CloudWatch Logs 리소스에 대한 액세스 권한 관리 개요 - Amazon CloudWatch Logs

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudWatch Logs 리소스에 대한 액세스 권한 관리 개요

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

  • 의 사용자 및 그룹 AWS IAM Identity Center:

    권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서권한 세트 생성의 지침을 따릅니다.

  • 자격 증명 공급자를 IAM 통해 에서 관리되는 사용자:

    ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서타사 자격 증명 공급자(연맹)에 대한 역할 생성의 지침을 따릅니다.

  • IAM 사용자:

    • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서 IAM 사용자 역할 생성의 지침을 따릅니다.

    • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서사용자(콘솔)에 권한 추가의 지침을 따릅니다.

CloudWatch 리소스 및 작업을 로깅합니다.

CloudWatch 로그에서 기본 리소스는 로그 그룹, 로그 스트림 및 대상입니다. CloudWatch 로그는 하위 리소스(기본 리소스와 함께 사용할 다른 리소스)를 지원하지 않습니다.

이러한 리소스 및 하위 리소스에는 다음 표와 같이 고유한 Amazon 리소스 이름(ARNs)이 연결되어 있습니다.

리소스 유형 ARN 형식

로그 그룹

다음 두 가지가 모두 사용됩니다. :* 끝에 가 있는 두 번째는 describe-log-groups CLI 명령과 DescribeLogGroups 에서 반환하는 것입니다API.

arn:aws:logs:region:account-id:log-group:log_group_name

arn:aws:logs:region:account-id:log-group:log_group_name:*

다음과 같은 상황에서는 후행 :* 없이 첫 번째 버전을 사용합니다.

  • 많은 의 logGroupIdentifier 입력 필드에서 CloudWatch Logs APIs.

  • 태그 지정의 resourceArn 필드에서 APIs

  • IAM 정책에서 , TagResource UntagResource및 에 대한 권한을 지정할 때. ListTagsForResource

다른 모든 API 작업에 대한 IAM 정책에서 권한을 지정할 ARN 때 를 참조:*하려면 후행 와 함께 두 번째 버전을 사용합니다.

로그 스트림

arn:aws:logs:region:account-id:log-group:log_group_name:log-stream:log-stream-name

대상

arn:aws:logs:region:account-id:대상:destination_name

에 대한 자세한 내용은 사용 설명서ARNs의 섹션을 ARNs참조하세요. IAM CloudWatch 로그에 대한 자세한 내용은 의 Amazon 리소스 이름(ARNs)을 ARNs참조하세요Amazon Web Services 일반 참조. CloudWatch 로그를 다루는 정책의 예는 섹션을 참조하세요 CloudWatch 로그에 자격 증명 기반 정책(IAM 정책) 사용.

CloudWatch Logs는 CloudWatch Logs 리소스와 함께 작동하는 일련의 작업을 제공합니다. 사용 가능한 작업 목록은 CloudWatch 로그 권한 참조 섹션을 참조하십시오.

리소스 소유권 이해

AWS 계정은 누가 리소스를 생성했는지에 관계없이 계정에 생성된 리소스를 소유합니다. 특히 리소스 소유자는 리소스 생성 요청을 인증하는 AWS 보안 주체 엔터티(즉, 루트 계정, 사용자 또는 IAM 역할)의 계정입니다. 다음 예에서는 이러한 작동 방식을 설명합니다.

  • AWS 계정의 루트 계정 자격 증명을 사용하여 로그 그룹을 생성하는 경우 해당 AWS 계정은 CloudWatch Logs 리소스의 소유자입니다.

  • AWS 계정에 사용자를 생성하고 해당 사용자에게 CloudWatch 로그 리소스를 생성할 수 있는 권한을 부여하는 경우 사용자는 CloudWatch 로그 리소스를 생성할 수 있습니다. 하지만 사용자가 속한 AWS 계정은 CloudWatch Logs 리소스를 소유합니다.

  • CloudWatch 로그 리소스를 생성할 수 있는 권한이 있는 IAM 역할을 AWS 계정에 생성하는 경우 역할을 수임할 수 있는 모든 사용자가 CloudWatch 로그 리소스를 생성할 수 있습니다. 역할이 속한 AWS 계정은 CloudWatch Logs 리소스를 소유합니다.

리소스 액세스 관리

권한 정책은 누가 무엇에 액세스할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.

참고

이 섹션에서는 CloudWatch 로그의 컨텍스트IAM에서 를 사용하는 방법에 대해 설명합니다. IAM 서비스에 대한 자세한 정보는 제공하지 않습니다. 전체 IAM 설명서는 IAM 사용 설명서IAM?란 무엇입니까?를 참조하세요. IAM 정책 구문 및 설명에 대한 자세한 내용은 IAM 사용 설명서IAM 정책 참조를 참조하세요.

IAM 자격 증명에 연결된 정책은 자격 증명 기반 정책(IAM정책)이라고 하며 리소스에 연결된 정책은 리소스 기반 정책이라고 합니다. CloudWatch Logs는 자격 증명 기반 정책 및 대상에 대한 리소스 기반 정책을 지원하며, 이는 교차 계정 구독을 활성화하는 데 사용됩니다. 자세한 내용은 교차 계정 교차 리전 구독 단원을 참조하십시오.

