翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Kinesis データストリームを使用したクロスアカウントログデータ共有
クロスアカウントサブスクリプションを作成するときに、単一のアカウントまたは組織を送信者として指定できます。組織を指定した場合、この手順により組織内のすべてのアカウントがレシーバーアカウントにログを送信できるようになります。
複数のアカウントでログデータを共有するには、ログデータの送信者と受信者を確立する必要があります。
-
ログデータの送信者 — 受信者から送信先情報を取得し、指定した送信先にログイベントを送信する準備ができたことを CloudWatch Logs に通知します。このセクションの残りの手順では、ログデータの送信者に架空の AWS アカウント番号 111111111111 が表示されます。
1 つの組織で複数のアカウントを 1 つの受信者アカウントにログを送信する場合は、組織内のすべてのアカウントに対して受信者アカウントにログを送信するアクセス許可を付与するポリシーを作成することができます。引き続き、送信者アカウントごとに個別のサブスクリプションフィルターを設定する必要があります。
-
ログデータの受信者 — Kinesis Data Streams ストリームをカプセル化する送信先を設定し、受信者がログデータを受信したいことを CloudWatch Logs に通知します。この後、受信者は自分の送信先に関する情報を送信者と共有します。このセクションの残りの手順では、ログデータの受信者に架空の AWS アカウント番号 999999999999 が表示されます。
クロスアカウントユーザーからのログイベントの受信を開始するには、まずログデータの受信者が CloudWatch ログの送信先を作成します。各送信先は以下のキー要素で構成されています。
- 送信先名
-
作成する送信先の名前。
- ターゲット ARN
-
サブスクリプションフィードの送信先として使用するリソースの Amazon AWS リソースネーム (ARN)。
- ロールの ARN
-
選択したストリームにデータを置くために必要なアクセス許可を CloudWatch Logs に付与する AWS Identity and Access Management (IAM) ロール。
- アクセスポリシー
-
送信先に書き込むことが許可されている一連のユーザーを管理する IAM ポリシードキュメント (IAM ポリシー構文を使用して記述された JSON 形式のドキュメント)。
ロググループと送信先は同じ AWS リージョンにある必要があります。ただし、送信先が指す AWS リソースは、別のリージョンに配置することができます。次のセクションの例では、リージョン固有のリソースはすべて米国東部 (バージニア北部) で作成されます。
