CloudWatch Logs でのアイデンティティベースのポリシー (IAM ポリシー) の使用 - Amazon CloudWatch Logs
CloudWatch コンソールの使用に必要な許可AWSCloudWatch Logs の マネージド (事前定義) ポリシー

CloudWatch Logs でのアイデンティティベースのポリシー (IAM ポリシー) の使用

このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。

重要

初めに、CloudWatch Logs リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「CloudWatch Logs リソースへの許可の管理の概要」を参照してください。

このトピックでは次の内容について説明します。

以下は、アクセス権限ポリシーの例です。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

このポリシーには、ロググループとログストリームを作成して、ログストリームにログイベントをアップロードし、ログストリームの詳細を一覧表示する権限を付与する 1 つのステートメントがあります。

このステートメントで Resource 値の末尾のワイルドカード文字 (*) は、任意のロググループに対して logs:CreateLogGrouplogs:CreateLogStreamlogs:PutLogEvents、および logs:DescribeLogStreams アクションを実行するためのアクセス権限を付与することを意味します。このアクセス権限を特定のロググループに制限するには、リソース ARN 内のワイルドカード文字 (*) を特定のロググループ ARN に置き換えます。IAM ポリシーステートメント内のセクションの詳細については、IAM ユーザーガイドの「IAM JSON ポリシーの要素のリファレンス」を参照してください。すべての CloudWatch Logs アクションを示すリストについては、「CloudWatch Logs の許可リファレンス」を参照してください。

CloudWatch コンソールの使用に必要な許可

CloudWatch コンソールで CloudWatch Logs を使用して作業するユーザーの場合、そのユーザーは、他の AWS リソースを AWS アカウントで記述できる、最小限の許可を持っている必要があります。CloudWatch Logs コンソールで CloudWatch Logs を使用するには、次のサービスからのアクセス許可が必要になります。

  • CloudWatch

  • CloudWatch Logs

  • OpenSearch Service

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。AWSCloudWatch Logs の マネージド (事前定義) ポリシー で説明されているとおり、ユーザーが CloudWatch コンソールを使用できること、および、CloudWatchReadOnlyAccess 管理ポリシーがユーザーにアタッチされていることを確認してください。

AWS CLI または CloudWatch Logs API のみを呼び出すユーザーには、最小限のコンソール許可を付与する必要はありません。

CloudWatch コンソールを使用してログのサブスクリプションを管理していないユーザーが、コンソールを使用するために必要なフルセットのアクセス許可は、次のとおりです。

  • cloudwatch:GetMetricData

  • cloudwatch:ListMetrics

  • logs:CancelExportTask

  • logs:CreateExportTask

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DeleteLogGroup

  • logs:DeleteLogStream

  • logs:DeleteMetricFilter

  • logs:DeleteQueryDefinition

  • logs:DeleteRetentionPolicy

  • logs:DeleteSubscriptionFilter

  • logs:DescribeExportTasks

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeMetricFilters

  • logs:DescribeQueryDefinitions

  • logs:DescribeQueries

  • logs:DescribeSubscriptionFilters

  • logs:FilterLogEvents

  • logs:GetLogEvents

  • logs:GetLogGroupFields

  • logs:GetLogRecord

  • logs:GetQueryResults

  • logs:PutMetricFilter

  • logs:PutQueryDefinition

  • logs:PutRetentionPolicy

  • logs:StartQuery

  • logs:StopQuery

  • logs:PutSubscriptionFilter

  • logs:TestMetricFilter

コンソールを使用してログのサブスクリプションを管理するユーザーには、以下のアクセス許可も必要です。

  • es:DescribeElasticsearchDomain

  • es:ListDomainNames

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • kinesis:DescribeStreams

  • kinesis:ListStreams

  • lambda:AddPermission

  • lambda:CreateFunction

  • lambda:GetFunctionConfiguration

  • lambda:ListAliases

  • lambda:ListFunctions

  • lambda:ListVersionsByFunction

  • lambda:RemovePermission

  • s3:ListBuckets

AWSCloudWatch Logs の マネージド (事前定義) ポリシー

AWS は、 によって作成され管理されるスタンドアロンの IAM ポリシーを提供することで、多くの一般的ユースケースに対応します。AWSマネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

アカウントのユーザーとロールにアタッチ可能な以下の AWS マネージドポリシーは、CloudWatch Logs に固有のものです。

  • CloudWatchLogsFullAccess – CloudWatch Logs へのフルアクセスを付与します。

  • CloudWatchLogsReadOnlyAccess – CloudWatch Logs への読み取り専用アクセスを付与します。

CloudWatchLogsFullAccess

CloudWatchLogsFullAccess ポリシーは、CloudWatch Logs へのフルアクセスを付与します。このポリシーを持つユーザーが自然言語プロンプトから CloudWatch Logs Insights クエリ文字列を生成できるように、このポリシーには cloudwatch:GenerateQuery および cloudwatch:GenerateQueryResultsSummary のアクセス許可が含まれています。このポリシーのすべての内容については、「AWS マネージドポリシーリファレンスガイド」の「CloudWatchLogsFullAccess」を参照してください。

