Etapa 2: (Somente se estiver usando uma organização) Criar uma IAM função - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 2: (Somente se estiver usando uma organização) Criar uma IAM função

Na seção anterior, se você criou o destino usando uma política de acesso que concede permissões à organização em que está a conta 111111111111, em vez de conceder permissões diretamente para a conta 111111111111, siga as etapas nesta seção. Caso contrário, pule para Etapa 4: criar um filtro de assinatura.

As etapas desta seção criam uma IAM função, que CloudWatch pode assumir e validar se a conta do remetente tem permissão para criar um filtro de assinatura em relação ao destino do destinatário.

Siga as etapas nesta seção na conta do remetente. A função deve existir na conta do remetente e você especifica essa função no filtro ARN de assinatura. Neste exemplo, a conta de remetente é 111111111111.

Para criar a IAM função necessária para assinaturas de registro entre contas usando AWS Organizations

  1. Crie a seguinte política de confiança em um arquivo /TrustPolicyForCWLSubscriptionFilter.json. Use um editor de texto para criar esse arquivo de política; não use o IAM console.

    {
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}

  2. Crie a IAM função que usa essa política. Anote o valor Arn retornado pelo comando, pois você precisará dele posteriormente nesse procedimento. Neste exemplo, usamos CWLtoSubscriptionFilterRole como o nome da função que estamos criando.

    aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json

  3. Crie uma política de permissões para definir as ações que o CloudWatch Logs pode realizar na sua conta.

    1. Primeiro, use um editor de texto para criar a seguinte política de permissões em um arquivo chamado ~/PermissionsForCWLSubscriptionFilter.json.

      { 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

    2. Insira o seguinte comando para associar a política de permissões que você acabou de criar à função criada na etapa 2.

      aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Quando terminar, você pode prosseguir para Etapa 4: criar um filtro de assinatura.