Amazon CloudWatch Logs のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudWatch Logs のアクション、リソース、および条件キー

Amazon CloudWatch Logs (サービスプレフィックス: logs) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon CloudWatch Logs で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateKmsKey 指定された AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) を指定されたロググループに関連付けるアクセス許可を付与します 書き込み

log-group*

CancelExportTask エクスポートタスクが PENDING または RUNNING 状態の場合にタスクをキャンセルするアクセス許可を付与します 書き込み
CreateDelivery 配信元を配信先に接続する配信を作成する許可を付与 書き込み

delivery*

delivery-destination*

delivery-source*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateExportTask ロググループから Amazon S3 バケットにデータを効率的にエクスポートできる an ExportTask を作成するアクセス許可を付与します Amazon S3 書き込み

log-group*

CreateLogAnomalyDetector ログの異常ディテクターを作成するためのアクセス許可を付与 書き込み

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLogDelivery[アクセス許可のみ] ログ配信を作成する許可を付与 書き込み
CreateLogGroup 指定された名前で新しいロググループを作成する許可を付与 書き込み

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLogStream 指定された名前で新しいログストリームを作成する許可を付与 書き込み

log-stream*

DeleteAccountPolicy アカウントにアタッチされたデータ保護ポリシーを削除するアクセス許可を付与します 書き込み
DeleteDataProtectionPolicy ロググループにアタッチされたデータ保護ポリシーを削除する許可を付与 書き込み

log-group*

DeleteDelivery 配信を削除する許可を付与 書き込み

delivery*

DeleteDeliveryDestination 関連付けられた配信のすべてが削除された後で配信先を削除する許可を付与 書き込み

delivery-destination*

DeleteDeliveryDestinationPolicy 配信先に関連付けられた配信先ポリシーを削除する許可を付与 書き込み

delivery-destination*

DeleteDeliverySource 関連付けられた配信のすべてが削除された後で配信元を削除する許可を付与 書き込み

delivery-destination*

DeleteDestination 指定された名前の送信先を削除する許可を付与 書き込み

destination*

DeleteIndexPolicy ロググループにアタッチされたインデックスポリシーを削除するアクセス許可を付与します 書き込み
DeleteLogAnomalyDetector ログの異常ディテクターを削除するためのアクセス許可を付与 書き込み

anomaly-detector*

DeleteLogDelivery[アクセス許可のみ] 指定されたログ配信のログ配信情報を削除する許可を付与 書き込み
DeleteLogGroup 指定された名前のロググループを削除する許可を付与 書き込み

log-group*

DeleteLogStream ログストリームを削除する許可を付与 書き込み

log-stream*

DeleteMetricFilter 指定されたロググループに関連付けられたメトリクスフィルターを削除する許可を付与 書き込み

log-group*

DeleteQueryDefinition 保存された CloudWatch Logs Insights クエリ定義を削除するアクセス許可を付与します 書き込み
DeleteResourcePolicy このアカウントからリソースポリシーを削除する許可を付与 権限の管理
DeleteRetentionPolicy 指定されたロググループの保持ポリシーを削除する許可を付与 書き込み

log-group*

DeleteSubscriptionFilter 指定されたロググループに関連付けられたサブスクリプションフィルターを削除する許可を付与 書き込み

log-group*

DeleteTransformer 指定されたロググループに関連付けられたトランスフォーマーを削除するアクセス許可を付与します 書き込み

log-group*

DescribeAccountPolicies アカウントにアタッチされたデータ保護ポリシーを取得するアクセス許可を付与します リスト
DescribeConfigurationTemplates 利用可能なログタイプの設定テンプレートのリストを取得する許可を付与する リスト
DescribeDeliveries アカウント内の配信のリストを取得する許可を付与 リスト
DescribeDeliveryDestinations アカウント内の配信先のリストを取得する許可を付与 リスト
DescribeDeliverySources アカウント内の配信元のリストを取得する許可を付与 リスト
DescribeDestinations リクエスト AWS アカウント を行う に関連付けられているすべての送信先を返すアクセス許可を付与します リスト
DescribeExportTasks リクエスト AWS アカウント を行う に関連付けられているすべてのエクスポートタスクを返すアクセス許可を付与します リスト
DescribeFieldIndexes ロググループにアタッチされているすべてのインデックス作成属性を返すアクセス許可を付与します リスト
DescribeIndexPolicies ロググループにアタッチされているすべてのインデックスポリシーを返すアクセス許可を付与します リスト
DescribeLogGroups リクエスト AWS アカウント を行う に関連付けられているすべてのロググループを返すアクセス許可を付与します リスト
DescribeLogStreams 指定されたロググループに関連付けられているすべてのログストリームを返す許可を付与 リスト

