本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 步驟 2:(僅限於使用組織時) 建立 IAM 角色 在上一節中,如果您藉由使用授予許可給帳戶 `111111111111` 所屬組織的存取政策來建立目的地,而不是將許可直接授予給帳戶 `111111111111`,則按照本節中的步驟進行。若否,則可跳至步驟 [步驟 4:建立訂閱篩選條件](CreateSubscriptionFilter.md)。 本節中的步驟會建立 IAM 角色,CloudWatch 可以代入該角色並驗證寄件者帳戶是否具有針對收件人目的地建立訂閱篩選條件的許可。 在寄件者帳戶中執行此區段中的步驟。角色必須存在於寄件者帳戶中,而且您要在訂閱篩選條件中指定此角色的 ARN。在此範例中,使用者帳戶為 `111111111111`。 **使用 建立跨帳戶日誌訂閱所需的 IAM 角色 AWS Organizations** 1. 在檔案 `/TrustPolicyForCWLSubscriptionFilter.json` 中建立下列信任政策。使用文字編輯器來建立此政策檔案,請勿使用 IAM 主控台。 ``` { "Statement": { "Effect": "Allow", "Principal": { "Service": "logs.amazonaws.com" }, "Action": "sts:AssumeRole" } } ``` 1. 建立使用此政策的 IAM 角色。記下命令傳回的 `Arn` 值,之後在此程序中會用到。在此範例中,我們使用 `CWLtoSubscriptionFilterRole` 作為要建立的角色的名稱。 ``` aws iam create-role \ --role-name CWLtoSubscriptionFilterRole \ --assume-role-policy-document file://~/TrustPolicyForCWLSubscriptionFilter.json ``` 1. 建立許可政策以定義 CloudWatch Logs 可在您的帳戶上執行的動作。 1. 首先,使用文字編輯器在名為 `~/PermissionsForCWLSubscriptionFilter.json` 的檔案中建立下列許可政策。 ``` { "Statement": [ { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:region:111111111111:log-group:LogGroupOnWhichSubscriptionFilterIsCreated:*" } ] } ``` 1. 輸入下列命令,將您剛建立的許可政策與您在步驟 2 中建立的角色相關聯。 ``` aws iam put-role-policy --role-name CWLtoSubscriptionFilterRole --policy-name Permissions-Policy-For-CWL-Subscription-filter --policy-document file://~/PermissionsForCWLSubscriptionFilter.json ``` 完成後,可以繼續進行 [步驟 4:建立訂閱篩選條件](CreateSubscriptionFilter.md)。