CloudWatch Logs アクセス許可リファレンス

アクセスコントロール をセットアップし、IAM ID (ID ベースのポリシー) にアタッチできるアクセス許可ポリシーを作成する際、次の表をリファレンスとして使用できます。この表には、各 CloudWatch Logs API オペレーションと、アクションを実行するためのアクセス許可を付与できる対応するアクションが一覧表示されています。アクションは、ポリシーの Action フィールドで指定します。Resource フィールドでは、ロググループまたはログストリームの ARN を指定するか、 を指定*してすべての CloudWatch Logs リソースを表すことができます。

CloudWatch Logs ポリシーで AWS全体の条件キーを使用して、条件を表現できます。 AWS全体のキーの完全なリストについては、AWS 「IAM ユーザーガイド」の「グローバルキーと IAM 条件コンテキストキー」を参照してください。

注記

アクションを指定するには、API オペレーション名の前に logs: プレフィックスを使用します。例: logs:CreateLogGroup、logs:CreateLogStream、または logs:* (すべての CloudWatch Logs アクションの場合）。

CloudWatch API オペレーションとアクションに必要なアクセス許可をログに記録します。
CloudWatch Logs API オペレーション	必要なアクセス許可 (API アクション)
CancelExportTask	logs:CancelExportTask 保留中または実行中のエクスポートタスクをキャンセルするのに必要です。
CreateExportTask	logs:CreateExportTask ロググループから Amazon S3バケットにデータをエクスポートするのに必要です。
CreateLogGroup	logs:CreateLogGroup 新しいロググループを作成するのに必要です。
CreateLogStream	logs:CreateLogStream ロググループに新しいログストリームを作成するのに必要です。
DeleteDestination	logs:DeleteDestination ログ宛先を削除したり、サブスクリプションのフィルタを無効化するのに必要です。
DeleteLogGroup	logs:DeleteLogGroup ロググループや関連したアーカイブログイベントを削除するのに必要です。
DeleteLogStream	logs:DeleteLogStream ログストリームや関連したアーカイブログイベントを削除するのに必要です。
DeleteMetricFilter	logs:DeleteMetricFilter ロググループに関連したメトリクスフィルタを削除するのに必要です。
DeleteQueryDefinition	logs:DeleteQueryDefinition CloudWatch Logs Insights で保存されたクエリ定義を削除するために必要です。
DeleteResourcePolicy	logs:DeleteResourcePolicy CloudWatch Logs リソースポリシーを削除するために必要です。
DeleteRetentionPolicy	logs:DeleteRetentionPolicy ロググループの保持ポリシーを削除するのに必要です。
DeleteSubscriptionFilter	logs:DeleteSubscriptionFilter ロググループに関連したサブスクリプションのフィルタを削除するのに必要です。
DescribeDestinations	logs:DescribeDestinations アカウントに関連したすべての送信先を表示するのに必要です。
DescribeExportTasks	logs:DescribeExportTasks アカウントに関連したすべてのエクスポートタスクを表示するのに必要です。
DescribeLogGroups	logs:DescribeLogGroups アカウントに関連したすべてのロググループを表示するのに必要です。
DescribeLogStreams	logs:DescribeLogStreams ロググループに関連したすべてのログストリームを表示するのに必要です。
DescribeMetricFilters	logs:DescribeMetricFilters ロググループに関連したすべてのメトリクスを表示するのに必要です。
DescribeQueryDefinitions	logs:DescribeQueryDefinitions CloudWatch Logs Insights で保存されたクエリ定義のリストを表示するために必要です。
DescribeQueries	logs:DescribeQueries スケジュールされている、実行されている、または最近実行された CloudWatch Logs Insights クエリのリストを表示するために必要です。
DescribeResourcePolicies	logs:DescribeResourcePolicies CloudWatch Logs リソースポリシーのリストを表示するために必要です。
DescribeSubscriptionFilters	logs:DescribeSubscriptionFilters ロググループに関連したすべてのサブスクリプションフィルタを表示するのに必要です。
FilterLogEvents	logs:FilterLogEvents ロググループのフィルタパターンでログイベントをソートするのに必要です。
GetLogEvents	logs:GetLogEvents ログストリームからログイベントを取得するのに必要です。
GetLogGroupFields	logs:GetLogGroupFields ロググループのログイベントに含まれるフィールドのリストを取得するために必要です。
GetLogRecord	logs:GetLogRecord 1 つのログイベントから詳細を取得するために必要です。
GetQueryResults	logs:GetQueryResults CloudWatch Logs Insights クエリの結果を取得するために必要です。
ListTagsLogGroup	logs:ListTagsLogGroup ロググループに関連したタグをリストするのに必要です。
PutDestination	logs:PutDestination 宛先ログストリーム (Kinesis ストリームなど) の作成や更新に必要です。
PutDestinationPolicy	logs:PutDestinationPolicy 既存のログ宛先に関連するアクセスポリシーの作成や更新に必要です。
PutLogEvents	logs:PutLogEvents 一連のログイベントをログストリームに更新するのに必要です。
PutMetricFilter	logs:PutMetricFilter メトリクスフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。
PutQueryDefinition	logs:PutQueryDefinition CloudWatch Logs Insights にクエリを保存するために必要です。
PutResourcePolicy	logs:PutResourcePolicy CloudWatch Logs リソースポリシーを作成するのに必要です。
PutRetentionPolicy	logs:PutRetentionPolicy ロググループでログイベント (保持) を維持する日数を設定するのに必要です。
PutSubscriptionFilter	logs:PutSubscriptionFilter サブスクリプションフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。
StartQuery	logs:StartQuery CloudWatch Logs Insights クエリを開始するために必要です。
StopQuery	logs:StopQuery 進行中の CloudWatch Logs Insights クエリを停止するために必要です。
TagLogGroup	logs:TagLogGroup ロググループのタグを追加または更新するのに必要です。
TestMetricFilter	logs:TestMetricFilter ログイベントメッセージのサンプリングに対してフィルタパターンをテストするのに必要です。