使用 Kinesis 进行跨账户日志数据共享 - Amazon CloudWatch Logs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Kinesis 进行跨账户日志数据共享

创建跨账户订阅时,可以指定单个账户或企业作为发件人。如果指定企业,则此过程允许企业中的所有账户向接收方账户发送日志。

要跨账户共享日志数据,您需要建立日志数据发送者和接收者:

  • Log data sender(日志数据发件人)– 从收件人处获取目标信息并告知 CloudWatch Logs 发件人已准备好将其录入事件发送到指定目标。在本部分其余程序中,日志数据发送者显示为虚构的Amazon账号 111111111111。

    如果您将在企业中设立多个账户向收件人账户发送日志,则可以创建策略,授予企业中的所有账户向收件人账户发送日志的权限。您仍然必须为每个发件人账户设置单独的订阅筛选条件。

  • 日志数据接收者 – 设置一个封装 Kinesis 流的目标,并告知 CloudWatch Logs 接收者希望接收日志数据。接收者随后与发送者共享与此目标有关的信息。在本部分其余程序中,日志数据接收者显示为虚构的Amazon账号 999999999999。

要开始接收来自跨账户用户的日志事件,日志数据接收者应首先创建一个 CloudWatch Logs 目标。每个目标都包含以下键元素:

目标名称

您要创建的目标的名称。

目标 ARN

您要用作订阅源目标的Amazon资源的 Amazon Resource Name (ARN)。

角色 ARN

一个 Amazon Identity and Access Management (IAM) 角色,用于向 CloudWatch Logs 授予将数据放入所选 Kinesis 流所需的必要权限。

访问策略

一个 IAM 策略文档(采用 JSON 格式,使用 IAM 策略语法编写),用于管理有权对您的目标进行写入的用户组。

日志组和目标必须位于同一Amazon区域内。但是,目标指向的Amazon资源可位于不同的区域。在以下部分的示例中,所有特定于区域的资源都是在美国东部(弗吉尼亚北部)创建的。