2단계: 기존 대상 액세스 정책 업데이트 - 아마존 CloudWatch 로그

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

2단계: 기존 대상 액세스 정책 업데이트

모든 발신자 계정에서 구독 필터를 업데이트한 후, 수신자 계정에서 대상 액세스 정책을 업데이트할 수 있습니다.

다음 예제에서 수신자 계정은 999999999999이며 대상의 이름은 testDestination입니다.

업데이트를 통해 ID가 o-1234567890인 조직의 모든 계정이 수신자 계정으로 로그를 보낼 수 있습니다. 구독 필터가 생성된 계정만이 실제로 수신자 계정에 로그를 보냅니다.

수신자 계정의 대상 액세스 정책을 업데이트하여 권한에 대한 조직 ID 사용

  1. 수신자 계정에서 텍스트 편집기를 사용하여 다음 내용을 포함한 ~/AccessPolicy.json 파일을 생성합니다.

    { 
    "Version" : "2012-10-17", 
    "Statement" : [ 
        { 
            "Sid" : "", 
            "Effect" : "Allow",
            "Principal" : "*",
            "Action" : "logs:PutSubscriptionFilter", 
            "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination",
            "Condition": {
               "StringEquals" : {
                   "aws:PrincipalOrgID" : ["o-1234567890"]
                }
            }
        } 
    ] 
}

  2. 다음 명령을 입력하여 방금 생성한 정책을 기존 대상에 연결합니다. 특정 AWS 계정 ID을 나열하는 액세스 정책 대신 조직 ID로 액세스 정책을 사용하도록 대상을 업데이트하려면 force 파라미터를 포함시킵니다.

    주의

    에 나열된 AWS 서비스에서 전송한 로그로 작업하는 경우 이 단계를 수행하기 전에 먼저 에 설명된 대로 모든 발신자 계정의 구독 필터를 업데이트해야 합니다. AWS 서비스에서 로깅 활성화 1단계: 구독 필터 업데이트 

    aws logs put-destination-policy 
    \ --destination-name "testDestination" 
    \ --access-policy file://~/AccessPolicy.json
    \ --force