Etapa 3: adicionar/validar as permissões do IAM para o destino entre contas

De acordo com a lógica de avaliação de políticas AWS entre contas, para acessar qualquer recurso entre contas (como um stream do Kinesis ou Firehose usado como destino para um filtro de assinatura), você deve ter uma política baseada em identidade na conta de envio que forneça acesso explícito ao recurso de destino entre contas. Para obter mais informações sobre a lógica de avaliação de política, consulte Lógica de avaliação de política entre contas.

Você pode associar a política baseada em identidade ao perfil do IAM ou ao usuário do IAM que você está usando para criar o filtro de assinatura. Essa política deve estar presente na conta de envio. Se você estiver usando a função de administrador para criar o filtro de assinatura, poderá ignorar esta etapa e prosseguir para Etapa 4: criar um filtro de assinatura.

Para adicionar ou validar as permissões do IAM necessárias entre contas

Insira o comando a seguir para verificar qual perfil do IAM ou usuário do IAM está sendo usado para executar comandos de log da AWS .
```
aws sts get-caller-identity
```
Esse comando retorna uma saída semelhante à seguinte:
```
{
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}
```
Anote o valor representado por RoleNameou UserName.
Faça login AWS Management Console na conta de envio e pesquise as políticas anexadas com a função do IAM ou o usuário do IAM retornado na saída do comando inserido na etapa 1.

Verifique se as políticas vinculadas a esse perfil ou usuário fornecem permissões explícitas para chamar logs:PutSubscriptionFilter no recurso de destino entre contas. O exemplo de políticas a seguir mostra as permissões recomendadas.

A política a seguir fornece permissões para criar um filtro de assinatura em qualquer recurso de destino somente em uma única AWS conta, conta123456789012:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on any resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

A política a seguir fornece permissões para criar um filtro de assinatura somente em um recurso de destino específico chamado sampleDestination em uma única AWS conta, conta123456789012:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow subscription filters on one specific resource in one specific account",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:sampleDestination"
            ]
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 2: (somente se estiver usando uma organização) Crie uma função do IAM.

Etapa 4: criar um filtro de assinatura