Amazon CloudWatch Logs の Identity and Access Management
Amazon CloudWatch Logs へのアクセスには、AWS がリクエストを認証するために使用できる認証情報が必要です。これらの認証情報には、クラウドリソースに関する CloudWatch Logs データの取得などの AWS リソースへの許可が必要です。次のセクションでは、AWS Identity and Access Management (IAM) と CloudWatch Logs を使用して、リソースにアクセスできるユーザーを制御することで、リソースをセキュリティで保護する方法について詳しく説明します。
認証
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
-
AWS IAM Identity Center のユーザーとグループ:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する」を参照してください。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。手順については「IAM ユーザーガイド」の「IAM ユーザーのロールの作成」を参照してください。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。
-
アクセスコントロール
有効な認証情報があればリクエストを認証できますが、アクセス許可がなければ CloudWatch Logs リソースの作成やアクセスはできません。たとえば、ログストリーム、ロググループなどを作成する許可が必要となります。
以下のセクションでは、CloudWatch Logs のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。
