Ubah keanggotaan tujuan saat runtime - CloudWatch Log Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ubah keanggotaan tujuan saat runtime

Anda mungkin mengalami situasi ketika Anda harus menambahkan atau menghapus keanggotaan beberapa pengguna dari tujuan yang Anda miliki. Anda dapat menggunakan perintah put-destination-policy di tujuan Anda dengan kebijakan akses baru. Dalam contoh berikut, akun 111111111111 yang ditambahkan sudah sebelumnya dihentikan dari mengirim data log lagi, dan akun 222222222222 diaktifkan.

  1. Ambil kebijakan yang saat ini terkait dengan TestDestination tujuan dan catat: AccessPolicy

    aws logs describe-destinations \
    --destination-name-prefix "testDestination"

{
 "Destinations": [
   {
     "DestinationName": "testDestination",
     "RoleArn": "arn:aws:iam::999999999999:role/CWLtoKinesisRole",
     "DestinationArn": "arn:aws:logs:region:999999999999:destination:testDestination",
     "TargetArn": "arn:aws:kinesis:region:999999999999:stream/RecipientStream",
     "AccessPolicy": "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Sid\": \"\", \"Effect\": \"Allow\", \"Principal\": {\"AWS\": \"111111111111\"}, \"Action\": \"logs:PutSubscriptionFilter\", \"Resource\": \"arn:aws:logs:region:999999999999:destination:testDestination\"}] }"
   }
 ]
}

  2. Perbarui kebijakan agar menunjukkan bahwa akun 111111111111 dihentikan, dan akun 222222222222 diaktifkan. Letakkan kebijakan ini di file ~/ NewAccessPolicy .json:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "222222222222"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination"
    }
  ]
}

  3. Panggilan PutDestinationPolicyuntuk mengaitkan kebijakan yang ditentukan dalam NewAccessPolicyfile.json dengan tujuan:

    aws logs put-destination-policy \
--destination-name "testDestination" \
--access-policy file://~/NewAccessPolicy.json

    Ini pada akhirnya akan menonaktifkan log acara dari ID akun 111111111111. Log acara dari ID akun 222222222222 mulai mengalir ke tujuan segera setelah pemilik akun 222222222222 membuat filter langganan.