本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 2：更新現有的目的地存取政策
<a name="Cross-Account-Log_Subscription-Update-policy"></a>

更新所有寄件者帳戶中的訂閱篩選條件之後，您可以更新收件人帳戶中的目的地存取政策。

下列範例中，收件人帳戶為 `999999999999`，且目的地名稱為 `testDestination`。

此更新可讓屬於組織且 ID 為 `o-1234567890` 的所有帳戶傳送日誌至收件人帳戶。只有已建立訂閱篩選條件的帳戶才會真的傳送日誌至收件人帳戶。

**更新收件人帳戶中的目的地存取政策，以開始將組織 ID 用於許可**

1. 在收件人帳戶中，使用文字編輯器建立 `~/AccessPolicy.json` 檔案，其中包含以下內容。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Principal": "*",
               "Action": "logs:PutSubscriptionFilter",
               "Resource": "arn:aws:logs:us-east-1:999999999999:destination:testDestination",
               "Condition": {
                   "StringEquals": {
                       "aws:PrincipalOrgID": [
                           "o-1234567890"
                       ]
                   }
               }
           }
       ]
   }
   ```

------

1. 輸入下列命令，將您剛建立的政策連接到現有的目的地。若要更新目的地以使用具有組織 ID 的存取政策，而非列出特定 AWS 帳戶 IDs的存取政策，請包含 `force` 參數。
**警告**  
如果您使用 中列出的 AWS 服務傳送的日誌[從 AWS 服務啟用記錄](AWS-logs-and-resource-policy.md)，則在執行此步驟之前，您必須先更新所有寄件者帳戶中的訂閱篩選條件，如 中所述[步驟 1：更新訂閱篩選條件](Cross-Account-Log_Subscription-Update-filter.md)。

   ```
   aws logs put-destination-policy 
       \ --destination-name "testDestination" 
       \ --access-policy file://~/AccessPolicy.json
       \ --force
   ```