기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
3단계: 교차 계정 대상에 대한 IAM 권한 추가/검증
AWS 교차 계정 정책 평가 로직에 따르면 계정 간 리소스(예: 구독 필터 대상으로 사용되는 Kinesis 또는 Firehose 스트림)에 액세스하려면 계정 간 대상 리소스에 명시적으로 액세스할 수 있는 전송 계정에 ID 기반 정책이 있어야 합니다. 정책 평가 로직에 대한 자세한 내용은 교차 계정 정책 평가 로직을 참조하세요.
구독 필터를 생성하는 데 사용하는 IAM 역할 또는 IAM 사용자에게 자격 증명 기반 정책을 연결할 수 있습니다. 전송 계정에 이 정책이 있어야 합니다. 관리자 역할을 사용하여 구독 필터를 만드는 경우 이 단계를 건너뛰고 4단계: 구독 필터 생성(으)로 넘어갈 수 있습니다.
교차 계정에 필요한 IAM 권한을 추가 또는 검증하려면
다음 명령을 입력하여 AWS 로그 명령을 실행하는 데 사용되는 IAM 역할 또는 IAM 사용자를 확인합니다.
aws sts get-caller-identity
이 명령은 다음과 비슷한 출력을 반환합니다.
{ "UserId": "
User ID
", "Account": "sending account id
", "Arn": "arn:aws:sending account id
:role/user:RoleName/UserName
" }RoleName
또는UserName
으로 나타낸 값을 기록해 둡니다.전송 계정의 AWS Management Console에 로그인하고 1단계에서 입력한 명령의 출력에 반환된 IAM 역할 또는 IAM 사용자로 연결된 정책을 검색합니다.
이 역할 또는 사용자에게 연결된 정책이 교차 계정 대상 리소스에서
logs:PutSubscriptionFilter
를 호출할 수 있는 명시적 권한을 제공하는지 확인하세요. 다음 정책 예는 권장 권한을 보여 줍니다.다음 정책은 단일 AWS 계정인
123456789012
계정에서만 모든 대상 리소스에 구독 필터를 만들 수 있는 권한을 제공합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow subscription filters on any resource in one specific account", "Effect": "Allow", "Action": "logs:PutSubscriptionFilter", "Resource": [ "arn:aws:logs:*:*:log-group:*", "arn:aws:logs:*:123456789012:destination:*" ] } ] }
다음 정책은 단일 AWS 계정인
123456789012
계정에서 대상 리소스인sampleDestination
에 구독 필터를 만들 수 있는 권한을 제공합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow subscription filters on one specific resource in one specific account", "Effect": "Allow", "Action": "logs:PutSubscriptionFilter", "Resource": [ "arn:aws:logs:*:*:log-group:*", "arn:aws:logs:*:123456789012:destination:sampleDestination" ] } ] }