Fase 2: creazione di un ruolo IAM (solo se si utilizza un'organizzazione) - CloudWatch Registri Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 2: creazione di un ruolo IAM (solo se si utilizza un'organizzazione)

Se nella sezione precedente hai creato la destinazione utilizzando una policy di accesso che concede le autorizzazioni all'organizzazione in cui è presente l'account 111111111111, invece di concederle direttamente all'account 111111111111, segui i passaggi descritti di seguito. In caso contrario, passa alla sezione Passaggio 4: creazione di un filtro di sottoscrizione.

I passaggi descritti in questa sezione creano un ruolo IAM, che CloudWatch può presupporre e verificare se l'account mittente è autorizzato a creare un filtro di sottoscrizione in base alla destinazione del destinatario.

Per l'account mittente, segui la procedura descritta in questa sezione. Il ruolo deve esistere nell'account mittente e devi specificare l'ARN di questo ruolo nel filtro di sottoscrizione. In questo esempio, l'account mittente è denominato 111111111111.

Creazione del ruolo IAM necessario per le sottoscrizioni del log tra più account utilizzando AWS Organizations

  1. Crea la policy di attendibilità seguente in un file /TrustPolicyForCWLSubscriptionFilter.json. Utilizza un editor di testo per creare questo file di policy; non utilizzare la console IAM.

    {
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}

  2. Crea il ruolo IAM che utilizza questa policy. Prendi nota del valore Arn restituito dal comando, sarà necessario in seguito in questa procedura. In questo esempio, il ruolo in fase di creazione è denominato CWLtoSubscriptionFilterRole.

    aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json

  3. Crea una politica di autorizzazioni per definire le azioni che CloudWatch Logs può eseguire sul tuo account.

    1. In primo luogo, utilizza un editor di testo per creare la policy di autorizzazione seguente in un file denominato ~/PermissionsForCWLSubscriptionFilter.json.

      { 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

    2. Inserisci il comando seguente per associare la policy di autorizzazione appena creata al ruolo creato nella fase 2.

      aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Al termine dell'operazione, passa alla sezione Passaggio 4: creazione di un filtro di sottoscrizione.