ステップ 4: サブスクリプションフィルターを作成する

送信先を作成すると、ログデータ受信者アカウントは、送信先 ARN (arn:aws:logs:us-east-1:999999999999:destination:testDestination) を他の AWS アカウントと共有して、ログイベントを同じ送信先に送信できます。この後、これらの他の送信アカウントのユーザーは、この送信先に対するサブスクリプションフィルタをそれぞれのロググループに作成します。サブスクリプションフィルタは、特定のロググループから特定の送信先へのリアルタイムログデータの送信をすぐに開始します。

注記

サブスクリプションフィルターのアクセス許可を組織全体に付与する場合は、 で作成したIAMロールARNの を使用する必要がありますステップ 2: (組織を使用している場合のみ) IAMロールを作成する。

次の例では、送信アカウントにサブスクリプションフィルターが作成されます。フィルターは AWS CloudTrail イベントを含むロググループに関連付けられ、記録されたすべてのアクティビティが、 AWS 以前に作成した送信先に配信されます。この送信先はRecipientStream「」という名前のストリームをカプセル化します。

以下のセクションの残りのステップでは、 AWS CloudTrail ユーザーガイドの CloudWatch CloudTrail「ログへのイベントの送信」の指示に従って、 CloudTrail イベントを含むロググループを作成していることを前提としています。そのステップでは、ロググループに CloudTrail/logs という名前を付けることになっています。

次のコマンドを入力するときは、 でIAM、ユーザーとしてサインインしているか、ポリシーを追加したIAMロールを使用していることを確認してくださいステップ 3: クロスアカウント送信先のIAMアクセス許可を追加/検証する。

aws logs put-subscription-filter \
    --log-group-name "CloudTrail/logs" \
    --filter-name "RecipientStream" \
    --filter-pattern "{$.userIdentity.type = Root}" \
    --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"

ロググループと送信先は同じ AWS リージョンにある必要があります。ただし、送信先は、別のリージョンにある Kinesis Data Streams ストリームなどの AWS リソースを指すことができます。