[CloudWatchLogsReadOnlyAccess]

CloudWatchLogsReadOnlyAccess ポリシーは、CloudWatch Logs への読み取り専用のアクセス権限を付与します。このポリシーを持つユーザーが自然言語プロンプトから CloudWatch Logs Insights クエリ文字列を生成できるように、このポリシーには cloudwatch:GenerateQuery および cloudwatch:GenerateQueryResultsSummary のアクセス許可が含まれています。このポリシーのすべての内容については、「AWS マネージドポリシーリファレンスガイド」の「CloudWatchLogsReadOnlyAccess」を参照してください。

CloudWatchOpenSearchDashboardsFullAccess

CloudWatchOpenSearchDashboardsFullAccess ポリシーは、OpenSearch Service との統合を作成、管理、削除し、それらの統合において提供されるログダッシュボードを作成、削除、管理するためのアクセス権限を付与します。詳細については、「Amazon OpenSearch Service で分析する」を参照してください。

このポリシーのすべての内容については、「AWS マネージドポリシーリファレンスガイド」の「CloudWatchOpenSearchDashboardsFullAccess」を参照してください。

CloudWatchOpenSearchDashboardAccess

CloudWatchOpenSearchDashboardAccess ポリシーは、Amazon OpenSearch Service 分析で作成され、提供されるログダッシュボードを表示するアクセス権を付与します。詳細については、「Amazon OpenSearch Service で分析する」を参照してください。

重要

このポリシーの付与に加えて、ロールまたはユーザーが提供されるログダッシュボードを表示できるようにするには、OpenSearch Service との統合を作成するときにそれらも指定する必要があります。詳細については、「ステップ 1: OpenSearch Service との統合を作成する」を参照してください。

このポリシーのすべての内容については、「AWS マネージドポリシーリファレンスガイド」の「CloudWatchOpenSearchDashboardAccess」を参照してください。

CloudWatchLogsCrossAccountSharingConfiguration

CloudWatchCrossAccountSharingConfiguration ポリシーは、アカウント間で CloudWatch Logs リソースを共有するための Observability Access Manager リンクを作成、管理、および表示するためのアクセス許可を付与します。詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。

このポリシーのすべての内容については、「AWS マネージドポリシーリファレンスガイド」の「CloudWatchLogsCrossAccountSharingConfiguration」を参照してください。

CloudWatch Logs の AWS マネージドポリシーへの更新

このサービスがこれらの変更の追跡を開始した後の、CloudWatch Logs の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、CloudWatch Logs ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

変更 説明 日付

CloudWatchLogsFullAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsFullAccess に対するアクセス許可を追加しました。

cloudwatch:GenerateQueryResultsSummary のアクセス許可が追加され、クエリ結果の自然言語の概要を生成できるようになりました。

2025 年 5 月 20 日

CloudWatchLogsReadOnlyAccess — 既存のポリシーへの更新。

CloudWatch Logs が、CloudWatchLogsReadOnlyAccess に対するアクセス許可を追加しました。

cloudwatch:GenerateQueryResultsSummary のアクセス許可が追加され、クエリ結果の自然言語の概要を生成できるようになりました。

2025 年 5 月 20 日

CloudWatchLogsFullAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsFullAccess に対するアクセス許可を追加しました。

一部の機能において CloudWatch Logs と OpenSearch Service の統合を有効にするため、Amazon OpenSearch Service と IAM へのアクセス許可が追加されました。

2024 年 12 月 1 日

CloudWatchOpenSearchDashboardsFullAccess – 新しい IAM ポリシー。

CloudWatch Logs は新しい IAM ポリシーである CloudWatchOpenSearchDashboardsFullAccess を追加しました。- このポリシーは、OpenSearch Service との統合を作成、管理、削除し、それらの統合において提供されるログダッシュボードを作成、管理、削除するためのアクセス権限を付与します。詳細については、「Amazon OpenSearch Service で分析する」を参照してください。

2024 年 12 月 1 日

CloudWatchOpenSearchDashboardAccess – 新しい IAM ポリシー。

CloudWatch Logs は新しい IAM ポリシーである CloudWatchOpenSearchDashboardAccess を追加しました。- このポリシーは、Amazon OpenSearch Service を利用して提供されるログダッシュボードを表示するためのアクセス権限を付与します。詳細については、「Amazon OpenSearch Service で分析する」を参照してください。

2024 年 12 月 1 日

CloudWatchLogsFullAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsFullAccess にアクセス許可を追加しました。

