CloudWatch Logs の許可リファレンス - Amazon CloudWatch Logs

CloudWatch Logs の許可リファレンス

アクセスコントロール をセットアップし、IAM アイデンティティ (アイデンティティベースのポリシー) にアタッチできるアクセス権限ポリシーを作成する際、以下の表をリファレンスとして使用できます。この表には、各 CloudWatch Logs API オペレーション、およびその実行のためのアクセス権限を付与できる対応するアクションを示しています。アクションは、ポリシーの Action フィールドで指定します。Resource フィールドでは、ロググループまたはログストリームの ARN を指定するか、* を指定してすべての CloudWatch Logs リソースを表すことができます。

CloudWatch Logs ポリシーで AWS 全体の条件キーを使用して、条件を表現できます。AWS 全体を対象とするすべてのキーのリストについては、IAM ユーザーガイドの「AWS グローバルキーと IAM 条件コンテキストキー」を参照してください。

注記

アクションを指定するには、API オペレーション名の前に logs: プレフィックスを使用します。たとえば、logs:CreateLogGrouplogs:CreateLogStream、または logs:* (すべての CloudWatch Logs アクションの場合)。

CloudWatch Logs API オペレーションおよびアクションに必要な許可
CloudWatch Logs API のオペレーション 必要なアクセス許可 (API アクション)

CancelExportTask

logs:CancelExportTask

保留中または実行中のエクスポートタスクをキャンセルするのに必要です。

CreateExportTask

logs:CreateExportTask

ロググループから Amazon S3バケットにデータをエクスポートするのに必要です。

CreateLogGroup

logs:CreateLogGroup

新しいロググループを作成するのに必要です。

CreateLogStream

logs:CreateLogStream

ロググループに新しいログストリームを作成するのに必要です。

DeleteDestination

logs:DeleteDestination

ログ宛先を削除したり、サブスクリプションのフィルタを無効化するのに必要です。

DeleteLogGroup

logs:DeleteLogGroup

ロググループや関連したアーカイブログイベントを削除するのに必要です。

DeleteLogStream

logs:DeleteLogStream

ログストリームや関連したアーカイブログイベントを削除するのに必要です。

DeleteMetricFilter

logs:DeleteMetricFilter

ロググループに関連したメトリクスフィルタを削除するのに必要です。

DeleteQueryDefinition

logs:DeleteQueryDefinition

CloudWatch Logs Insights で保存されたクエリ定義を削除するのに必要です。

DeleteResourcePolicy

logs:DeleteResourcePolicy

CloudWatch Logs リソースポリシーを削除するために必要です。

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

ロググループの保持ポリシーを削除するのに必要です。

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

ロググループに関連したサブスクリプションのフィルタを削除するのに必要です。

DescribeDestinations

logs:DescribeDestinations

アカウントに関連したすべての送信先を表示するのに必要です。

DescribeExportTasks

logs:DescribeExportTasks

アカウントに関連したすべてのエクスポートタスクを表示するのに必要です。

DescribeLogGroups

logs:DescribeLogGroups

アカウントに関連したすべてのロググループを表示するのに必要です。

DescribeLogStreams

logs:DescribeLogStreams

ロググループに関連したすべてのログストリームを表示するのに必要です。

DescribeMetricFilters

logs:DescribeMetricFilters

ロググループに関連したすべてのメトリクスを表示するのに必要です。

DescribeQueryDefinitions

logs:DescribeQueryDefinitions

CloudWatch Logs Insights で保存されたクエリ定義のリストを表示するために必要です。

DescribeQueries

logs:DescribeQueries

スケジュールされた、実行された、または最近実行された CloudWatch Logs Insights クエリのリストを表示するために必要です。

DescribeResourcePolicies

logs:DescribeResourcePolicies

CloudWatch Logs リソースポリシーのリストを表示するために必要です。

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

ロググループに関連したすべてのサブスクリプションフィルタを表示するのに必要です。

FilterLogEvents

logs:FilterLogEvents

ロググループのフィルタパターンでログイベントをソートするのに必要です。

GetLogEvents

logs:GetLogEvents

ログストリームからログイベントを取得するのに必要です。

GetLogGroupFields

logs:GetLogGroupFields

ロググループのログイベントに含まれるフィールドのリストを取得するために必要です。

GetLogRecord

logs:GetLogRecord

1 つのログイベントから詳細を取得するために必要です。

GetQueryResults

logs:GetQueryResults

CloudWatch Logs Insights クエリの結果を取得するために必要です。

ListTagsLogGroup

logs:ListTagsLogGroup

ロググループに関連したタグをリストするのに必要です。

PutDestination

logs:PutDestination

宛先ログストリーム (Kinesis ストリームなど) の作成や更新に必要です。

PutDestinationPolicy

logs:PutDestinationPolicy

既存のログ宛先に関連するアクセスポリシーの作成や更新に必要です。

PutLogEvents

logs:PutLogEvents

一連のログイベントをログストリームに更新するのに必要です。

PutMetricFilter

logs:PutMetricFilter

メトリクスフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。

PutQueryDefinition

logs:PutQueryDefinition

CloudWatch Logs Insights にクエリを保存するために必要です。

PutResourcePolicy

logs:PutResourcePolicy

CloudWatch Logs リソースポリシーを作成するために必要です。

PutRetentionPolicy

logs:PutRetentionPolicy

ロググループでログイベント (保持) を維持する日数を設定するのに必要です。

PutSubscriptionFilter

logs:PutSubscriptionFilter

サブスクリプションフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。

StartQuery

logs:StartQuery

CloudWatch Logs Insights クエリを開始するために必要です。

StopQuery

logs:StopQuery

進行中の CloudWatch Logs Insights クエリを停止するために必要です。

TagLogGroup

logs:TagLogGroup

ロググループのタグを追加または更新するのに必要です。

TestMetricFilter

logs:TestMetricFilter

ログイベントメッセージのサンプリングに対してフィルタパターンをテストするのに必要です。