aws 跨帐户创建日志组订阅到Opensearch的命令
要在AWS中跨账户创建日志组订阅到Opensearch,可以使用以下命令:
- 首先,使用以下命令在目标账户中创建一个IAM角色,该角色将用于允许源账户将日志发送到目标账户的Opensearch集群:
aws iam create-role --role-name <role_name> --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<source_account_id>:root"
},
"Action": "sts:AssumeRole"
}
]
}'
请将<role_name>替换为您希望创建的角色名称,并将<source_account_id>替换为源账户的AWS账户ID。
- 接下来,使用以下命令将必要的权限策略附加到该角色:
aws iam put-role-policy --role-name <role_name> --policy-name <policy_name> --policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpPost"
],
"Resource": "arn:aws:es:<region>:<target_account_id>:domain/<domain_name>/*"
}
]
}'
请将<role_name>替换为之前创建的角色名称,将<policy_name>替换为您希望创建的策略名称,将<region>替换为目标账户Opensearch集群所在的AWS区域,将<target_account_id>替换为目标账户的AWS账户ID,将<domain_name>替换为目标账户Opensearch集群的名称。
- 最后,在源账户中使用以下命令创建日志组订阅:
aws logs put-subscription-filter --log-group-name <log_group_name> --filter-name <filter_name> --filter-pattern "" --destination-arn "arn:aws:logs:<region>:<target_account_id>:destination:<destination_name>" --role-arn "arn:aws:iam::<target_account_id>:role/<role_name>"
请将<log_group_name>替换为您希望创建订阅的日志组名称,将<filter_name>替换为您希望创建的过滤器名称,将<region>替换为源账户中日志组所在的AWS区域,将<target_account_id>替换为目标账户的AWS账户ID,将<destination_name>替换为目标账户中创建的目标名称,将<role_name>替换为前面在目标账户中创建的IAM角色名称。
通过执行以上命令,您将能够在AWS中跨账户创建日志组订阅到Opensearch
原文地址: https://www.cveoy.top/t/topic/hML2 著作权归作者所有。请勿转载和采集!