기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
2단계: (조직을 사용하는 경우에만) IAM 역할 생성
이전 섹션에서 111111111111 계정이 속한 조직에 권한을 부여하는 액세스 정책을 사용하여 대상을 생성한 경우, 111111111111 계정에 직접 권한을 부여하는 대신 이 섹션의 단계를 따릅니다. 그렇지 않다면 3단계: 계정 수준 구독 필터 정책 생성 단계로 건너뛰어도 됩니다.
이 섹션의 단계에서는 CloudWatch가 수신자 대상에 대한 구독 필터를 생성할 수 있는 권한이 발신자 계정에 있는지 여부를 수임하고 검증할 수 있는 IAM 역할을 생성합니다.
발신자 계정에서 이 섹션의 단계를 수행합니다. 역할은 발신자 계정에 있어야 하며 구독 필터에서 이 역할의 ARN을 지정합니다. 이 예제에서 발신자 계정은 111111111111입니다.
AWS Organizations를 사용하여 교차 계정 로그 구독에 필요한 IAM 역할 생성
/TrustPolicyForCWLSubscriptionFilter.json파일에 다음 트러스트 정책을 생성합니다. 텍스트 편집기를 사용하여 이 정책 파일을 생성하고, IAM 콘솔은 사용하지 마세요.{ "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Action": "sts:AssumeRole" } }이 정책을 사용하는 IAM 역할을 생성합니다. 명령에 의해 반환되는
Arn값은 이 절차의 뒷부분에 필요하므로 메모해 둡니다. 이 예제에서 생성하는 역할의 이름으로는CWLtoSubscriptionFilterRole을 사용합니다.aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.jsonCloudWatch Logs가 계정에서 수행할 수 있는 작업을 정의하는 권한 정책을 생성합니다.
먼저 텍스트 편집기를 사용하여 다음 권한 정책을 이름이
~/PermissionsForCWLSubscriptionFilter.json인 파일로 생성합니다.{ "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] }다음 명령을 입력하여 방금 생성한 권한 정책을 2단계에서 생성한 역할에 연결합니다.
aws iam put-role-policy --role-name CWLtoSubscriptionFilterRole --policy-name Permissions-Policy-For-CWL-Subscription-filter --policy-document file://~/PermissionsForCWLSubscriptionFilter.json
작업을 마쳤으면 3단계: 계정 수준 구독 필터 정책 생성 단계로 넘어갑니다.
