기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 3단계: 교차 계정 대상에 대한 IAM 권한 추가/검증 AWS 교차 계정 정책 평가 로직에 따라 교차 계정 리소스(예: 구독 필터의 대상으로 사용되는 Kinesis 또는 Firehose 스트림)에 액세스하려면 전송 계정에 교차 계정 대상 리소스에 대한 명시적 액세스를 제공하는 자격 증명 기반 정책이 있어야 합니다. 정책 평가 로직에 대한 자세한 내용은 [교차 계정 정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)을 참조하세요. 구독 필터를 생성하는 데 사용하는 IAM 역할 또는 IAM 사용자에게 자격 증명 기반 정책을 연결할 수 있습니다. 전송 계정에 이 정책이 있어야 합니다. 관리자 역할을 사용하여 구독 필터를 만드는 경우 이 단계를 건너뛰고 [4단계: 구독 필터 생성](CreateSubscriptionFilter.md)로 넘어갈 수 있습니다. **교차 계정에 필요한 IAM 권한을 추가 또는 검증하려면** 1. 다음 명령을 입력하여 AWS 로그 명령을 실행하는 데 사용되는 IAM 역할 또는 IAM 사용자를 확인합니다. ``` aws sts get-caller-identity ``` 이 명령은 다음과 비슷한 출력을 반환합니다. ``` { "UserId": "User ID", "Account": "sending account id", "Arn": "arn:aws:sending account id:role/user:RoleName/UserName" } ``` *RoleName* 또는 *UserName*으로 나타낸 값을 기록해 둡니다. 1. 전송 계정의 AWS Management Console 에 로그인하고 1단계에서 입력한 명령의 출력에서 반환된 IAM 역할 또는 IAM 사용자가 있는 연결된 정책을 검색합니다. 1. 이 역할 또는 사용자에게 연결된 정책이 교차 계정 대상 리소스에서 `logs:PutSubscriptionFilter`을 직접 호출할 수 있는 명시적 권한을 제공하는지 확인합니다. 다음 정책은 단일 AWS 계정인 계정 에서만 모든 대상 리소스에 구독 필터를 생성할 수 있는 권한을 제공합니다`999999999999`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSubscriptionFiltersOnAccountResources", "Effect": "Allow", "Action": "logs:PutSubscriptionFilter", "Resource": [ "arn:aws:logs:*:*:log-group:*", "arn:aws:logs:*:123456789012:destination:*" ] } ] } ``` ------ 다음 정책은 단일 AWS 계정인 계정에서 라는 특정 대상 리소스에 대해서만 구독 필터를 생성할 `sampleDestination` 수 있는 권한을 제공합니다`123456789012`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSubscriptionFiltersonAccountResource", "Effect": "Allow", "Action": "logs:PutSubscriptionFilter", "Resource": [ "arn:aws:logs:*:*:log-group:*", "arn:aws:logs:*:123456789012:destination:sampleDestination" ] } ] } ``` ------