2단계: (조직을 사용하는 경우에만) IAM 역할 생성 - Amazon CloudWatch Logs

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

2단계: (조직을 사용하는 경우에만) IAM 역할 생성

이전 섹션에서 111111111111 계정이 속한 조직에 권한을 부여하는 액세스 정책을 사용하여 대상을 생성한 경우, 111111111111 계정에 직접 권한을 부여하는 대신 이 섹션의 단계를 따릅니다. 그렇지 않다면 3단계: 계정 수준 구독 필터 정책 생성 단계로 건너뛰어도 됩니다.

이 섹션의 단계에서는 CloudWatch가 수신자 대상에 대한 구독 필터를 생성할 수 있는 권한이 발신자 계정에 있는지 여부를 수임하고 검증할 수 있는 IAM 역할을 생성합니다.

발신자 계정에서 이 섹션의 단계를 수행합니다. 역할은 발신자 계정에 있어야 하며 구독 필터에서 이 역할의 ARN을 지정합니다. 이 예제에서 발신자 계정은 111111111111입니다.

AWS Organizations를 사용하여 교차 계정 로그 구독에 필요한 IAM 역할 생성
  1. /TrustPolicyForCWLSubscriptionFilter.json 파일에 다음 트러스트 정책을 생성합니다. 텍스트 편집기를 사용하여 이 정책 파일을 생성하고, IAM 콘솔은 사용하지 마세요.

    { "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Action": "sts:AssumeRole" } }
  2. 이 정책을 사용하는 IAM 역할을 생성합니다. 명령에 의해 반환되는 Arn 값은 이 절차의 뒷부분에 필요하므로 메모해 둡니다. 이 예제에서 생성하는 역할의 이름으로는 CWLtoSubscriptionFilterRole을 사용합니다.

    aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
  3. CloudWatch Logs가 계정에서 수행할 수 있는 작업을 정의하는 권한 정책을 생성합니다.

    1. 먼저 텍스트 편집기를 사용하여 다음 권한 정책을 이름이 ~/PermissionsForCWLSubscriptionFilter.json인 파일로 생성합니다.

      { "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] }
    2. 다음 명령을 입력하여 방금 생성한 권한 정책을 2단계에서 생성한 역할에 연결합니다.

      aws iam put-role-policy --role-name CWLtoSubscriptionFilterRole --policy-name Permissions-Policy-For-CWL-Subscription-filter --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

작업을 마쳤으면 3단계: 계정 수준 구독 필터 정책 생성 단계로 넘어갑니다.