Amazon CloudWatch Logs のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon CloudWatch Logs のアクション、リソース、および条件キー

Amazon CloudWatch Logs (サービスプレフィックス: logs) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon CloudWatch Logs で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateKmsKey 指定された AWS Key Management Service (AWS KMS) のカスタマーマスターキー (CMK) を指定されたロググループに関連付けます。 書き込み

log-group*

CancelExportTask 保留中または実行中の状態の場合、エクスポートタスクをキャンセルします 書き込み
CreateExportTask ロググループから Amazon S3 バケットにデータを効率的にエクスポートできる ExportTask を作成します 書き込み

log-group*

CreateLogDelivery [アクセス許可のみ] ログ配信を作成します 書き込み
CreateLogGroup 指定された名前で新しいロググループを作成します 書き込み

log-group*

CreateLogStream 指定された名前で新しいログストリームを作成します 書き込み

log-group*

DeleteDestination 指定された名前の宛先を削除し、最終的にそれに発行するすべてのサブスクリプションフィルターを無効にします 書き込み
DeleteLogDelivery [アクセス許可のみ] 指定したログ配信のログ配信情報を削除します。 書き込み
DeleteLogGroup 指定された名前のロググループを削除し、それに関連付けられてアーカイブされたすべてのログイベントを完全に削除します 書き込み

log-group*

DeleteLogStream ログストリームを削除し、それに関連付けられてアーカイブされたすべてのログイベントを完全に削除します 書き込み

log-stream*

DeleteMetricFilter 指定したロググループに関連付けられたメトリックフィルターを削除します 書き込み

log-group*

DeleteQueryDefinition 保存された CloudWatch Logs Insights のクエリ定義を削除します 書き込み
DeleteResourcePolicy このアカウントからリソースポリシーを削除します 書き込み
DeleteRetentionPolicy 指定したロググループの保持期間ポリシーを削除します 書き込み

log-group*

DeleteSubscriptionFilter 指定したロググループに関連付けられたサブスクリプションフィルターを削除します 書き込み

log-group*

DescribeDestinations リクエストする AWS アカウントに関連付けられているすべての送り先を返します リスト
DescribeExportTasks リクエストする AWS アカウントに関連付けられているすべてのエクスポートタスクを返します リスト
DescribeLogGroups リクエストする AWS アカウントに関連付けられているすべてのロググループを返します リスト

log-group*

DescribeLogStreams 指定されたロググループに関連付けられているすべてのログストリームを返します リスト

log-group*

DescribeMetricFilters 指定されたロググループに関連付けられているすべてのメトリックフィルターを返します リスト

log-group*

DescribeQueries このアカウントでスケジュールされている、実行されている、または最近実行された CloudWatch Logs Insights クエリのリストを返します。すべてのクエリをリクエストしたり、それを特定のロググループのクエリまたは特定のステータスのクエリに制限したりすることができます。 リスト
DescribeQueryDefinitions 保存した CloudWatch Logs Insights のクエリ定義のページ分割されたリストを返します。 リスト
DescribeResourcePolicies このアカウントのすべてのリソースポリシーを返します。 リスト
DescribeSubscriptionFilters 指定されたロググループに関連付けられているすべてのサブスクリプションを返します リスト

log-group*

DisassociateKmsKey 指定されたロググループから、関連付けられている AWS Key Management Service (AWS KMS) のカスタマーマスターキー (CMK) の関連付けを解除します 書き込み

log-group*

FilterLogEvents 指定したロググループからフィルターパターンによってフィルタリングされたログイベントを取得します Read

log-group*

GetLogDelivery [アクセス許可のみ] 指定したログ配信のログ配信情報を取得します。 Read
GetLogEvents 指定されたログストリームからログイベントを取得します Read

log-stream*

GetLogGroupFields 指定したロググループのログイベントに含まれているフィールドのリストを、各フィールドが含まれているログイベントの割合と一緒に返します。検索は、指定した期間に制限されます。 Read

log-group*

GetLogRecord 1 つのログイベントのすべてのフィールドおよび値を取得します。logRecordPointer を生成した元のクエリがフィールドのサブセットのみを取得した場合でも、すべてのフィールドが取得されます。フィールドは、フィールド名とフィールド値のペアとして返されます。 Read
GetQueryResults 指定したクエリの結果を返します。クエリが実行中の場合、現在の実行の部分的な結果が返されます。クエリでリクエストされたフィールドのみが返されます。 Read
ListLogDeliveries [アクセス許可のみ] 指定したアカウント/ログソースのすべてのログ配信を一覧表示します リスト
ListTagsLogGroup 指定したロググループのタグを一覧表示します リスト

log-group*

PutDestination 送信先を作成または更新します 書き込み

iam:PassRole

PutDestinationPolicy 既存の宛先に関連付けられたアクセスポリシーを作成または更新します 書き込み
PutLogEvents 一連のログイベントのバッチを指定されたログストリームにアップロードします 書き込み

log-stream*

PutMetricFilter メトリクスフィルターの作成や更新、またはそれをロググループに関連付けるのに必要です。 書き込み

log-group*

PutQueryDefinition メトリクスフィルターの作成や更新、またはそれをロググループに関連付けるのに必要です。 書き込み
PutResourcePolicy 他の AWS サービスがログイベントをこのアカウントに入れることを許可するリソースポリシーを作成または更新します 書き込み
PutRetentionPolicy 指定したロググループの保持期間を設定します 書き込み

log-group*

PutSubscriptionFilter サブスクリプションフィルターの作成や更新、またはそれをロググループに関連付けるのに必要です。 書き込み

log-group*

iam:PassRole

StartQuery CloudWatch Logs Insights を使用してロググループのクエリをスケジュールします。クエリを実行するロググループと時間範囲、および使用するクエリ文字列を指定します。 Read

log-group*

StopQuery 進行中の CloudWatch Logs Insights クエリを停止します。クエリがすでに終了した場合は、このオペレーションにより、指定したクエリが実行されていないことを示すエラーが返されます。 Read
TagLogGroup 指定したロググループの指定したタグを追加または更新します。 書き込み

log-group*

TestMetricFilter ログイベントメッセージのサンプルに対してメトリックフィルターのフィルターパターンをテストします Read
UntagLogGroup 指定したロググループから指定したタグを削除します 書き込み

log-group*

UpdateLogDelivery [アクセス許可のみ] 指定したログ配信のログ配信情報を更新します。 書き込み

Amazon CloudWatch Logs で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
log-group arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
log-stream arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
destination arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}

Amazon CloudWatch Logs の条件キー

CloudWatch Logs には、ポリシーステートメントの Condition 要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。