Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Modifica dell'appartenenza alla destinazione durante il runtime
Potrebbero verificarsi situazioni in cui devi aggiungere o rimuovere mittenti di log da una destinazione da te posseduta. Puoi utilizzare l'PutDestinationPolicyazione sulla tua destinazione con una nuova politica di accesso. Nell'esempio seguente, si impedisce a un account aggiunto in precedenza 111111111111 di inviare ulteriori dati di log, mentre l'account 333333333333 viene abilitato.
-
Recupera la politica attualmente associata alla destinazione testDestinatione prendi nota di AccessPolicy:
aws logs describe-destinations \ --destination-name-prefix "testFirehoseDestination"
{ "destinations": [ { "destinationName": "testFirehoseDestination", "targetArn": "arn:aws:firehose:us-east-1:222222222222:deliverystream/my-delivery-stream", "roleArn": "arn:aws:iam:: 222222222222:role/CWLtoKinesisFirehoseRole", "accessPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Statement\" : [\n {\n \"Sid\" : \"\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"111111111111 \"\n },\n \"Action\" : \"logs:PutSubscriptionFilter\",\n \"Resource\" : \"arn:aws:logs:us-east-1:222222222222:destination:testFirehoseDestination\"\n }\n ]\n}\n\n", "arn": "arn:aws:logs:us-east-1: 222222222222:destination:testFirehoseDestination", "creationTime": 1612256124430 } ] } -
Aggiorna la policy per riflettere che l'account 111111111111 è stoppato, mentre l'account 333333333333 viene abilitato. Inserisci questa politica nel file ~/ NewAccessPolicy .json:
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : { "AWS" : "333333333333 " }, "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:us-east-1:222222222222:destination:testFirehoseDestination" } ] }
-
Usa il seguente comando per associare la politica definita nel NewAccessPolicyfile.json alla destinazione:
aws logs put-destination-policy \ --destination-name "testFirehoseDestination" \ --access-policy file://~/NewAccessPolicy.json
Questo alla fine disabilita il log eventi dall'ID account 111111111111. I log eventi provenienti dall'ID account 333333333333 iniziano a fluire verso la destinazione non appena il proprietario dell'account 333333333333 crea un filtro di sottoscrizione.