翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Logs CloudWatch リソースへのアクセス許可の管理の概要
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。の「アクセス許可セットの作成」の手順に従います。 AWS IAM Identity Center ユーザーガイド 。
-
ID プロバイダーIAMを通じて で管理されるユーザー:
ID フェデレーションのロールを作成します。「 IAMユーザーガイド」の「サードパーティー ID プロバイダーのロールの作成 (フェデレーション)」の手順に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。「 IAMユーザーガイド」のIAM「 ユーザーのロールの作成」の手順に従います。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。IAM ユーザーガイドの「ユーザーへのアクセス許可の追加 (コンソール)」の指示に従います。
-
CloudWatch リソースとオペレーションのログ記録
CloudWatch Logs では、プライマリリソースはロググループ、ログストリーム、および送信先です。 CloudWatch Logs はサブリソース (プライマリリソースで使用するその他のリソース) をサポートしていません。
これらのリソースとサブリソースには、次の表に示すように、一意の Amazon リソースネーム (ARNs) が関連付けられています。
リソースタイプ | ARN 形式 |
---|---|
ロググループ |
次の 2 つの形式が使用されます。2 番目のステップは、 arn:aws:logs: arn:aws:logs: 次の状況
他のすべてのAPIアクションのIAMポリシーでアクセス許可を指定するARNときは、末尾の で 2 番目のバージョンを使用して |
ログストリーム |
arn:aws:logs: |
デスティネーション |
arn:aws:logs: |
の詳細についてはARNs、「 ユーザーガイドARNs」のIAM「」を参照してください。 CloudWatch ログの詳細についてはARNs、「」の「Amazon リソースネーム (ARNs)」を参照してください。 Amazon Web Services 全般のリファレンス。 CloudWatch ログを対象とするポリシーの例については、「」を参照してください CloudWatch ログでのアイデンティティベースのポリシー (IAM ポリシー) の使用。
CloudWatch Logs は、Logs CloudWatch リソースを操作するための一連のオペレーションを提供します。使用可能なオペレーションのリストについては、「CloudWatch Logs アクセス許可リファレンス」を参照してください。
リソース所有権について
- AWS アカウントは、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は です。 AWS リソース作成リクエストを認証するプリンシパルエンティティ (ルートアカウント、ユーザー、または IAM ロール) の アカウント。次の例は、この仕組みを示しています。
-
のルートアカウントの認証情報を使用する場合 AWS ロググループを作成する アカウント、 AWS アカウントは Logs CloudWatch リソースの所有者です。
-
でユーザーを作成する場合 AWS アカウントを作成し、そのユーザーに Logs CloudWatch リソースを作成するアクセス許可を付与します。ユーザーは Logs CloudWatch リソースを作成できます。ただし、 AWS ユーザーが属する アカウントは、 CloudWatch ログリソースを所有します。
-
で IAMロールを作成する場合 AWS Logs CloudWatch リソースを作成するアクセス許可を持つ アカウント。ロールを引き受けることのできるすべてのユーザーが Logs CloudWatch リソースを作成できます。の AWS ロールが属する アカウントは、 CloudWatch ログリソースを所有します。
リソースへのアクセスの管理
アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。
注記
このセクションでは、 CloudWatch ログのコンテキストIAMでの の使用について説明します。IAM サービスに関する詳細情報は提供されません。詳細なIAMドキュメントについては、「 ユーザーガイド」のIAM「 とはIAM」を参照してください。IAM ポリシーの構文と説明については、「 ユーザーガイド」の「 IAMポリシーリファレンスIAM」を参照してください。
IAM ID にアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。 CloudWatch Logs はアイデンティティベースのポリシーと、クロスアカウントサブスクリプションを有効にするために使用される送信先のリソースベースのポリシーをサポートします。詳細については、「クロスアカウントクロスリージョンサブスクリプション」を参照してください。
ロググループの許可と Contributor Insights
Contributor Insights は、ロググループのデータを分析して、コントリビューターデータを表示する時系列を作成 CloudWatch できる の機能です。トップ N コントリビューター、一意のコントリビューターの合計数、およびそれらの使用状況に関するメトリクスを確認できます。詳細については、「Contributor Insights を使用した高カーディナリティデータの分析」を参照してください。
ユーザーに cloudwatch:PutInsightRule
および アクセスcloudwatch:GetInsightRuleReport
許可を付与すると、そのユーザーは CloudWatch Logs でロググループを評価し、結果を表示するルールを作成できます。結果には、これらのロググループのコントリビューターデータを含めることができます。これらのアクセス許可は、このデータを表示できるように設定したいユーザーのみに付与してください。
リソースベースのポリシー
CloudWatch ログは、クロスアカウントサブスクリプションを有効にするために使用できる送信先のリソースベースのポリシーをサポートします。詳細については、「ステップ 1: 送信先を作成する」を参照してください。送信先は を使用して作成できAPI、 PutDestination を使用してリソースポリシーを送信先に追加できますPutDestinationPolicyAPI。次の例では、別の を許可します。 AWS アカウント ID 111122223333 の アカウントは、ロググループを送信先 にサブスクライブしますarn:aws:logs:us-east-1:123456789012:destination:testDestination
。
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : { "AWS" : "111122223333" }, "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination" } ] }
ポリシー要素 (アクション、効果、プリンシパル) の指定
CloudWatch Logs リソースごとに、サービスは一連のAPIオペレーションを定義します。これらのAPIオペレーションのアクセス許可を付与するために、 CloudWatch Logs はポリシーで指定できる一連のアクションを定義します。一部のAPIオペレーションでは、APIオペレーションを実行するために複数のアクションに対するアクセス許可が必要になる場合があります。リソースとAPIオペレーションの詳細については、「」およびCloudWatch リソースとオペレーションのログ記録「」を参照してくださいCloudWatch Logs アクセス許可リファレンス。
以下は、基本的なポリシーの要素です。
-
リソース — Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「CloudWatch リソースとオペレーションのログ記録」を参照してください。
-
[Action] (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、
logs.DescribeLogGroups
権限は、DescribeLogGroups
オペレーションの実行をユーザーに許可します。 -
効果 – ユーザーが特定のアクションをリクエストする際の効果 (許可または拒否) を指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
-
プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用されます)。 CloudWatch ログは、送信先のリソースベースのポリシーをサポートします。
IAM ポリシーの構文と説明の詳細については、「」を参照してください。 AWS IAM 「 ユーザーガイド」の「ポリシーリファレンス」。 IAM
すべての CloudWatch Logs APIアクションとそれらが適用されるリソースを示す表については、「」を参照してくださいCloudWatch Logs アクセス許可リファレンス。
ポリシーでの条件の指定
アクセス許可を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる条件を指定できます。たとえば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。各 でサポートされているコンテキストキーのリスト AWS サービスと のリスト AWS全体のポリシーキーについては、「 のアクション、リソース、および条件キー」を参照してください。 AWS サービスと AWS グローバル条件コンテキストキー 。
注記
タグを使用して、 CloudWatch ロググループや送信先などの Logs リソースへのアクセスを制御できます。ロググループとログストリームの間には階層的な関係があるため、ログストリームへのアクセスはロググループレベルで制御されます。リソースへのアクセスを制御するタグの使用の詳細については、タグを使用した Amazon Web Services のリソースへのアクセスの制御を参照してください。