Kinesis Firehose 를 이용하여, Cloudwatch Logs Filter를 이용하여 교차계정 데어티 공유를 위해서는 아래의 단계를 진행하여야 한다.

https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/logs/CreateFirehoseStreamDestination.html

그러나 위 단계 진행 시, 2단계에서 Logs Destination이 생성 되지 않아 설정에 어려움을 겪게된다.

에러내용:

An error occurred (InvalidParameterException) when calling the PutDestination operation: Could not deliver test message to specified destination. Check if the destination is valid.

위 가이드에서 IAM Role에 Trust Relationship 부여할 때 초반에 Condition으로 SourceArn에 대한 제약을 걸지 않아야 초기 생성 시 정상적으로 진행이 된다.

(Do not wirte "Condition" Category on Trust Relationship)

SourceArn이 특정 계정의 Logs에서만 접근이 가능하게 설정되어서, AWS CLI나 AWS CF로 구성 시 에러가 발생할 수 있기 때문이다.

이 과정만 패스하면 나머지는 순조롭게 진행이 된다.

Cross-region:

Logs Destination 과 Firehose는 교차 Region이 가능하다.

그러나, Cloudwatch Logs Group → Logs Destination 은 교차 Region이 불가능하다.

Logs Group 과 Logs Destination은 같은 Region에 있어야 한다.