本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 步骤 2：（仅在使用企业时）创建 IAM 角色
<a name="CreateSubscriptionFilter-IAMrole"></a>

在上一节中，如果您使用向账户 `111111111111` 所在的企业授予权限的访问策略创建了目标，而不是直接向账户 `111111111111` 授予权限，则请按照本节中的步骤操作。否则，您可以跳至 [步骤 4：创建订阅筛选条件](CreateSubscriptionFilter.md)。

本节中的步骤创建一个 IAM 角色，该角色 CloudWatch 可以假设和验证发件人账户是否有权针对收件人目的地创建订阅筛选条件。

在发送者账户中执行本节中的步骤。该角色必须存在于发送者账户中，并且您在订阅筛选器中指定该角色的 ARN。在此示例中，发送者账户为 `111111111111`。

**要创建跨账户日志订阅所需的 IAM 角色，请使用 AWS Organizations**

1. 请在文件 `/TrustPolicyForCWLSubscriptionFilter.json` 中创建以下信任策略。使用文本编辑器创建此策略文件；请勿使用 IAM 控制台来创建。

   ```
   {
     "Statement": {
       "Effect": "Allow",
       "Principal": { "Service": "logs.amazonaws.com" },
       "Action": "sts:AssumeRole"
     }
   }
   ```

1. 创建一个使用此策略的 IAM 角色。记录该命令返回的 `Arn` 值，您需要在本过程的后续部分中使用该值。在此示例中，我们将 `CWLtoSubscriptionFilterRole` 用作我们所创建角色的名称。

   ```
   aws iam create-role \ 
        --role-name CWLtoSubscriptionFilterRole \ 
        --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json
   ```

1. 创建权限策略以定义 CloudWatch Logs 可以对您的账户执行的操作。

   1. 首先，使用文本编辑器在名为 `~/PermissionsForCWLSubscriptionFilter.json` 的文件中创建以下权限策略。

      ```
      { 
          "Statement": [ 
              { 
                  "Effect": "Allow", 
                  "Action": "logs:PutLogEvents", 
                  "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" 
              } 
          ] 
      }
      ```

   1. 输入以下命令，以将刚创建的权限策略与您在步骤 2 中创建的角色相关联。

      ```
      aws iam put-role-policy  
          --role-name CWLtoSubscriptionFilterRole  
          --policy-name Permissions-Policy-For-CWL-Subscription-filter 
          --policy-document file://~/PermissionsForCWLSubscriptionFilter.json
      ```

完成后，您可以继续执行 [步骤 4：创建订阅筛选条件](CreateSubscriptionFilter.md)。