CloudWatch Logs リソースへのアクセス許可の管理の概要

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「アクセス許可一式を作成」の手順を実行します。

• IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

• IAM ユーザー:

  • ユーザーが継承できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については、「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。

CloudWatch リソースとオペレーションをログに記録します。

CloudWatch Logs では、プライマリリソースはロググループ、ログストリーム、送信先です。 CloudWatch Logs はサブリソース (プライマリリソースで使用する他のリソース) をサポートしていません。

リソースとサブリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。

リソースタイプ	ARN 形式
ロググループ	次の 2 つの形式が使用されます。2 つ目のコマンドは、最後に * があり、 CLI コマンドと DescribeLogGroups API describe-log-groups によって返されます。 arn:aws:logs:region:account-id:log-group:log_group_name arn:aws:logs:region:account-id:log-group:log_group_name:*
ログストリーム	arn:aws:logs:region :account-id :log-group:log_group_name :log-stream:log-stream-name
デスティネーション	arn:aws:logs:region:account-id:destination:destination_name

ARN の詳細については、IAM ユーザーガイドの「ARN」を参照してください。 CloudWatch ログ ARNs「」の「Amazon リソースネーム (ARNs」を参照してくださいAmazon Web Services 全般のリファレンス。CloudWatch ログを対象とするポリシーの例については、「」を参照してください CloudWatch ログでのアイデンティティベースのポリシー (IAM ポリシー) の使用。

CloudWatch Logs には、 CloudWatch Logs リソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「CloudWatch Logs アクセス許可リファレンス」を参照してください。

リソース所有権について

AWS アカウントは、誰がリソースを作成したかにかかわらず、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエスト AWS を認証するプリンシパルエンティティ (ルートアカウント、ユーザー、または IAM ロール) のアカウントです。次の例は、この仕組みを示しています。

• AWS アカウントのルートアカウントの認証情報を使用してロググループを作成する場合、 AWS アカウントは CloudWatch Logs リソースの所有者です。

• AWS アカウントにユーザーを作成し、そのユーザーに CloudWatch Logs リソースを作成するアクセス許可を付与すると、そのユーザーは CloudWatch Logs リソースを作成できます。ただし、ユーザーが属する AWS アカウントは CloudWatch Logs リソースを所有しています。

• Logs リソースを作成するためのアクセス許可を持つ AWS アカウントに IAM CloudWatch ロールを作成する場合、ロールを引き受けることのできるいずれのユーザーも CloudWatch Logs リソースを作成できます。ロールが属する AWS アカウントが CloudWatch Logs リソースを所有しています。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、 CloudWatch ログのコンテキストでの IAM の使用について説明します。これは、IAM サービスに関する詳細情報を取得できません。IAM に関する詳細なドキュメントについては、「IAM ユーザーガイド」の「What is IAM?」(IAM とは？) を参照してください。IAM ポリシー構文の詳細と説明については、「IAM ユーザーガイド」の「 IAM ポリシーリファレンス」を参照してください。

IAM アイデンティティにアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。 CloudWatch Logs は、アイデンティティベースのポリシーと、クロスアカウントのサブスクリプションを有効にするために使用される送信先のリソースベースのポリシーをサポートします。詳細については、「クロスアカウントのログデータをサブスクリプションと共有する」を参照してください。

トピック

• ロググループの許可と Contributor Insights
• リソースベースのポリシー

ロググループの許可と Contributor Insights

Contributor Insights は、ロググループのデータを分析し、コントリビューターデータを表示する時系列を作成 CloudWatch できる の機能です。トップ N コントリビューター、一意のコントリビューターの合計数、およびそれらの使用状況に関するメトリクスを確認できます。詳細については、「Contributor Insights を使用した高カーディナリティデータの分析」を参照してください。

ユーザーに cloudwatch:PutInsightRuleおよび アクセスcloudwatch:GetInsightRuleReport許可を付与すると、そのユーザーは CloudWatch Logs のロググループを評価して結果を表示するルールを作成できます。結果には、これらのロググループのコントリビューターデータを含めることができます。これらのアクセス許可は、このデータを表示できるように設定したいユーザーのみに付与してください。

リソースベースのポリシー

CloudWatch ログは、クロスアカウントのサブスクリプションを有効にするために使用できる送信先のリソースベースのポリシーをサポートしています。詳細については、「ステップ 1: 送信先を作成する」を参照してください。送信先は PutDestination API を使用して作成でき、PutDestinationAPI を使用して送信先にリソースポリシーを追加できます。次の例では、 AWS アカウント ID 111122223333 の別のアカウントが、ロググループを送信先 にサブスクライブできるようにしますarn:aws:logs:us-east-1:123456789012:destination:testDestination。

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

ポリシー要素 (アクション、効果、プリンシパル) の指定

CloudWatch Logs リソースごとに、サービスは一連の API オペレーションを定義します。これらの API オペレーションのアクセス許可を付与するために、 CloudWatch Logs はポリシーで指定できる一連のアクションを定義します。一部の API オペレーションは、API オペレーションを実行するために複数のアクションに対するアクセス許可を要求できます。リソースおよび API オペレーションに関する詳細については、「CloudWatch リソースとオペレーションをログに記録します。」および「CloudWatch Logs アクセス許可リファレンス」を参照してください。

以下は、基本的なポリシーの要素です。

• リソース - Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「CloudWatch リソースとオペレーションをログに記録します。」を参照してください。

• [Action] (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、logs.DescribeLogGroups 権限は、DescribeLogGroups オペレーションの実行をユーザーに許可します。

• 効果 – ユーザーが特定のアクションをリクエストする際の効果 (許可または拒否) を指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

• プリンシパル - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用）。 CloudWatch ログは、送信先のリソースベースのポリシーをサポートします。

IAM ポリシーの構文と記述の詳細については、「IAM ユーザーガイド」の「AWS IAM ポリシーリファレンス」を参照してください。

すべての CloudWatch Logs API アクションとそれらが適用されるリソースを示す表については、「」を参照してくださいCloudWatch Logs アクセス許可リファレンス。

ポリシーでの条件の指定

アクセス権限を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。各 AWS サービスでサポートされるコンテキストキーのリストと AWS全体のポリシーキーのリストについては、「 のAWS サービスのアクション、リソース、および条件キー」およびAWS 「グローバル条件コンテキストキー」を参照してください。

注記

タグを使用して、ロググループや送信先などの CloudWatch Logs リソースへのアクセスを制御できます。ロググループとログストリームの間には階層的な関係があるため、ログストリームへのアクセスはロググループレベルで制御されます。リソースへのアクセスを制御するタグの使用の詳細については、タグを使用した Amazon Web Services のリソースへのアクセスの制御を参照してください。