本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 2:(仅在使用企业时)创建 IAM 角色
在上一节中,如果您使用向账户 111111111111
所在的企业授予权限的访问策略创建了目标,而不是直接向账户 111111111111
授予权限,则请按照本节中的步骤操作。否则,您可以跳至 步骤 4:创建订阅筛选条件。
本节中的步骤创建了 IAM 角色,CloudWatch 可以代入该角色,并验证发件人账户是否有权针对收件人目标创建订阅筛选条件。
在发送者账户中执行本节中的步骤。该角色必须存在于发送者账户中,并且您在订阅筛选器中指定该角色的 ARN。在此示例中,发送者账户为 111111111111
。
要使用 Amazon Organizations 为跨账户日志订阅创建所需的 IAM 角色
请在文件
/TrustPolicyForCWLSubscriptionFilter.json
中创建以下信任策略。使用文本编辑器创建此策略文件;请勿使用 IAM 控制台来创建。{ "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Action": "sts:AssumeRole" } }
创建一个使用此策略的 IAM 角色。记录该命令返回的
Arn
值,您需要在本过程的后续部分中使用该值。在此示例中,我们将CWLtoSubscriptionFilterRole
用作我们所创建角色的名称。aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
创建权限策略以定义 CloudWatch Logs 可对您的账户执行的操作。
首先,使用文本编辑器在名为
~/PermissionsForCWLSubscriptionFilter.json
的文件中创建以下权限策略。{ "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:
region
:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] }输入以下命令,以将刚创建的权限策略与您在步骤 2 中创建的角色相关联。
aws iam put-role-policy --role-name CWLtoSubscriptionFilterRole --policy-name Permissions-Policy-For-CWL-Subscription-filter --policy-document file://~/PermissionsForCWLSubscriptionFilter.json
完成后,您可以继续执行 步骤 4:创建订阅筛选条件。