本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Kinesis 資料串流進行跨帳戶跨區域記錄資料共用
建立跨帳戶訂閱時,您可以指定單一帳戶或一個組織作為寄件者。如果您指定組織,則此程序會讓組織中的所有帳戶都能將日誌傳送至接收者帳戶。
若要跨帳戶共用日誌資料,您需要建立日誌資料寄件者和接收者:
-
記錄資料寄件者 — 從收件者取得目的地資訊,並讓 CloudWatch 記錄檔知道已準備好將記錄事件傳送至指定的目的地。在本節其餘部分的程序中,記錄資料傳送者會以虛構的方式顯示 AWS 十一一一一一一一一一 11 的帳戶號碼。
如果您要讓一個組織中的多個帳戶將日誌傳送至一個收件人帳戶,則可以建立一個政策,授予組織中所有帳戶將日誌傳送至收件人帳戶的許可。您仍然必須為每個寄件者帳戶設定個別的訂閱篩選條件。
-
記錄資料收件者 — 設定封裝 Kinesis Data Streams 串流的目的地,並讓 CloudWatch 記錄知道收件者想要接收記錄資料。然後,收件人接著會與寄件者共用與其目的地有關的資訊。在本節其餘部分的程序中,記錄資料收件者會以虛構的方式顯示 AWS 9999 的帳戶號碼。
若要開始接收跨帳戶使用者的記錄事件,記錄資料收件者會先建立 CloudWatch 記錄目的地。每個目的地包含以下關鍵元素:
- 目的地名稱
-
您要建立的目的地名稱。
- 目標 ARN
-
Amazon 資源名稱(ARN) AWS 您要用作訂閱摘要目的地的資源。
- 角色 ARN
-
同時 AWS Identity and Access Management (IAM)角色,授予 CloudWatch Log 將數據放入所選流的必要權限。
- 存取政策
-
一份IAM政策文件 (JSON格式,使用IAM策略文法撰寫),用於管理允許寫入目的地的使用者集。
注意
記錄群組和目的地必須位於相同 AWS 區域。然而, AWS 目標指向的資源可以位於不同的區域。在以下各節的範例中,區域特定的所有資源都在美國東部 (維吉尼亞北部) 建立。