Fase 2: aggiornamento della policy di accesso alla destinazione esistente - CloudWatch Registri Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 2: aggiornamento della policy di accesso alla destinazione esistente

Dopo aver aggiornato i filtri di sottoscrizione in tutti gli account del mittente, è possibile aggiornare la policy di accesso alla destinazione nell'account del destinatario.

Negli esempi seguenti, l'account del destinatario è 999999999999 e la destinazione è denominata testDestination.

L'aggiornamento abilita tutti gli account che fanno parte dell'organizzazione con ID o-1234567890 per l'invio di log all'account del destinatario. Solo gli account con filtri di sottoscrizione creati invieranno effettivamente log all'account del destinatario.

Aggiornamento della policy di accesso alla destinazione nell'account del destinatario per iniziare a utilizzare un ID dell'organizzazione per le autorizzazioni

  1. Nell'account del destinatario, utilizza un editor di testo per creare un file ~/AccessPolicy.json con i seguenti contenuti.

    { 
    "Version" : "2012-10-17", 
    "Statement" : [ 
        { 
            "Sid" : "", 
            "Effect" : "Allow",
            "Principal" : "*",
            "Action" : "logs:PutSubscriptionFilter", 
            "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination",
            "Condition": {
               "StringEquals" : {
                   "aws:PrincipalOrgID" : ["o-1234567890"]
                }
            }
        } 
    ] 
}

  2. Digita il seguente comando per collegare la policy appena creata alla destinazione esistente. Per aggiornare una destinazione in modo da utilizzare una politica di accesso con un ID dell'organizzazione anziché una politica di accesso che elenca un AWS account specificoIDs, includi il force parametro.

    avvertimento

    Se utilizzi i log inviati da un AWS servizio elencato inAbilita la registrazione dai servizi AWS, prima di eseguire questo passaggio devi aver aggiornato i filtri di abbonamento in tutti gli account mittente, come spiegato in. Fase 1: aggiornamento dei filtri di sottoscrizione

    aws logs put-destination-policy 
    \ --destination-name "testDestination" 
    \ --access-policy file://~/AccessPolicy.json
    \ --force