CloudWatch Logs でのアイデンティティベースのポリシー (IAM ポリシー) の使用 - Amazon CloudWatch Logs
CloudWatch コンソールの使用に必要な許可AWS CloudWatch Logs の マネージド (事前定義) ポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch Logs でのアイデンティティベースのポリシー (IAM ポリシー) の使用

このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。

重要

初めに、CloudWatch Logs リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「CloudWatch Logs リソースへの許可の管理の概要」を参照してください。

このトピックでは次の内容について説明します。

以下は、アクセス権限ポリシーの例です。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

このポリシーには、ロググループとログストリームを作成して、ログストリームにログイベントをアップロードし、ログストリームの詳細を一覧表示する権限を付与する 1 つのステートメントがあります。

このステートメントで Resource 値の末尾のワイルドカード文字 (*) は、任意のロググループに対して logs:CreateLogGrouplogs:CreateLogStreamlogs:PutLogEvents、および logs:DescribeLogStreams アクションを実行するためのアクセス権限を付与することを意味します。このアクセス権限を特定のロググループに制限するには、リソース ARN 内のワイルドカード文字 (*) を特定のロググループ ARN に置き換えます。IAM ポリシーステートメント内のセクションの詳細については、IAM ユーザーガイドの「IAM JSON ポリシーの要素のリファレンス」を参照してください。すべての CloudWatch Logs アクションを示すリストについては、「CloudWatch Logs の許可リファレンス」を参照してください。

CloudWatch コンソールの使用に必要な許可

ユーザーが CloudWatch コンソールで CloudWatch Logs を使用するには、そのユーザーに AWS アカウントの他の AWS リソースを記述できる最小限のアクセス許可のセットが必要です。CloudWatch Logs コンソールで CloudWatch Logs を使用するには、次のサービスからのアクセス許可が必要になります。

  • CloudWatch

  • CloudWatch Logs

  • OpenSearch Service

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。CloudWatchReadOnlyAccess で説明されているとおり、ユーザーが CloudWatch コンソールを使用できること、および、AWS CloudWatch Logs の マネージド (事前定義) ポリシー 管理ポリシーがユーザーにアタッチされていることを確認してください。

AWS CLI または CloudWatch Logs API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。

CloudWatch コンソールを使用してログのサブスクリプションを管理していないユーザーが、コンソールを使用するために必要なフルセットのアクセス許可は、次のとおりです。

  • cloudwatch:GetMetricData

  • cloudwatch:ListMetrics

  • logs:CancelExportTask

  • logs:CreateExportTask

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DeleteLogGroup

  • logs:DeleteLogStream

  • logs:DeleteMetricFilter

  • logs:DeleteQueryDefinition

  • logs:DeleteRetentionPolicy

  • logs:DeleteSubscriptionFilter

  • logs:DescribeExportTasks

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeMetricFilters

  • logs:DescribeQueryDefinitions

  • logs:DescribeQueries

  • logs:DescribeSubscriptionFilters

  • logs:FilterLogEvents

  • logs:GetLogEvents

  • logs:GetLogGroupFields

  • logs:GetLogRecord

  • logs:GetQueryResults

  • logs:PutMetricFilter

  • logs:PutQueryDefinition

  • logs:PutRetentionPolicy

  • logs:StartQuery

  • logs:StopQuery

  • logs:PutSubscriptionFilter

  • logs:TestMetricFilter

コンソールを使用してログのサブスクリプションを管理するユーザーには、以下のアクセス許可も必要です。

  • es:DescribeElasticsearchDomain

  • es:ListDomainNames

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • kinesis:DescribeStreams

  • kinesis:ListStreams

  • lambda:AddPermission

  • lambda:CreateFunction

  • lambda:GetFunctionConfiguration

  • lambda:ListAliases

  • lambda:ListFunctions

  • lambda:ListVersionsByFunction

  • lambda:RemovePermission

  • s3:ListBuckets

AWS CloudWatch Logs の マネージド (事前定義) ポリシー

AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

アカウントのユーザーとロールにアタッチできる以下の AWS 管理ポリシーは、CloudWatch Logs に固有です。

  • CloudWatchLogsFullAccess – CloudWatch Logs へのフルアクセスを付与します。

  • CloudWatchLogsReadOnlyAccess – CloudWatch Logs への読み取り専用アクセスを付与します。

CloudWatchLogsFullAccess

CloudWatchLogsFullAccess ポリシーは、CloudWatch Logs へのフルアクセスを付与します。ポリシーには cloudwatch:GenerateQueryおよび アクセスcloudwatch:GenerateQueryResultsSummary許可が含まれているため、このポリシーを持つユーザーは自然言語プロンプトから CloudWatch Logs Insights クエリ文字列を生成できます。ポリシーの詳細については、「 AWS マネージドポリシーリファレンスガイド」のCloudWatchLogsFullAccess」を参照してください。

