翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 1: サブスクリプションフィルターを更新する
注記
この手順は、AWS サービスからのログ記録を有効にする に記載されているサービスによって作成されたログのクロスアカウントのサブスクリプションにのみ必要です。これらのロググループのいずれかで作成されたログを操作していない場合は、 ステップ 2: 既存の送信先アクセスポリシーを更新する にスキップできます。
場合によっては、送信先アカウントにログを送信する、すべての送信者アカウントのサブスクリプションフィルターを更新する必要があります。この更新では、IAM ロールが追加されます。これにより、送信者アカウントが受信者アカウントにログを送信するアクセス許可を持っていることを引き受け、検証 CloudWatch できます。
すべての送信者アカウントについてクロスアカウントサブスクリプションのアクセス許可に組織 ID を使用するように更新するには、このセクションのステップを実施します。
このセクションの例では、2 つのアカウント 111111111111
と 222222222222
は、アカウント 999999999999
にログを送信するために作成されたサブスクリプションフィルターをすでに持っています。既存のサブスクリプションフィルター値は次のとおりです。
## Existing Subscription Filter parameter values \ --log-group-name "my-log-group-name" \ --filter-name "RecipientStream" \ --filter-pattern "{$.userIdentity.type = Root}" \ --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination"
現在のサブスクリプションフィルターパラメータ値を見つける必要がある場合は、次のコマンドを入力します。
aws logs describe-subscription-filters \ --log-group-name "
my-log-group-name
"
サブスクリプションフィルターを更新して、クロスアカウントログの権限で組織 ID の使用をスタートする方法
以下の信頼ポリシーを作成し、
~/TrustPolicyForCWL.json
という名前のテキストファイルに保存します。このポリシーの作成にはテキストエディタを使用します。IAM コンソールは使用しないでください。{ "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Action": "sts:AssumeRole" } }
このポリシーを使用する IAM ロールを作成します。下記のコマンドが返す
Arn
値のArn
の値は後ほど必要になるため、書き留めておきます。この例では、作成するロールにCWLtoSubscriptionFilterRole
という名前を付けます。aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWL.json
アクセス許可ポリシーを作成して、Logs CloudWatch がアカウントで実行できるアクションを定義します。
まず、テキストエディタを使用して、
/PermissionsForCWLSubscriptionFilter.json
という名前のファイルに以下のようなアクセス許可ポリシーを作成します。{ "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] }
次のコマンドを入力して、先ほど作成したアクセス許可ポリシーを、ステップ 2 で作成したロールに関連付けます。
aws iam put-role-policy --role-name CWLtoSubscriptionFilterRole --policy-name Permissions-Policy-For-CWL-Subscription-filter --policy-document file://~/PermissionsForCWLSubscriptionFilter.json
次のコマンドを入力して、サブスクリプションフィルターを更新します。
aws logs put-subscription-filter \ --log-group-name "my-log-group-name" \ --filter-name "RecipientStream" \ --filter-pattern "{$.userIdentity.type = Root}" \ --destination-arn "arn:aws:logs:region:999999999999:destination:testDestination" \ --role-arn "arn:aws:iam::111111111111:role/CWLtoSubscriptionFilterRole"