로그 그룹 권한 및 Contributor Insights

Contributor Insights는 로그 그룹의 데이터를 분석하고 기여자 데이터를 표시하는 시계열을 생성할 CloudWatch 수 있는 의 기능입니다. 상위 N개의 기고자, 총 고유 기고자 수 및 사용량에 대한 지표를 볼 수 있습니다. 자세한 내용은 Contributor Insights를 사용하여 높은 카디널리티 데이터 분석을 참조하세요.

사용자에게 cloudwatch:PutInsightRulecloudwatch:GetInsightRuleReport 권한을 부여하면 해당 사용자는 CloudWatch 로그에서 모든 로그 그룹을 평가하는 규칙을 생성한 다음 결과를 볼 수 있습니다. 결과에는 이러한 로그 그룹에 대한 기여자 데이터가 포함될 수 있습니다. 이 데이터를 볼 수 있어야 하는 사용자에게만 해당 권한을 부여해야 합니다.

리소스 기반 정책

CloudWatch 로그는 크로스 계정 구독을 활성화하는 데 사용할 수 있는 대상에 대한 리소스 기반 정책을 지원합니다. 자세한 내용은 1단계: 대상 생성 단원을 참조하십시오. 대상은 PutDestination 를 사용하여 생성할 수 있으며 API를 사용하여 대상에 리소스 정책을 추가할 수 있습니다PutDestinationPolicyAPI. 다음 예제에서는 AWS 계정 ID가 111122223333인 다른 계정이 대상 에 로그 그룹을 구독하도록 허용합니다arn:aws:logs:us-east-1:123456789012:destination:testDestination.

{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : { "AWS" : "111122223333" }, "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination" } ] }

정책 요소 지정: 작업, 효과, 보안 주체

각 CloudWatch Logs 리소스에 대해 서비스는 일련의 API 작업을 정의합니다. 이러한 API 작업에 대한 권한을 부여하기 위해 CloudWatch Logs는 정책에서 지정할 수 있는 일련의 작업을 정의합니다. 일부 API 작업은 API 작업을 수행하기 위해 둘 이상의 작업에 대한 권한이 필요할 수 있습니다. 리소스 및 API 작업에 대한 자세한 내용은 CloudWatch 리소스 및 작업을 로깅합니다. 및 섹션을 참조하세요CloudWatch 로그 권한 참조.

다음은 기본 정책 요소입니다.

  • 리소스 - Amazon 리소스 이름(ARN)을 사용하여 정책이 적용되는 리소스를 식별합니다. 자세한 내용은 CloudWatch 리소스 및 작업을 로깅합니다. 단원을 참조하십시오.

  • 조치 – 조치 키워드를 사용하여 허용 또는 거부할 리소스 작업을 식별합니다. 예를 들어, logs.DescribeLogGroups 권한은 사용자에게 DescribeLogGroups 작업 수행 권한을 허용합니다.

  • Effect - 사용자가 특정 작업을 요청할 때 허용할지 아니면 거부할지 그 결과를 지정합니다. 명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 묵시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다.

  • 보안 주체 - 자격 증명 기반 정책(IAM 정책)에서 정책이 연결된 사용자는 암시적 보안 주체입니다. 리소스 기반 정책의 경우 권한을 받을 사용자, 계정, 서비스 또는 기타 엔터티를 지정합니다(리소스 기반 정책에만 적용). CloudWatch 로그는 대상에 대한 리소스 기반 정책을 지원합니다.

IAM 정책 구문 및 설명에 대한 자세한 내용은 IAM 사용 설명서AWS IAM 정책 참조를 참조하세요.

모든 CloudWatch 로그 API 작업과 해당 작업이 적용되는 리소스를 보여주는 표는 섹션을 참조하세요CloudWatch 로그 권한 참조.

정책에서 조건 지정

권한을 부여할 때 액세스 정책 언어를 사용하여 조건이 적용되는 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어로 조건을 지정하는 방법에 대한 자세한 내용은 IAM 사용 설명서조건을 참조하세요.

조건을 표시하려면 미리 정의된 조건 키를 사용합니다. 각 AWS 서비스에서 지원하는 컨텍스트 키 목록과 AWS전체 정책 키 목록은 AWS 서비스 및 전역 조건 컨텍스트 키 에 대한 작업, 리소스 AWS 및 조건 키를 참조하세요.

참고

태그를 사용하여 CloudWatch 로그 그룹 및 대상을 포함한 로그 리소스에 대한 액세스를 제어할 수 있습니다. 로그 그룹과 로그 스트림 간의 계층적 관계로 인해 로그 스트림에 대한 액세스는 로그 그룹 수준에서 제어됩니다. 태그를 사용하여 액세스를 제어하는 방법에 대한 자세한 내용은 태그를 사용하여 Amazon Web Services 리소스에 대한 액세스 제어를 참조하세요.