CloudWatch Logs リソースへのアクセス許可の管理の概要 - Amazon CloudWatch Logs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch Logs リソースへのアクセス許可の管理の概要

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

CloudWatch リソースとオペレーションをログに記録する

CloudWatch ログでは、プライマリリソースはロググループ、ログストリーム、送信先です。 CloudWatch ログはサブリソース (プライマリリソースで使用するその他のリソース) をサポートしていません。

これらのリソースとサブリソースには、次の表に示すように、一意の Amazon リソースネーム (ARNs) が関連付けられています。

リソースタイプ ARN 形式

ロググループ

次の 2 つの形式が使用されます。2 つ目は、最後に :* を付けて、 describe-log-groups CLI コマンドと DescribeLogGroups によって返されるものですAPI。

arn:aws:logs:regionaccount-id:log-group:log_group_name

arn:aws:logs:regionaccount-id:log-group:log_group_name:*

次の状況では、末尾に :* がない最初のバージョンを使用します。

  • 多くの logGroupIdentifierの入力フィールド。 CloudWatch Logs APIs

  • タグ付けの resourceArnフィールド APIs

  • IAM ポリシーでは、、TagResourceUntagResourceおよび のアクセス許可を指定する場合ListTagsForResource

他のすべてのAPIアクション:*のIAMポリシーでアクセス許可を指定するARNときは、末尾の で 2 番目のバージョンを使用して を参照します。

ログストリーム

arn:aws:logs::regionaccount-id:log-group:log_group_name:log-stream:log-stream-name

デスティネーション

arn:aws:logs:regionaccount-id:destination:destination_name

の詳細についてはARNs、「 IAMユーザーガイドARNs」の「」を参照してください。 CloudWatch ログ の詳細についてはARNs、「」の「Amazon リソースネーム (ARNs)」を参照してくださいAmazon Web Services 全般のリファレンス。CloudWatch ログを対象とするポリシーの例については、「」を参照してください CloudWatch ログでのアイデンティティベースのポリシー (IAM ポリシー) の使用

CloudWatch Logs には、Logs CloudWatch リソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「CloudWatch ログのアクセス許可リファレンス」を参照してください。

リソース所有権についての理解

AWS アカウントは、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエスト AWS を認証するプリンシパルエンティティ (ルートアカウント、ユーザー、または IAMロール) のアカウントです。次の例は、この仕組みを示しています。

  • AWS アカウントのルートアカウントの認証情報を使用してロググループを作成する場合、 AWS アカウントは CloudWatch Logs リソースの所有者です。

  • AWS アカウントにユーザーを作成し、そのユーザーに CloudWatch Logs リソースを作成するアクセス許可を付与すると、そのユーザーは CloudWatch Logs リソースを作成できます。ただし、ユーザーが属する AWS アカウントが CloudWatch Logs リソースを所有しています。

  • Logs リソースを作成するアクセス許可を持つ AWS アカウントに CloudWatch IAMロールを作成すると、ロールを引き受けることのできるいずれのユーザーも CloudWatch Logs リソースを作成できます。ロールが属する AWS アカウントが Logs CloudWatch リソースを所有しています。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、 CloudWatch ログのコンテキストIAMでの の使用について説明します。これは、IAM サービスに関する詳細情報を取得できません。詳細なIAMドキュメントについては、「 IAMユーザーガイド」の「 IAMとは」を参照してください。IAM ポリシーの構文と説明については、「 IAMユーザーガイド」の「 IAMポリシーリファレンス」を参照してください。

IAM アイデンティティにアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。 CloudWatch ログはアイデンティティベースのポリシーと、クロスアカウントサブスクリプションを有効にするために使用される送信先のリソースベースのポリシーをサポートします。詳細については、「クロスアカウント、クロスリージョンのサブスクリプション」を参照してください。

ロググループの許可と Contributor Insights

Contributor Insights は、ロググループのデータを分析して、コントリビューターデータを表示する時系列を作成 CloudWatch できる の機能です。トップ N コントリビューター、一意のコントリビューターの合計数、およびそれらの使用状況に関するメトリクスを確認できます。詳細については、「Contributor Insights を使用した高カーディナリティデータの分析」を参照してください。

ユーザーに cloudwatch:PutInsightRuleおよび アクセスcloudwatch:GetInsightRuleReport許可を付与すると、そのユーザーは CloudWatch Logs のロググループを評価するルールを作成し、結果を表示できます。結果には、これらのロググループのコントリビューターデータを含めることができます。これらのアクセス許可は、このデータを表示できるように設定したいユーザーのみに付与してください。

リソースベースのポリシー

CloudWatch ログは、クロスアカウントサブスクリプションを有効にするために使用できる送信先のリソースベースのポリシーをサポートします。詳細については、「ステップ 1: 送信先を作成する」を参照してください。送信先は PutDestination を使用して作成できAPI、 を使用して送信先にリソースポリシーを追加できますPutDestinationPolicyAPI。次の例では、 AWS アカウント ID 111122223333 を持つ別のアカウントが、ロググループを送信先 にサブスクライブできるようにしますarn:aws:logs:us-east-1:123456789012:destination:testDestination

{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : { "AWS" : "111122223333" }, "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination" } ] }

ポリシー要素 (アクション、効果、プリンシパル) の指定

CloudWatch Logs リソースごとに、サービスは一連のAPIオペレーションを定義します。これらのAPIオペレーションのアクセス許可を付与するために、 CloudWatch Logs はポリシーで指定できる一連のアクションを定義します。一部のAPIオペレーションでは、APIオペレーションを実行するために複数のアクションのアクセス許可が必要になる場合があります。リソースとAPIオペレーションの詳細については、CloudWatch リソースとオペレーションをログに記録する「」および「」を参照してくださいCloudWatch ログのアクセス許可リファレンス

以下は、基本的なポリシーの要素です。

  • リソース – Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「CloudWatch リソースとオペレーションをログに記録する」を参照してください。

  • [Action] (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、logs.DescribeLogGroups 権限は、DescribeLogGroups オペレーションの実行をユーザーに許可します。

  • 効果 – ユーザーが特定のアクションをリクエストする際の効果 (許可または拒否) を指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが暗黙のプリンシパルとなります。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用されます)。 CloudWatch ログは、送信先のリソースベースのポリシーをサポートします。

IAM ポリシーの構文と説明の詳細については、「 IAMユーザーガイド」のAWS IAM「 ポリシーリファレンス」を参照してください。

すべての CloudWatch Logs APIアクションとそれらが適用されるリソースを示す表については、「」を参照してくださいCloudWatch ログのアクセス許可リファレンス

ポリシーの条件の指定

アクセス許可を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる条件を指定できます。たとえば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。各 AWS サービスでサポートされているコンテキストキーのリストと AWS、ポリシーキー全体のリストについては、「 AWS のサービスのアクション、リソース、および条件キー」とAWS 「グローバル条件コンテキストキー」を参照してください。

注記

タグを使用して、 CloudWatch ロググループや送信先などの Logs リソースへのアクセスを制御できます。ロググループとログストリームの間には階層的な関係があるため、ログストリームへのアクセスはロググループレベルで制御されます。リソースへのアクセスを制御するタグの使用の詳細については、タグを使用した Amazon Web Services のリソースへのアクセスの制御を参照してください。