[CloudWatchLogsReadOnlyAccess]

CloudWatchLogsReadOnlyAccess ポリシーは、CloudWatch Logs への読み取り専用のアクセス権限を付与します。これには cloudwatch:GenerateQueryおよび アクセスcloudwatch:GenerateQueryResultsSummary許可が含まれており、このポリシーを持つユーザーは自然言語プロンプトから CloudWatch Logs Insights クエリ文字列を生成できます。ポリシーの詳細については、「 AWS マネージドポリシーリファレンスガイド」のCloudWatchLogsReadOnlyAccess」を参照してください。

CloudWatchOpenSearchDashboardsFullAccess

CloudWatchOpenSearchDashboardsFullAccess ポリシーは、OpenSearch Service との統合を作成、管理、削除し、それらの統合で提供されたログダッシュボードを作成および管理するためのアクセス権を付与します。詳細については、「Amazon OpenSearch Service で分析する」を参照してください。

ポリシーの詳細については、「 AWS マネージドポリシーリファレンスガイド」のCloudWatchOpenSearchDashboardsFullAccess」を参照してください。

CloudWatchOpenSearchDashboardAccess

CloudWatchOpenSearchDashboardAccess ポリシーは、 Amazon OpenSearch Service 分析で作成された販売ログダッシュボードを表示するアクセスを許可します。詳細については、「Amazon OpenSearch Service で分析する」を参照してください。

重要

このポリシーの付与に加えて、ロールまたはユーザーが提供されたログダッシュボードを表示できるようにするには、OpenSearch Service との統合を作成するときにそれらも指定する必要があります。詳細については、「ステップ 1: OpenSearch Service との統合を作成する」を参照してください。

ポリシーの詳細については、「 AWS マネージドポリシーリファレンスガイド」のCloudWatchOpenSearchDashboardAccess」を参照してください。

CloudWatchLogsCrossAccountSharingConfiguration

CloudWatchCrossAccountSharingConfiguration ポリシーは、アカウント間で CloudWatch Logs リソースを共有するための Observability Access Manager リンクを作成、管理、および表示するためのアクセス許可を付与します。詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。

ポリシーの詳細については、「 AWS マネージドポリシーリファレンスガイド」のCloudWatchLogsCrossAccountSharingConfiguration」を参照してください。

AWS マネージドポリシーに対する CloudWatch Logs の更新

このサービスがこれらの変更の追跡を開始してからの CloudWatch Logs の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、CloudWatch Logs ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

変更 説明 日付

CloudWatchLogsFullAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsFullAccess に対するアクセス許可を追加しました。

のアクセス許可cloudwatch:GenerateQueryResultsSummaryが追加され、クエリ結果の自然言語の概要を生成できるようになりました。

2025 年 5 月 20 日

CloudWatchLogsReadOnlyAccess — 既存のポリシーへの更新。

CloudWatch Logs が、CloudWatchLogsReadOnlyAccess に対するアクセス許可を追加しました。

のアクセス許可cloudwatch:GenerateQueryResultsSummaryが追加され、クエリ結果の自然言語の概要を生成できるようになりました。

2025 年 5 月 20 日

CloudWatchLogsFullAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsFullAccess に対するアクセス許可を追加しました。

一部の機能で CloudWatch Logs と OpenSearch Service の統合を有効にするために、 Amazon OpenSearch Service および IAM のアクセス許可が追加されました。

2024 年 12 月 1 日

CloudWatchOpenSearchDashboardsFullAccess – 新しい IAM ポリシー。

CloudWatch Logs に新しい IAM ポリシー CloudWatchOpenSearchDashboardsFullAccess が追加されました。- このポリシーは、OpenSearch Service との統合を作成、管理、削除したり、それらの統合で提供されたログダッシュボードを作成、管理、削除したりするためのアクセス許可を付与します。詳細については、「Amazon OpenSearch Service で分析する」を参照してください。

2024 年 12 月 1 日

CloudWatchOpenSearchDashboardAccess – 新しい IAM ポリシー。

CloudWatch Logs に新しい IAM ポリシーである CloudWatchOpenSearchDashboardAccess が追加されました。- このポリシーは、 を使用した販売ログダッシュボードを表示するアクセス許可を付与します Amazon OpenSearch Service。詳細については、「Amazon OpenSearch Service で分析する」を参照してください。

2024 年 12 月 1 日

CloudWatchLogsFullAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsFullAccess にアクセス許可を追加しました。