log-group*

DescribeMetricFilters 指定されたロググループに関連付けられているすべてのメトリクスフィルターを返す許可を付与 リスト

log-group*

DescribeQueries このアカウントでスケジュール、実行、または最近実行された CloudWatch Logs Insights クエリのリストを返すアクセス許可を付与します リスト
DescribeQueryDefinitions saved CloudWatch Logs Insights クエリ定義のページ分割されたリストを返すアクセス許可を付与します リスト
DescribeResourcePolicies このアカウントのすべてのリソースポリシーを返す許可を付与 リスト
DescribeSubscriptionFilters 指定されたロググループに関連付けられているすべてのサブスクリプションフィルターを返す許可を付与 リスト

log-group*

DisassociateKmsKey 関連付けられた AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) と指定されたロググループの関連付けを解除するアクセス許可を付与します 書き込み

log-group*

FilterLogEvents 指定されたロググループから、オプションのフィルターパターンによってフィルタリングされたログイベントを取得する許可を付与 読み取り

log-group*

GetDataProtectionPolicy ロググループにアタッチされたデータ保護ポリシーを取得する許可を付与 読み取り

log-group*

GetDelivery 単一の配信を取得する許可を付与 読み取り

delivery*

GetDeliveryDestination 単一の配信先を取得する許可を付与 読み取り

delivery-destination*

GetDeliveryDestinationPolicy 配信先にアタッチされている配信先ポリシーを取得する許可を付与 読み取り

delivery-destination*

GetDeliverySource 単一の配信元を取得する許可を付与 読み取り

delivery-source*

GetLogAnomalyDetector ログの異常ディテクターを取得するためのアクセス許可を付与 読み取り

anomaly-detector*

GetLogDelivery[アクセス許可のみ] 指定されたログ配信のログ配信情報を取得する許可を付与 読み取り
GetLogEvents 指定されたログストリームからログイベントを取得する許可を付与 読み取り

log-stream*

GetLogGroupFields 指定されたロググループのログイベントに含まれているフィールドのリストを、各フィールドが含まれているログイベントの割合と一緒に返す許可を付与 読み取り

log-group*

GetLogRecord 1 つのログイベントのすべてのフィールドおよび値を取得する許可を付与 読み取り

log-group*

GetQueryResults 指定されたクエリの結果を返す許可を付与 読み取り

log-group*

GetTransformer 指定されたロググループに関連付けられたトランスフォーマーを返すアクセス許可を付与します 読み取り

log-group*

モニタリングアカウントと CloudWatch リソースを共有するアクセス許可を付与します 書き込み
ListAnomalies リクエスト AWS アカウント を行う で検出されたすべての異常を一覧表示するアクセス許可を付与します リスト

anomaly-detector

ListEntitiesForLogGroup[アクセス許可のみ] ロググループに関連付けられているすべてのエンティティを取得するアクセス許可を付与します リスト
ListLogAnomalyDetectors リクエスト AWS アカウント を行う に関連付けられているすべての異常ディテクターを返すアクセス許可を付与します リスト

log-group

ListLogDeliveries[アクセス許可のみ] 指定されたアカウント/ログソースのすべてのログ配信を一覧表示する許可を付与 リスト
ListLogGroupsForEntity[アクセス許可のみ] エンティティに関連付けられているすべてのロググループを取得するアクセス許可を付与します リスト
ListLogGroupsForQuery 指定されたクエリに関連付けられているすべてのロググループを返すアクセス許可を付与します リスト
ListTagsForResource 指定されたリソースのタグを一覧表示するためのアクセス許可を付与 リスト

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

ListTagsLogGroup 指定されたロググループのタグを一覧表示する許可を付与 リスト

log-group*

PutAccountPolicy ログイベントから機密情報を検出して編集するために、アカウントレベルでデータ保護ポリシーをアタッチするアクセス許可を付与します 書き込み
PutDataProtectionPolicy ログイベントから機密情報を検出して編集するためのデータ保護ポリシーをアタッチする許可を付与 書き込み

