3단계: 교차 계정 대상에 대한 IAM 권한 추가/검증 - Amazon CloudWatch Logs

3단계: 교차 계정 대상에 대한 IAM 권한 추가/검증

AWS 교차 계정 정책 평가 로직에 따르면 계정 간 리소스(예: 구독 필터 대상으로 사용되는 Kinesis 또는 Firehose 스트림)에 액세스하려면 계정 간 대상 리소스에 명시적으로 액세스할 수 있는 전송 계정에 ID 기반 정책이 있어야 합니다. 정책 평가 로직에 대한 자세한 내용은 교차 계정 정책 평가 로직을 참조하세요.

구독 필터를 생성하는 데 사용하는 IAM 역할 또는 IAM 사용자에게 자격 증명 기반 정책을 연결할 수 있습니다. 전송 계정에 이 정책이 있어야 합니다. 관리자 역할을 사용하여 구독 필터를 만드는 경우 이 단계를 건너뛰고 4단계: 구독 필터 생성로 넘어갈 수 있습니다.

교차 계정에 필요한 IAM 권한을 추가 또는 검증하려면

  1. 다음 명령을 입력하여 AWS 로그 명령을 실행하는 데 사용되는 IAM 역할 또는 IAM 사용자를 확인합니다.

    aws sts get-caller-identity

    이 명령은 다음과 비슷한 출력을 반환합니다.

    {
"UserId": "User ID",
"Account": "sending account id",
"Arn": "arn:aws:sending account id:role/user:RoleName/UserName"
}

    RoleName 또는 UserName으로 나타낸 값을 기록해 둡니다.

  2. 전송 계정의 AWS Management 콘솔에 로그인하고 1단계에서 입력한 명령의 출력에 반환된 IAM 역할 또는 IAM 사용자로 연결된 정책을 검색합니다.

  3. 이 역할 또는 사용자에게 연결된 정책이 교차 계정 대상 리소스에서 logs:PutSubscriptionFilter을 직접 호출할 수 있는 명시적 권한을 제공하는지 확인합니다.

    다음 정책은 단일 AWS 계정인 123456789012 계정에서만 모든 대상 리소스에 구독 필터를 만들 수 있는 권한을 제공합니다.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSubscriptionFiltersOnAnyResourceInOneSpecificAccount",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:*"
            ]
        }
    ]
}

    다음 정책은 단일 AWS 계정인 123456789012 계정에서 대상 리소스인 sampleDestination에 구독 필터를 만들 수 있는 권한을 제공합니다.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
        "Sid": "AllowSubscriptionFiltersOnSpecificResource",
            "Effect": "Allow",
            "Action": "logs:PutSubscriptionFilter",
            "Resource": [
                "arn:aws:logs:*:*:log-group:*",
                "arn:aws:logs:*:123456789012:destination:amzn-s3-demo-bucket"
            ]
        }
    ]
}