Modifica dell'appartenenza alla destinazione durante il runtime - CloudWatch Registri Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modifica dell'appartenenza alla destinazione durante il runtime

Potrebbero verificarsi situazioni in cui devi aggiungere o rimuovere mittenti di log da una destinazione da te posseduta. Puoi utilizzare le PutAccountPolicy azioni PutDestinationPolicye sulla tua destinazione con la nuova politica di accesso. Nell'esempio seguente, si impedisce a un account aggiunto in precedenza 111111111111 di inviare ulteriori dati di log, mentre l'account 333333333333 viene abilitato.

  1. Recupera la politica attualmente associata alla destinazione TestDestination e prendi nota di: AccessPolicy

    aws logs describe-destinations \
    --destination-name-prefix "testFirehoseDestination"

    I dati restituiti potrebbero avere questo aspetto.

    {
    "destinations": [
        {
            "destinationName": "testFirehoseDestination",
            "targetArn": "arn:aws:firehose:us-east-1:222222222222:deliverystream/my-delivery-stream",
            "roleArn": "arn:aws:iam:: 222222222222:role/CWLtoKinesisFirehoseRole",
            "accessPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Statement\" : [\n    {\n      \"Sid\" : \"\",\n      \"Effect\" : \"Allow\",\n      \"Principal\" : {\n        \"AWS\" : \"111111111111 \"\n      },\n      \"Action\" : \"logs:PutSubscriptionFilter\",\n      \"Resource\" : \"arn:aws:logs:us-east-1:222222222222:destination:testFirehoseDestination\"\n    }\n  ]\n}\n\n",
            "arn": "arn:aws:logs:us-east-1: 222222222222:destination:testFirehoseDestination",
            "creationTime": 1612256124430
        }
    ]
}

  2. Aggiorna la policy per riflettere che l'account 111111111111 è stoppato, mentre l'account 333333333333 viene abilitato. Inserisci questa politica nel file ~/ NewAccessPolicy .json:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "333333333333 "
      },
      "Action" : ["logs:PutSubscriptionFilter","logs:PutAccountPolicy"],
      "Resource" : "arn:aws:logs:us-east-1:222222222222:destination:testFirehoseDestination"
    }
  ]
}

  3. Usa il seguente comando per associare la politica definita nel NewAccessPolicyfile.json alla destinazione:

    aws logs put-destination-policy \
    --destination-name "testFirehoseDestination" \                                                                              
    --access-policy file://~/NewAccessPolicy.json

    Questo alla fine disabilita il log eventi dall'ID account 111111111111. I log eventi provenienti dall'ID account 333333333333 iniziano a fluire verso la destinazione non appena il proprietario dell'account 333333333333 crea un filtro di sottoscrizione.