscriptionFilterRole nama role yang kami buat.

    aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
  3. Buat kebijakan izin untuk menentukan tindakan yang dapat dilakukan oleh CloudWatch Logs di akun Anda.

    1. Pertama, gunakan editor teks untuk membuat kebijakan izin berikut dalam file bernama~/PermissionsForCWLSubscriptionFilter.json.

      { "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] }
    2. Masukkan perintah berikut untuk mengaitkan kebijakan izin yang baru saja Anda buat dengan peran yang Anda buat pada langkah 2.

      aws iam put-role-policy --role-name CWLtoSubscriptionFilterRole --policy-name Permissions-Policy-For-CWL-Subscription-filter --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Setelah Anda selesai, Anda dapat melanjutkan keBuat filter langganan.