尝试让中央帐户处理cloudwatch日志。 (跨帐户日志转发)
跟随https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateDestination.html
在完成步骤7a之后,在日志数据接收者帐户中, 将访问策略与目标关联。这项政策可以 日志数据发送者帐户(111111111111)以访问目标 在日志数据接收者帐户(999999999999)中。
有一个限制*不可能在Priciple AWS账户中定义。
如果多个帐户正在将日志发送到此目标,则每个发送者 该帐户必须在政策中单独列出。此政策不 支持将*指定为Principal或使用 aws:PrincipalOrgId全局密钥。
使用访问策略可以授予/附加多少个帐户是否有限制?
答案 0 :(得分:2)
使用resource policies for cloudwatch logs时,您的唯一限制是政策文件的最大长度为5120个字符。根据帐户的数量和组织的规模/成熟度,我建议配置aws organizations。对于AWS组织,您可以在资源策略中使用PrincipleOrgID条件键来授予组织中的任何帐户写入日志的权限。有关该策略的更多信息,请参见here。