CloudWatch Logs リソースにアクセスするための IAM ポリシーの作成 - Amazon Aurora

CloudWatch Logs リソースにアクセスするための IAM ポリシーの作成

Aurora は CloudWatch Logs にアクセスして Aurora DB クラスターから監査ログデータをエクスポートできます。ただし、初期に IAM ポリシーを作成してロググループおよびログストリーミングのアクセス許可を付与し、Aurora から CloudWatch Logs にアクセスできるようにする必要があります。

以下のポリシーは、ユーザー名で Amazon CloudWatch Logs にアクセスするために Aurora が要求する権限および、ロググループを作成してデータをエクスポートするための最小限の権限を追加します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

ポリシーの ARN を変更すると、特定の AWS リージョンおよびアカウントへのアクセスを制限できます。

以下のステップを使用して、ユーザーの代わりに Aurora から CloudWatch Logs にアクセスするために必要な最低のアクセス権限を提供する IAM ポリシーを作成できます。Aurora に CloudWatch Logs へのフルアクセスを付与するには、このステップをスキップして、独自のポリシーを作成する代わりに、定義済みの CloudWatchLogsFullAccess IAM ポリシーを使用します。詳細については、Amazon CloudWatch ユーザーガイドの「CloudWatch Logs でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。

CloudWatch Logs リソースへのアクセスを許可する IAM ポリシーを作成するには

  1. IAM コンソールを開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. [ポリシーの作成] を選択します。

  4. [ビジュアルエディタ] タブで、[サービスの選択] を選択し、[CloudWatch Logs] を選択します。

  5. [アクション] で、右側にある [すべて展開] を選択し、IAM ポリシーに必要な Amazon CloudWatch Logs アクセス許可を選択します。

    次のアクセス許可が選択されていることを確認します。

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. [リソース] を選択し、[log-group] に対して [ARN の追加] を選択します。

  7. [ARN の追加] ダイアログボックスで、以下の値を入力します。

    • リージョン - AWS リージョンまたは *

    • アカウント - アカウント番号または *

    • ロググループ名 - /aws/rds/*

  8. [ARN の追加] ダイアログボックスで、[追加] を選択します。

  9. [log-stream] に [ARN の追加] を選択します。

  10. [ARN の追加] ダイアログボックスで、以下の値を入力します。

    • リージョン - AWS リージョンまたは *

    • アカウント - アカウント番号または *

    • ロググループ名]/aws/rds/* -

    • ログストリーミング名 - *

  11. [ARN の追加] ダイアログボックスで、[追加] を選択します。

  12. [ポリシーの確認] を選択します。

  13. [名前] に、IAM ポリシーの名前 (AmazonRDSCloudWatchLogs など) を設定します。IAM ロールを作成して Aurora DB クラスターに関連付ける際に、この名前を使用します。オプションで [Description] 値を追加することもできます。

  14. [Create policy] を選択します。

  15. Amazon Aurora が AWS のサービスにアクセスすることを許可する IAM ロールの作成」の各ステップを実行します。