Contributor Insights のユーザーのロググループへのアクセスを制限するための条件キーの使用
Contributor Insights でルールを作成し、その結果を表示するには、ユーザーに cloudwatch:PutInsightRule アクセス許可が必要です。デフォルトでは、このアクセス許可を持つユーザーは、CloudWatch Logs のロググループを評価する Contributor Insights ルールを作成して、結果を確認できます。結果には、これらのロググループのコントリビューターデータを含めることができます。
条件キーを持つ IAM ポリシーを作成して、一部のロググループに対して Contributor Insights ルールを作成するアクセス許可をユーザーに付与し、他のロググループからこのデータを表示しないようにすることができます。
IAM ポリシーの Condition 要素の詳細については、「IAM JSON ポリシーの要素: 条件」を参照してください。
特定のロググループのみについて、ルールの書き込みおよび結果の表示へのアクセスを許可する
次のポリシーでは、AllowedLogGroup という名前のロググループと AllowedWildCard で始まる名前を持つすべてのロググループのルールを作成し、結果を表示するためのユーザーアクセスを許可します。他のロググループには、書き込みルールへのアクセスやルールの結果の表示する権限は付与されません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCertainLogGroups", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "AllowedLogGroup", "AllowedWildcard*" ] } } } ] }
特定のロググループに対するルールの書き込みを拒否するが、他のすべてのロググループに対するルールの書き込みを許可する
次のポリシーでは、ExplicitlyDeniedLogGroup という名前のロググループのルールの書き込みおよびルールの結果の表示に対するユーザーアクセスを明示的に拒否しますが、他のすべてのロググループのルールの書き込みおよびルールの結果の表示は許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowInsightRulesOnLogGroupsByDefault", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*" }, { "Sid": "ExplicitDenySomeLogGroups", "Effect": "Deny", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "/test/alpine/ExplicitlyDeniedLogGroup" ] } } } ] }
