aws 创建跨帐户订阅日志组到Opensearch的命令

您可以使用以下命令在AWS中创建一个跨帐户订阅日志组到OpenSearch：

首先，您需要在源账户中创建一个日志组，并将其订阅到OpenSearch。使用以下命令：

aws logs create-log-group --log-group-name <log-group-name> --tags Key=Name,Value=<log-group-name>
aws logs put-subscription-filter --log-group-name <log-group-name> --filter-name <filter-name> --filter-pattern "" --destination-arn <destination-arn>

其中，<log-group-name> 是您要创建的日志组的名称，<filter-name> 是您要创建的过滤器的名称，<destination-arn> 是OpenSearch的目标ARN。

接下来，您需要在目标账户中创建一个IAM角色，用于允许源账户将日志发送到OpenSearch。使用以下命令：

aws iam create-role --role-name <role-name> --assume-role-policy-document file://trust-policy.json
aws iam attach-role-policy --role-name <role-name> --policy-arn arn:aws:iam::aws:policy/service-role/AmazonESReadOnlyAccess

其中，<role-name> 是您要创建的IAM角色的名称。您需要在trust-policy.json 文件中定义信任策略，使源账户可以假装成目标账户。示例信任策略如下：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<source-account-id>:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

请将 <source-account-id> 替换为源账户的ID。

最后，在源账户中创建一个跨账户订阅过滤器，将日志发送到OpenSearch。使用以下命令：

aws logs put-subscription-filter --log-group-name <log-group-name> --filter-name <filter-name> --destination-arn <destination-arn> --role-arn <role-arn>

其中，<log-group-name> 是您之前创建的日志组的名称，<filter-name> 是过滤器的名称，<destination-arn> 是OpenSearch的目标ARN，<role-arn> 是之前在目标账户中创建的IAM角色的ARN。

通过执行这些命令，您将在AWS中创建一个跨账户订阅日志组到OpenSearch的配置