このポリシーを持つユーザーが自然言語プロンプトから CloudWatch Logs Insights クエリ文字列を生成できるように、cloudwatch:GenerateQuery アクセス許可を追加しました。

2023 年 11 月 27 日

CloudWatchLogsReadOnlyAccess — 既存のポリシーへの更新。

CloudWatch が、CloudWatchLogsReadOnlyAccess にアクセス許可を追加しました。

このポリシーを持つユーザーが自然言語プロンプトから CloudWatch Logs Insights クエリ文字列を生成できるように、cloudwatch:GenerateQuery アクセス許可を追加しました。

2023 年 11 月 27 日

CloudWatchLogsReadOnlyAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsReadOnlyAccess に対するアクセス許可を追加しました。

logs:StartLiveTail および logs:StopLiveTail のアクセス権限が追加されたため、このポリシーを持つユーザーは、コンソールを使用して CloudWatch Logs の Live Tail セッションを開始および停止できます。詳細については、「ライブテールを使用してほぼリアルタイムでログを表示する」を参照してください。

 2023 年 6 月 6 日

CloudWatchCrossAccountSharingConfiguration – 新しいポリシー

CloudWatch Logs が、CloudWatch Logs ロググループを共有する CloudWatch クロスアカウントオブザーバビリティのリンクを管理できるようにする新しいポリシーを追加しました。

詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。

 2022 年 11 月 27 日

CloudWatchLogsReadOnlyAccess — 既存のポリシーへの更新

CloudWatch Logs が、CloudWatchLogsReadOnlyAccess に対するアクセス許可を追加しました。

このポリシーを持つユーザーがコンソールを使用して、CloudWatch のクロスアカウントオブザーバビリティでソースアカウントから共有されたデータを表示できるようにするための oam:ListSinks および oam:ListAttachedLinks 許可が追加されました。

 2022 年 11 月 27 日

カスタマーマネージドポリシーの例

独自のカスタム IAM ポリシーを作成して、CloudWatch Logs アクションとリソースのためのアクセス権限を許可することができます。こうしたカスタムポリシーは、該当するアクセス許可が必要なユーザーまたはグループにアタッチできます。

このセクションでは、さまざまな CloudWatch Logs アクションのアクセス許可を付与するユーザーポリシー例を示しています。これらのポリシーは、CloudWatch Logs API、AWS SDK、または AWS CLI を使用しているときに機能します。

例 1: CloudWatch Logs へのフルアクセスを許可する

以下のポリシーでは、ユーザーにすべての CloudWatch Logs アクションへのアクセスを許可します。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

例 2: CloudWatch Logs への読み取り専用アクセスを許可する

AWS には、CloudWatch Logs データへの読み取り専用アクセスを有効にする CloudWatchLogsReadOnlyAccess ポリシーが用意されています。このポリシーには以下のアクセス許可が含まれています。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

例 3: 1 つのロググループへのアクセスを許可する

次のポリシーでは、指定した 1 つのロググループのログイベントの読み取りと書き込みをユーザーに許可します。

重要

Resource 行のロググループ名の末尾にある :* は、ポリシーがこのロググループのすべてのログストリームに適用されることを示すために必要です。:* を省略すると、ポリシーは適用されません。

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

ロググループレベルでのコントロールのためにタグ付けと IAM ポリシーを使用する

他のロググループへのアクセスを防止しながら、特定のロググループへのアクセスをユーザーに許可することができます。これを行うには、ロググループにタグを付け、IAM ポリシーを使用してそれらのタグを参照します。タグをロググループに適用するには、logs:TagResource または logs:TagLogGroup のアクセス許可が必要です。これは、作成時にロググループにタグを割り当てる場合と、後で割り当てる場合の両方に当てはまります。

ロググループのタグ付けの詳細については、「Amazon CloudWatch Logs のロググループにタグを付ける」を参照してください。

ロググループにタグを付けるときは、特定のタグを持つロググループのみにアクセスを許可する IAM ポリシーをユーザーに付与できます。たとえば、以下のポリシーステートメントでは、タグキー Green の値が Team のロググループにのみアクセス権が付与されます。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

[StopQuery][StopLiveTail] API 操作は、従来の観点では AWS リソースと対話しません。何らかの方法でデータを返したり、データを入力したり、リソースを変更したりすることはありません。代わりに、特定のライブテールセッションまたは特定の CloudWatch Logs Insights クエリなど、リソースとして分類されていないものでのみ動作します。そのため、これらの操作の IAM ポリシーで Resource フィールドを指定するとき、次の例のように、Resource フィールドの値を * として設定する必要があります。

JSON
{
    "Version":"2012-10-17",		 	 	  
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}

IAM ポリシーステートメントの詳細については、『IAM ユーザーガイド』の「ポリシーを使用したアクセス制御」を参照してください。