Kinesis Firehose 를 이용하여, Cloudwatch Logs Filter를 이용하여 교차계정 데어티 공유를 위해서는 아래의 단계를 진행하여야 한다.
https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/logs/CreateFirehoseStreamDestination.html
그러나 위 단계 진행 시, 2단계에서 Logs Destination이 생성 되지 않아 설정에 어려움을 겪게된다.
에러내용:
An error occurred (InvalidParameterException) when calling the PutDestination operation: Could not deliver test message to specified destination. Check if the destination is valid.
위 가이드에서 IAM Role에 Trust Relationship 부여할 때 초반에 Condition으로 SourceArn에 대한 제약을 걸지 않아야 초기 생성 시 정상적으로 진행이 된다.
(Do not wirte "Condition" Category on Trust Relationship)
SourceArn이 특정 계정의 Logs에서만 접근이 가능하게 설정되어서, AWS CLI나 AWS CF로 구성 시 에러가 발생할 수 있기 때문이다.
이 과정만 패스하면 나머지는 순조롭게 진행이 된다.
Cross-region:
Logs Destination 과 Firehose는 교차 Region이 가능하다.
그러나, Cloudwatch Logs Group → Logs Destination 은 교차 Region이 불가능하다.
Logs Group 과 Logs Destination은 같은 Region에 있어야 한다.