使用 Kinesis Data Streams 进行跨账户日志数据共享 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Kinesis Data Streams 进行跨账户日志数据共享

创建跨账户订阅时,可以指定单个账户或企业作为发件人。如果指定企业,则此过程允许企业中的所有账户向接收方账户发送日志。

要跨账户共享日志数据,您需要建立日志数据发送者和接收者:

  • 日志数据发送者-从收件人那里获取目标信息,并让 Lo CloudWatch gs 知道它已准备好将其日志事件发送到指定目标。在本节其余部分的步骤中,显示日志数据发送者的虚构 Amazon 账号为 111111111111。

    如果您将在企业中设立多个账户向收件人账户发送日志,则可以创建策略,授予企业中的所有账户向收件人账户发送日志的权限。您仍然必须为每个发件人账户设置单独的订阅筛选条件。

  • 日志数据接收者-设置封装 Kinesis Data Streams 流的目标,并 CloudWatch 让日志知道接收者想要接收日志数据。接收者随后与发送者共享与此目标有关的信息。在本节其余部分的步骤中,显示日志数据接收者的虚构 Amazon 账号为 999999999999。

要开始接收来自跨账户用户的日志事件,日志数据接收者首先创建 CloudWatch 日志目标。每个目标都包含以下键元素:

目标名称

您要创建的目标的名称。

目标 ARN

您要用作订阅 Feed 目标的 Amazon 资源的亚马逊资源名称 (ARN)。

角色 ARN

一个 Amazon Identity and Access Management (IAM) 角色,它向 CloudWatch Logs 授予将数据放入所选数据流的必要权限。

访问策略

一个 IAM policy 文档(采用 JSON 格式,使用 IAM policy 语法编写),用于管理有权对您的目标进行写入的用户组。

日志组和目标必须位于同一 Amazon 区域。但是,目标指向的 Amazon 资源可位于不同的区域。在以下部分的示例中,所有特定于区域的资源都是在美国东部(弗吉尼亚北部)创建的。