As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 2: atualizar a política de acesso ao destino existente
Depois de atualizar os filtros de assinatura em todas as contas de remetente, você poderá atualizar a política de acesso de destino na conta do destinatário.
Nos exemplos a seguir, a conta do destinatário é 999999999999
e o destino é chamado de testDestination
.
A atualização habilita todas as contas que fazem parte da organização com ID de o-1234567890
a enviar logs à conta destinatária. Somente as contas que tiverem filtros de assinatura criados enviarão logs para a conta do destinatário.
Atualizar a política de acesso de destino na conta do destinatário para começar a usar um ID de organização para permissões
Na conta destinatária, use um editor de texto para criar um arquivo
~/AccessPolicy.json
com o seguinte conteúdo.{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : "*", "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination", "Condition": { "StringEquals" : { "aws:PrincipalOrgID" : ["o-1234567890"] } } } ] }
Insira o seguinte comando para anexar a política que você acabou de criar ao destino existente. Para atualizar um destino para usar uma política de acesso com uma ID da organização em vez de uma política de acesso que lista uma AWS conta específicaIDs, inclua o
force
parâmetro.Atenção
Se você estiver trabalhando com registros enviados por um AWS serviço listado emHabilitar o registro a partir de AWS serviços, antes de executar essa etapa, você deve primeiro atualizar os filtros de assinatura em todas as contas do remetente, conforme explicado emEtapa 1: atualizar os filtros de assinatura.
aws logs put-destination-policy \ --destination-name "testDestination" \ --access-policy file://~/AccessPolicy.json \ --force