翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Kinesis Data Streams を使用したクロスアカウントクロスリージョンログデータ共有
クロスアカウントサブスクリプションを作成するときに、単一のアカウントまたは組織を送信者として指定できます。組織を指定した場合、この手順により組織内のすべてのアカウントがレシーバーアカウントにログを送信できるようになります。
複数のアカウントでログデータを共有するには、ログデータの送信者と受信者を確立する必要があります。
-
ログデータ送信者 — 受信者から送信先情報を取得し、ログイベントを指定された送信先に送信する準備ができていることを CloudWatch ログに知らせます。このセクションの残りの手順では、ログデータ送信者が架空の AWS アカウント番号 111111111111 で表示されます。
1 つの組織で複数のアカウントを 1 つの受信者アカウントにログを送信する場合は、組織内のすべてのアカウントに対して受信者アカウントにログを送信するアクセス許可を付与するポリシーを作成することができます。引き続き、送信者アカウントごとに個別のサブスクリプションフィルターを設定する必要があります。
-
ログデータ受信者 — Kinesis Data Streams ストリームをカプセル化する送信先を設定し、受信者がログデータを受信したいことを CloudWatch Logs に通知します。この後、受信者は自分の送信先に関する情報を送信者と共有します。このセクションの残りの手順では、ログデータ受信者が架空の AWS アカウント番号 999999999999 で表示されます。
クロスアカウントユーザーからログイベントの受信を開始するには、まずログデータ受信者が CloudWatch ログ送信先を作成します。各送信先は以下のキー要素で構成されています。
- 送信先名
-
作成する送信先の名前。
- ターゲット ARN
-
サブスクリプションフィードの送信先として使用する AWS リソースの Amazon リソースネーム (ARN)。
- ロール ARN
-
選択したストリームにデータを配置するために必要なアクセス許可を CloudWatch ログに付与する AWS Identity and Access Management (IAM) ロール。
- アクセスポリシー
-
送信先への書き込みが許可されているユーザーのセットを管理するIAMポリシードキュメント (JSON形式、IAMポリシー文法を使用して記述)。
注記
ロググループと送信先は同じ AWS リージョンにある必要があります。ただし、送信先が指す AWS リソースは、別のリージョンに配置することができます。次のセクションの例では、リージョン固有のリソースはすべて米国東部 (バージニア北部) で作成されます。
