步驟 2:更新現有的目的地存取政策 - Amazon CloudWatch 日誌

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:更新現有的目的地存取政策

更新所有寄件者帳戶中的訂閱篩選條件之後,您可以更新收件人帳戶中的目的地存取政策。

下列範例中,收件人帳戶為 999999999999,且目的地名稱為 testDestination

此更新可讓屬於組織且 ID 為 o-1234567890 的所有帳戶傳送日誌至收件人帳戶。只有已建立訂閱篩選條件的帳戶才會真的傳送日誌至收件人帳戶。

更新收件人帳戶中的目的地存取政策,以開始將組織 ID 用於許可

  1. 在收件人帳戶中,使用文字編輯器建立 ~/AccessPolicy.json 檔案,其中包含以下內容。

    { 
    "Version" : "2012-10-17", 
    "Statement" : [ 
        { 
            "Sid" : "", 
            "Effect" : "Allow",
            "Principal" : "*",
            "Action" : "logs:PutSubscriptionFilter", 
            "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination",
            "Condition": {
               "StringEquals" : {
                   "aws:PrincipalOrgID" : ["o-1234567890"]
                }
            }
        } 
    ] 
}

  2. 輸入下列命令,將您剛建立的政策連接到現有的目的地。若要更新目的地,以使用具有組織 ID 的存取政策,而不是列出特定 AWS 帳戶 ID 的存取政策,則應包含 force 參數。

    警告

    如果您正在使用中列出的 AWS 服務傳送的記錄檔啟用來自 AWS 服務的記錄,則在執行此步驟之前,您必須先更新所有寄件者帳戶中的訂閱篩選器,如中所述步驟 1:更新訂閱篩選條件

    aws logs put-destination-policy 
    \ --destination-name "testDestination" 
    \ --access-policy file://~/AccessPolicy.json
    \ --force