Сколько учетных записей может отправлять события Cloudwatch в AWS место назначения журналов?

Question

Попытка получить центральную учетную запись, обрабатывающую журналы облачного наблюдения. (Пересылка журналов между учетными записями)

После https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateDestination.html

После завершения шага 7a в учетной записи получателя данных журнала свяжите политику доступа с место назначения. Эта политика позволяет учетной записи отправителя данных журнала (111111111111) получить доступ к месту назначения в учетной записи получателя данных журнала (999999999999).

Существует ограничение * невозможно определить в Priciple AWS учетные записи.

Если несколько учетных записей отправляют журналы в это место назначения, каждая учетная запись отправителя должна быть указана отдельно в политике. Эта политика не поддерживает указание * в качестве Принципала или использование глобального ключа aws: PrincipalOrgId.

Есть ли какие-либо ограничения на количество учетных записей, которые могут быть предоставлены / присоединены с использованием доступа политика?

Answer 1

С политиками ресурсов для журналов cloudwatch ваше единственное ограничение - максимальная длина документа политики 5120 символов. В зависимости от количества учетных записей и размера / зрелости вашей организации я бы рекомендовал настроить aws организаций . В организациях aws вы можете использовать ключ условия PrincipOrgID в политике ресурсов, чтобы предоставить любой учетной записи в вашей организации разрешения на запись журналов. Более подробную информацию об этой стратегии можно найти здесь .