Contributor Insights のユーザーのロググループへのアクセスを制限するための条件キーの使用
Contributor Insights でルールを作成し、その結果を表示するには、ユーザーに cloudwatch:PutInsightRule アクセス許可が必要です。デフォルトでは、このアクセス許可を持つユーザーは、CloudWatch Logs のロググループを評価する Contributor Insights ルールを作成して、結果を確認できます。結果には、これらのロググループのコントリビューターデータを含めることができます。
条件キーを持つ IAM ポリシーを作成して、一部のロググループに対して Contributor Insights ルールを作成するアクセス許可をユーザーに付与し、他のロググループからこのデータを表示しないようにすることができます。
IAM ポリシーの Condition 要素の詳細については、「IAM JSON ポリシーの要素: 条件」を参照してください。
特定のロググループのみについて、ルールの書き込みおよび結果の表示へのアクセスを許可する
次のポリシーでは、AllowedLogGroup という名前のロググループと AllowedWildCard で始まる名前を持つすべてのロググループのルールを作成し、結果を表示するためのユーザーアクセスを許可します。他のロググループには、書き込みルールへのアクセスやルールの結果の表示する権限は付与されません。
特定のロググループに対するルールの書き込みを拒否するが、他のすべてのロググループに対するルールの書き込みを許可する
次のポリシーでは、ExplicitlyDeniedLogGroup という名前のロググループのルールの書き込みおよびルールの結果の表示に対するユーザーアクセスを明示的に拒否しますが、他のすべてのロググループのルールの書き込みおよびルールの結果の表示は許可します。
