本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Kinesis Data Streams 的跨账户跨区域账户级别订阅
创建跨账户订阅时,可以指定单个账户或企业作为发件人。如果指定企业,则此过程允许企业中的所有账户向接收方账户发送日志。
要跨账户共享日志数据,您需要建立日志数据发送者和接收者:
-
日志数据发送者-从收件人那里获取目标信息,并让 Lo CloudWatch gs 知道它已准备好将其日志事件发送到指定目标。在本节其余部分的步骤中,显示日志数据发送者的虚构 Amazon 账号为 111111111111。
如果您将在企业中设立多个账户向收件人账户发送日志,则可以创建策略,授予企业中的所有账户向收件人账户发送日志的权限。您仍然必须为每个发件人账户设置单独的订阅筛选条件。
-
日志数据接收者-设置封装 Kinesis Data Streams 流的目标,并 CloudWatch 让日志知道接收者想要接收日志数据。接收者随后与发送者共享与此目标有关的信息。在本节其余部分的步骤中,显示日志数据接收者的虚构 Amazon 账号为 999999999999。
要开始接收来自跨账户用户的日志事件,日志数据接收者首先创建 CloudWatch 日志目标。每个目标都包含以下键元素:
- 目标名称
-
您要创建的目标的名称。
- 目标 ARN
-
您要用作订阅 Feed 目标的 Amazon 资源的亚马逊资源名称 (ARN)。
- 角色 ARN
-
一个 Amazon Identity and Access Management (IAM) 角色,它向 CloudWatch Logs 授予将数据放入所选数据流的必要权限。
- 访问策略
-
一个 IAM policy 文档(采用 JSON 格式,使用 IAM policy 语法编写),用于管理有权对您的目标进行写入的用户组。
注意
日志组和目标必须位于同一 Amazon 区域。但是,目标指向的 Amazon 资源可位于不同的区域。在以下部分的示例中,所有特定于区域的资源都是在美国东部(弗吉尼亚北部)创建的。