Puis-je diffuser le groupe de journaux CloudWatch à lambda à partir d'un autre compte?

Question

Puis-je diffuser CloudWatch Log Group vers un lambda à partir d'un autre compte? J'ai essayé de le configurer depuis AWS Console mais il ne montre que lambda depuis le compte courant.

Astuce:Je ne suis pas intéressé en solution Kinesis Amazon. Je sais comment le faire via les abonnements comme il est décrit ici: http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CrossAccountSubscriptions.html

Mais je demande précisément à propos de lambda à partir du compte différent.

P.S. J'ai essayé d'ajouter un abonnement sur le groupe journal lambda d'un autre compte, comme décrit here, mais ont reçu l'erreur suivante:

An error occurred (AccessDeniedException) when calling the PutSubscriptionFilter
operation: Cross-account lambda invocation passing is not allowed. You must use DestinationPolicies to create cross account lambda triggers.

Answer 1

Actuellement, non.

Les limites de PutSubscriptionFilter sont documentées ici plus en détail: https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html

CloudWatch journaux ne supporte que la diffusion en continu des données de journaux aux fonctions Lambda dans le même compte, malgré le message d'erreur peu claire qui semble suggérer qu'il pourrait être possible.

Je soupçonne que le message d'erreur:

You must use DestinationPolicies to create cross account lambda triggers.

est un peu générique à tout service en essayant appel lambda multicomptes et logique dans le cas des services comme SNS où vous pouvez ajouter des autorisations à un sujet à permettez-ceci.