Paso 2: (solo si se utiliza una organización) crear un rol de IAM - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 2: (solo si se utiliza una organización) crear un rol de IAM

En la sección anterior, si ha creado el destino mediante una política de acceso que otorga permisos a la organización en la que está esa cuenta 111111111111, en lugar de conceder permisos directamente a la cuenta 111111111111, siga los pasos de esta sección. De lo contrario, puede ir directamente a Paso 4: crear un filtro de suscripción.

Los pasos de esta sección crean un rol de IAM, que CloudWatch puede asumir y validar si la cuenta del remitente tiene permiso para crear un filtro de suscripción para el destino del destinatario.

Realice los pasos de esta sección en la cuenta del remitente. El rol debe existir en la cuenta del remitente y usted especifica el ARN de este rol en el filtro de suscripción. En este ejemplo, la cuenta del remitente es 111111111111.

Para crear la función de IAM necesaria para las suscripciones de registros multicuenta, utilice AWS Organizations

  1. Cree la siguiente política de confianza en un archivo /TrustPolicyForCWLSubscriptionFilter.json. Utilice un editor de texto para crear este archivo de política; no utilice la consola de IAM.

    {
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "logs.amazonaws.com" },
    "Action": "sts:AssumeRole"
  }
}

  2. Cree un rol de IAM que utilice la política. Anote el valor Arn que devuelve el comando, ya que lo necesitará más tarde en este procedimiento. En este ejemplo, usaremos CWLtoSubscriptionFilterRole para el nombre del rol que estamos creando.

    aws iam create-role \ 
     --role-name CWLtoSubscriptionFilterRole \ 
     --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json

  3. Cree una política de permisos para definir las acciones que CloudWatch Logs puede realizar en su cuenta.

    1. En primer lugar, utilice un editor de texto para crear la siguiente política de permisos en un archivo denominado: ~/PermissionsForCWLSubscriptionFilter.json.

      { 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "logs:PutLogEvents", 
            "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
        } 
    ] 
}

    2. Ingrese el siguiente comando para asociar la política de permisos que acaba de crear con el rol que creó en el paso 2.

      aws iam put-role-policy  
    --role-name CWLtoSubscriptionFilterRole  
    --policy-name Permissions-Policy-For-CWL-Subscription-filter 
    --policy-document file://~/PermissionsForCWLSubscriptionFilter.json

Cuando haya terminado, puede proceder a Paso 4: crear un filtro de suscripción.