log-group*

PutDeliveryDestination 配信先を作成または更新する許可を付与 書き込み

delivery-destination*

aws:TagKeys

aws:RequestTag/${TagKey}

logs:DeliveryDestinationResourceArn

PutDeliveryDestinationPolicy 配信先に配信先ポリシーをアタッチする許可を付与 書き込み

delivery-destination*

PutDeliverySource 配信元を作成または更新する許可を付与 書き込み

delivery-source*

aws:TagKeys

aws:RequestTag/${TagKey}

logs:LogGeneratingResourceArns

PutDestination 送信先を作成または更新する許可を付与 書き込み

destination*

iam:PassRole

aws:TagKeys

aws:RequestTag/${TagKey}

PutDestinationPolicy 既存の送信先に関連付けられたアクセスポリシーを作成または更新する許可を付与 書き込み

destination*

PutIndexPolicy ロググループレベルでインデックスポリシーをアタッチして検索とクエリを最適化するアクセス許可を付与します 書き込み
PutLogEvents ログイベントのバッチを指定されたログストリームにアップロードする許可を付与 書き込み

log-stream*

PutMetricFilter メトリクスフィルターの作成や更新の許可を付与し、それを指定されたロググループに関連付ける 書き込み

log-group*

PutQueryDefinition クエリ定義を作成または更新する許可を付与 書き込み
PutResourcePolicy リソースポリシーを作成または更新するアクセス許可を付与し、他の AWS サービスがこのアカウントにログイベントを配置できるようにします 権限の管理
PutRetentionPolicy 指定されたロググループの保持期間を設定する許可を付与 書き込み

log-group*

PutSubscriptionFilter サブスクリプションフィルターの作成や更新の許可を付与し、それを指定されたロググループに関連付ける 書き込み

log-group*

iam:PassRole

destination

PutTransformer トランスフォーマーを作成または更新するアクセス許可を付与し、指定したロググループに関連付けます 書き込み

log-group*

StartLiveTail CloudWatch Logs で Live Tail セッションを開始する許可を付与 読み取り

log-group*

StartQuery CloudWatch Logs Insights を使用してロググループのクエリをスケジュールするアクセス許可を付与します 読み取り

log-group*

StopLiveTail[アクセス許可のみ] 進行中のライブテールセッションを停止する許可を付与 読み取り
StopQuery 進行中の CloudWatch Logs Insights クエリを停止する許可を付与 読み取り
TagLogGroup 指定されたロググループの指定されたタグを追加または更新する許可を付与 タグ付け

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

TagResource 指定されたリソースの指定されたタグを追加または更新する許可を付与 タグ付け

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

aws:TagKeys

aws:RequestTag/${TagKey}

TestMetricFilter ログイベントメッセージのサンプルに対してメトリクスフィルターのフィルターパターンをテストする許可を付与 読み取り
TestTransformer ログイベントメッセージのサンプルに対してトランスフォーマーをテストするアクセス許可を付与します 読み取り
Unmask[アクセス許可のみ] データ保護ポリシーで編集されたマスクされていない状態のログイベントを取得する許可を付与 読み取り

log-group*

UntagLogGroup 指定されたロググループから指定されたタグを削除する許可を付与 タグ付け

log-group*

aws:TagKeys

UntagResource 指定されたリソースから指定されたタグを削除するためのアクセス許可を付与 タグ付け

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

aws:TagKeys

UpdateAnomaly ログの異常ディテクターによって報告された異常を更新するためのアクセス許可を付与 書き込み

anomaly-detector*

UpdateDeliveryConfiguration 配信に関連する設定を更新する許可を付与する 書き込み

delivery*

delivery-destination*

delivery-source*

aws:TagKeys

aws:RequestTag/${TagKey}

UpdateLogAnomalyDetector ログの異常ディテクターを更新するためのアクセス許可を付与 書き込み

anomaly-detector*

UpdateLogDelivery[アクセス許可のみ] 指定されたログ配信のログ配信情報を更新する許可を付与 書き込み

Amazon CloudWatch Logs で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
log-group arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}

aws:ResourceTag/${TagKey}

log-stream arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}

aws:ResourceTag/${TagKey}

destination arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}

aws:ResourceTag/${TagKey}

delivery-source arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}

aws:ResourceTag/${TagKey}

delivery arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}

aws:ResourceTag/${TagKey}

delivery-destination arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}

aws:ResourceTag/${TagKey}

anomaly-detector arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}

aws:ResourceTag/${TagKey}

Amazon CloudWatch Logs の条件キー

Amazon CloudWatch Logs では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOfString
logs:DeliveryDestinationResourceArn リクエストで渡されたログ送信先ARNでアクセスをフィルタリングします ARN
logs:LogGeneratingResourceArns リクエストで渡されたログ生成リソースARNsでアクセスをフィルタリングします ArrayOfARN