2단계: 기존 대상 액세스 정책 업데이트 - Amazon CloudWatch Logs

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

2단계: 기존 대상 액세스 정책 업데이트

모든 발신자 계정에서 구독 필터를 업데이트한 후, 수신자 계정에서 대상 액세스 정책을 업데이트할 수 있습니다.

다음 예제에서 수신자 계정은 999999999999이며 대상의 이름은 testDestination입니다.

업데이트를 통해 ID가 o-1234567890인 조직의 모든 계정이 수신자 계정으로 로그를 보낼 수 있습니다. 구독 필터가 생성된 계정만이 실제로 수신자 계정에 로그를 보냅니다.

수신자 계정의 대상 액세스 정책을 업데이트하여 권한에 대한 조직 ID 사용
  1. 수신자 계정에서 텍스트 편집기를 사용하여 다음 내용을 포함한 ~/AccessPolicy.json 파일을 생성합니다.

    { "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : "*", "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination", "Condition": { "StringEquals" : { "aws:PrincipalOrgID" : ["o-1234567890"] } } } ] }
  2. 다음 명령을 입력하여 방금 생성한 정책을 기존 대상에 연결합니다. 특정 AWS 계정 ID을 나열하는 액세스 정책 대신 조직 ID로 액세스 정책을 사용하도록 대상을 업데이트하려면 force 파라미터를 포함시킵니다.

    주의

    AWS 서비스에서 로깅 활성화에 나열된 AWS 서비스에서 전송한 로그로 작업하는 경우, 이 단계를 수행하기 전에 1단계: 구독 필터 업데이트에 설명된 대로 모든 발신자 계정에서 구독 필터를 먼저 업데이트해야 합니다.

    aws logs put-destination-policy \ --destination-name "testDestination" \ --access-policy file://~/AccessPolicy.json \ --force