本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在运行时修改目标成员资格 您可能遇到必须在您拥有的目标中添加或删除某些用户的成员资格的情况。您可通过新访问策略对您的目标使用 `put-destination-policy` 命令。在以下示例中,将阻止之前添加的账户 **111111111111** 再发送任何日志数据,并将启用账户 **222222222222**。 1. 获取当前与目标 **TestDest** ination 关联的策略并记下:**AccessPolicy** ``` aws logs describe-destinations \ --destination-name-prefix "testDestination" { "Destinations": [ { "DestinationName": "testDestination", "RoleArn": "arn:aws:iam::999999999999:role/CWLtoKinesisRole", "DestinationArn": "arn:aws:logs:region:999999999999:destination:testDestination", "TargetArn": "arn:aws:kinesis:region:999999999999:stream/RecipientStream", "AccessPolicy": "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Sid\": \"\", \"Effect\": \"Allow\", \"Principal\": {\"AWS\": \"111111111111\"}, \"Action\": \"logs:PutSubscriptionFilter\", \"Resource\": \"arn:aws:logs:region:999999999999:destination:testDestination\"}] }" } ] } ``` 1. 更新该策略,以体现已阻止账户 **111111111111**,并且账户 **222222222222** 已启用。将此政策放入 **\$1/ NewAccessPolicy .json 文件**中: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "222222222222" }, "Action": [ "logs:PutSubscriptionFilter", "logs:PutAccountPolicy" ], "Resource": "arn:aws:logs:us-east-1:999999999999:destination:testDestination" } ] } ``` ------ 1. 调用**PutDestinationPolicy**将 **NewAccessPolicy.json** 文件中定义的策略与目标关联起来: ``` aws logs put-destination-policy \ --destination-name "testDestination" \ --access-policy file://~/NewAccessPolicy.json ``` 这将最终禁用账户 ID **111111111111** 中的日志事件。在账户 **222222222222** 的所有者创建订阅筛选条件后,账户 ID **222222222222** 中的日志事件就会立即开始流向目标。