Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Passaggio 3: Crea una politica di filtro degli abbonamenti a livello di account Una volta creata una destinazione, l'account del destinatario dei dati di log può condividere l'ARN di destinazione (arn:aws:logs:us-east-1:999999999999:destination:testDestination) con altri account AWS , perché questi possano inviare eventi di log alla stessa destinazione. Tali utenti di questi account di invio possono creare un filtro di sottoscrizione sui rispettivi gruppi di log sulla destinazione. Il filtro di sottoscrizione avvia immediatamente il flusso di dati di log in tempo reale dal gruppo di log selezionato alla destinazione specificata. **Nota** Se stai concedendo le autorizzazioni per il filtro di sottoscrizione a un'intera organizzazione, dovrai utilizzare l'ARN del ruolo IAM che hai creato in [Fase 2: creazione di un ruolo IAM (solo se si utilizza un'organizzazione)](CreateSubscriptionFilter-IAMrole-Account.md). Nell'esempio seguente, in un account di invio viene creato un criterio di filtro di sottoscrizione a livello di account. Il filtro è associato all'account mittente in `111111111111` modo che ogni evento di registro che corrisponde al filtro e ai criteri di selezione venga inviato alla destinazione creata in precedenza. Tale destinazione incapsula un flusso chiamato "». RecipientStream Il `selection-criteria` campo è facoltativo, ma è importante per escludere i gruppi di log che possono causare una ricorsione infinita dei log da un filtro di sottoscrizione. Per ulteriori informazioni su questo problema e per determinare quali gruppi di log escludere, vedere. [Registra la prevenzione della ricorsione](Subscriptions-recursion-prevention.md) Attualmente, NOT IN è l'unico operatore supportato per`selection-criteria`. ``` aws logs put-account-policy \ --policy-name "CrossAccountStreamsExamplePolicy" \ --policy-type "SUBSCRIPTION_FILTER_POLICY" \ --policy-document '{"DestinationArn":"arn:aws:logs:region:999999999999:destination:testDestination", "FilterPattern": "", "Distribution": "Random"}' \ --selection-criteria 'LogGroupName NOT IN ["LogGroupToExclude1", "LogGroupToExclude2"]' \ --scope "ALL" ``` I gruppi di log dell'account mittente e la destinazione devono trovarsi nella stessa AWS regione. Tuttavia, la destinazione può puntare a una AWS risorsa come un flusso Amazon Kinesis Data Streams che si trova in una regione diversa.