翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
統合に必要なアクセス許可
統合で使用する IAM ロールを作成する場合、CloudWatch Logs にロールの作成を許可する代わりに、次のアクセス許可と信頼ポリシーを含める必要があります。IAM ロールを作成する方法の詳細については、「 AWS サービスにアクセス許可を委任するロールを作成する」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchLogsAccess", "Effect": "Allow", "Action": [ "logs:StartQuery", "logs:GetLogGroupFields", "logs:GetQueryResults" ], "Resource": [ "*" ] }, { "Sid": "CloudWatchLogsDescribeLogGroupsAccess", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AmazonOpenSearchCollectionAccess", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } } ] } //Trust Policy { "Version": "2012-10-17", "Statement": [ { "Sid": "TrustPolicyForAmazonOpenSearchDirectQueryService", "Effect": "Allow", "Principal": { "Service": "directquery.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:opensearch:us-east-1:123456789012:datasource/cloudwatch_logs_*" } } } ] }
注記
前のロールは、アカウント内のすべてのロググループから読み取るアクセスを許可し、クロスアカウントロググループを含む任意のログアカウントのダッシュボードを作成できるようにします。特定のロググループへのアクセスを制限し、それらのロググループのみのダッシュボードを作成する場合は、そのポリシーの最初のステートメントを次のように更新できます。
{ "Sid": "CloudWatchLogsAccess", "Effect": "Allow", "Action": [ "logs:StartQuery", "logs:GetLogGroupFields", "logs:GetQueryResults" ], "Resource": [ "arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup:*", "arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup" ] }