在运行时修改目标成员资格 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在运行时修改目标成员资格

您可能遇到必须在您拥有的目标中添加或删除某些用户的成员资格的情况。您可通过新访问策略对您的目标使用 put-destination-policy 命令。在以下示例中,将阻止之前添加的账户 111111111111 再发送任何日志数据,并将启用账户 222222222222

  1. 获取当前与目标 TestDest ination 关联的策略并记下:AccessPolicy

    aws logs describe-destinations \
    --destination-name-prefix "testDestination"

{
 "Destinations": [
   {
     "DestinationName": "testDestination",
     "RoleArn": "arn:aws:iam::999999999999:role/CWLtoKinesisRole",
     "DestinationArn": "arn:aws:logs:region:999999999999:destination:testDestination",
     "TargetArn": "arn:aws:kinesis:region:999999999999:stream/RecipientStream",
     "AccessPolicy": "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Sid\": \"\", \"Effect\": \"Allow\", \"Principal\": {\"AWS\": \"111111111111\"}, \"Action\": \"logs:PutSubscriptionFilter\", \"Resource\": \"arn:aws:logs:region:999999999999:destination:testDestination\"}] }"
   }
 ]
}

  2. 更新该策略,以体现已阻止账户 111111111111,并且账户 222222222222 已启用。将此政策放入 ~/ NewAccessPolicy .json 文件中:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "222222222222"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:region:999999999999:destination:testDestination"
    }
  ]
}

  3. 调用PutDestinationPolicyNewAccessPolicy.json 文件中定义的策略与目标关联起来:

    aws logs put-destination-policy \
--destination-name "testDestination" \
--access-policy file://~/NewAccessPolicy.json

    这将最终禁用账户 ID 111111111111 中的日志事件。在账户 222222222222 的所有者创建订阅筛选条件后,账户 ID 222222222222 中的日志事件就会立即开始流向目标。