Amazon CloudWatch Logs の Identity and Access Management

Amazon CloudWatch Logs へのアクセスには、 AWS がリクエストの認証に使用できる認証情報が必要です。これらの認証情報には、クラウド AWS リソースに関する CloudWatch Logs データを取得するなどの リソースへのアクセス許可が必要です。以下のセクションでは、 AWS Identity and Access Management (IAM) と CloudWatch Logs を使用して、リソースにアクセスできるユーザーを制御することでリソースを保護する方法について詳しく説明します。

• 認証

• アクセスコントロール

認証

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「アクセス許可一式を作成」の手順を実行します。

• IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

• IAM ユーザー:

  • ユーザーが継承できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については、「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。

アクセスコントロール

有効な認証情報があればリクエストを認証できますが、アクセス許可が付与されている場合を除き、 CloudWatch ログリソースを作成またはアクセスすることはできません。たとえば、ログストリーム、ロググループなどを作成する許可が必要となります。

以下のセクションでは、 CloudWatch ログのアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。

• CloudWatch Logs リソースへのアクセス許可の管理の概要

• CloudWatch ログでのアイデンティティベースのポリシー (IAM ポリシー) の使用

• CloudWatch Logs アクセス許可リファレンス