ステップ 2: IAM ロールを作成する (組織を使用している場合のみ) - Amazon CloudWatch Logs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: IAM ロールを作成する (組織を使用している場合のみ)

前のセクションで アカウント 111111111111 に直接アクセス許可を付与するのではなく、アカウント 111111111111 が属する組織にアクセス許可を付与するアクセスポリシーを使用することにより送信先を作成した場合は、このセクションのステップを実行します。それ以外の場合は、「ステップ 4: サブスクリプションフィルターを作成する」に進みます。

このセクションのステップでは、IAM ロールを作成します。これにより、送信者アカウントが受信者の送信先に対してサブスクリプションフィルターを作成するアクセス許可を持っているかどうかを引き受けて検証 CloudWatch できます。

このセクションの手順は、送信者アカウントで実行してください。ロールは送信者アカウントに存在する必要があり、このロールの ARN はサブスクリプションフィルターで指定します。この例では、送信者アカウントは 111111111111 です。

AWS Organizationsを使用してクロスアカウントのログサブスクリプションに必要な IAM ロールを作成する方法

  1. 以下の信頼ポリシーを作成し、/TrustPolicyForCWLSubscriptionFilter.json という名前のテキストファイルに保存します。このポリシーの作成にはテキストエディタを使用します。IAM コンソールは使用しないでください。

    {
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}

  2. このポリシーを使用する IAM ロールを作成します。下記のコマンドが返す Arn の値は後ほど必要になるため、書き留めておきます。この例では、作成するロールに CWLtoSubscriptionFilterRole という名前を付けます。

    aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json

  3. アクセス許可ポリシーを作成して、Logs CloudWatch がアカウントで実行できるアクションを定義します。

    1. まず、テキストエディタを使用して、~/PermissionsForCWLSubscriptionFilter.json という名前のファイルに以下のようなアクセス許可ポリシーを作成します。

      { 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

    2. 次のコマンドを入力して、先ほど作成したアクセス許可ポリシーを、ステップ 2 で作成したロールに関連付けます。

      aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

終了したら、「ステップ 4: サブスクリプションフィルターを作成する」に進みます。