このポリシーを持つユーザーが自然言語プロンプトから CloudWatch Logs Insights クエリ文字列を生成できるように、cloudwatch:GenerateQuery アクセス許可を追加しました。

2023 年 11 月 27 日

CloudWatchLogsReadOnlyAccess — 既存のポリシーへの更新。

CloudWatch が、CloudWatchLogsReadOnlyAccess にアクセス許可を追加しました。

このポリシーを持つユーザーが自然言語プロンプトから CloudWatch Logs Insights クエリ文字列を生成できるように、cloudwatch:GenerateQuery アクセス許可を追加しました。

2023 年 11 月 27 日

CloudWatchLogsReadOnlyAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsReadOnlyAccess に対するアクセス許可を追加しました。

logs:StartLiveTail および logs:StopLiveTail のアクセス権限が追加されたため、このポリシーを持つユーザーは、コンソールを使用して CloudWatch Logs の Live Tail セッションを開始および停止できます。詳細については、「ライブテールを使用してほぼリアルタイムでログを表示する」を参照してください。

 2023 年 6 月 6 日

CloudWatchCrossAccountSharingConfiguration – 新しいポリシー

CloudWatch Logs が、CloudWatch Logs ロググループを共有する CloudWatch クロスアカウントオブザーバビリティのリンクを管理できるようにする新しいポリシーを追加しました。

詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。

 2022 年 11 月 27 日

CloudWatchLogsReadOnlyAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsReadOnlyAccess に対するアクセス許可を追加しました。

このポリシーを持つユーザーがコンソールを使用して、CloudWatch のクロスアカウントオブザーバビリティでソースアカウントから共有されたデータを表示できるようにするための oam:ListSinks および oam:ListAttachedLinks 許可が追加されました。

 2022 年 11 月 27 日

カスタマーマネージドポリシーの例

独自のカスタム IAM ポリシーを作成して、CloudWatch Logs アクションとリソースのためのアクセス権限を許可することができます。こうしたカスタムポリシーは、該当するアクセス許可が必要なユーザーまたはグループにアタッチできます。

このセクションでは、さまざまな CloudWatch Logs アクションのアクセス許可を付与するユーザーポリシー例を示しています。これらのポリシーは、CloudWatch Logs API、 AWS SDK、または AWS CLIを使用しているときに機能します。

例 1: CloudWatch Logs へのフルアクセスを許可する

以下のポリシーでは、ユーザーにすべての CloudWatch Logs アクションへのアクセスを許可します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

例 2: CloudWatch Logs への読み取り専用アクセスを許可する

AWS には、CloudWatch Logs データへの読み取り専用アクセスを有効にする CloudWatchLogsReadOnlyAccess ポリシーが用意されています。 CloudWatch このポリシーには、以下のアクセス許可が含まれています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

例 3: 1 つのロググループへのアクセスを許可する

次のポリシーでは、指定した 1 つのロググループのログイベントの読み取りと書き込みをユーザーに許可します。

重要

Resource 行のロググループ名の末尾にある :* は、ポリシーがこのロググループのすべてのログストリームに適用されることを示すために必要です。:* を省略すると、ポリシーは適用されません。

{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

ロググループレベルでのコントロールのためにタグ付けと IAM ポリシーを使用する

他のロググループへのアクセスを防止しながら、特定のロググループへのアクセスをユーザーに許可することができます。これを行うには、ロググループにタグを付け、IAM ポリシーを使用してそれらのタグを参照します。タグをロググループに適用するには、logs:TagResource または logs:TagLogGroup のアクセス許可が必要です。これは、作成時にロググループにタグを割り当てる場合と、後で割り当てる場合の両方に当てはまります。

ロググループのタグ付けの詳細については、「Amazon CloudWatch Logs のロググループにタグを付ける」を参照してください。

ロググループにタグを付けるときは、特定のタグを持つロググループのみにアクセスを許可する IAM ポリシーをユーザーに付与できます。たとえば、以下のポリシーステートメントでは、タグキー Green の値が Team のロググループにのみアクセス権が付与されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

StopQuery および StopLiveTail API オペレーションは、従来の意味では AWS リソースとやり取りしません。何らかの方法でデータを返したり、データを入力したり、リソースを変更したりすることはありません。代わりに、特定のライブテールセッションまたは特定の CloudWatch Logs Insights クエリなど、リソースとして分類されていないものでのみ動作します。そのため、これらの操作の IAM ポリシーで Resource フィールドを指定するとき、次の例のように、Resource フィールドの値を * として設定する必要があります。

{
    "Version": "2012-10-17", 
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}

IAM ポリシーステートメントの詳細については、『IAM ユーザーガイド』の「ポリシーを使用したアクセス制御」を参照してください。