翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudWatch Logs でのアイデンティティベースのポリシー (IAM ポリシー) の使用
このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。
**重要**
初めに、CloudWatch Logs リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「[CloudWatch Logs リソースへの許可の管理の概要](iam-access-control-overview-cwl.md)」を参照してください。
このトピックでは次の内容について説明します。
+ [CloudWatch コンソールの使用に必要な許可](#console-permissions-cwl)
+ [AWS CloudWatch Logs の マネージド (事前定義) ポリシー](#managed-policies-cwl)
+ [カスタマーマネージドポリシーの例](#customer-managed-policies-cwl)
以下は、アクセス権限ポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
このポリシーには、ロググループとログストリームを作成して、ログストリームにログイベントをアップロードし、ログストリームの詳細を一覧表示する権限を付与する 1 つのステートメントがあります。
このステートメントで `Resource` 値の末尾のワイルドカード文字 (\*) は、任意のロググループに対して `logs:CreateLogGroup`、`logs:CreateLogStream`、`logs:PutLogEvents`、および `logs:DescribeLogStreams` アクションを実行するためのアクセス権限を付与することを意味します。このアクセス権限を特定のロググループに制限するには、リソース ARN 内のワイルドカード文字 (\*) を特定のロググループ ARN に置き換えます。IAM ポリシーステートメント内のセクションの詳細については、*IAM ユーザーガイド*の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html)」を参照してください。すべての CloudWatch Logs アクションを示すリストについては、「[CloudWatch Logs の許可リファレンス](permissions-reference-cwl.md)」を参照してください。
## CloudWatch コンソールの使用に必要な許可
ユーザーが CloudWatch コンソールで CloudWatch Logs を使用するには、そのユーザーに AWS アカウントの他の AWS リソースを記述できる最小限のアクセス許可のセットが必要です。CloudWatch Logs コンソールで CloudWatch Logs を使用するには、次のサービスからのアクセス許可が必要になります。
+ CloudWatch
+ CloudWatch Logs
+ OpenSearch Service
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。`CloudWatchReadOnlyAccess` で説明されているとおり、ユーザーが CloudWatch コンソールを使用できること、および、[AWS CloudWatch Logs の マネージド (事前定義) ポリシー](#managed-policies-cwl) 管理ポリシーがユーザーにアタッチされていることを確認してください。
AWS CLI または CloudWatch Logs API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。
CloudWatch コンソールを使用してログのサブスクリプションを管理していないユーザーが、コンソールを使用するために必要なフルセットのアクセス許可は、次のとおりです。
+ cloudwatch:GetMetricData
+ cloudwatch:ListMetrics
+ logs:CancelExportTask
+ logs:CreateExportTask
+ logs:CreateLogGroup
+ logs:CreateLogStream
+ logs:DeleteLogGroup
+ logs:DeleteLogStream
+ logs:DeleteMetricFilter
+ logs:DeleteQueryDefinition
+ logs:DeleteRetentionPolicy
+ logs:DeleteSubscriptionFilter
+ logs:DescribeExportTasks
+ logs:DescribeLogGroups
+ logs:DescribeLogStreams
+ logs:DescribeMetricFilters
+ logs:DescribeQueryDefinitions
+ logs:DescribeQueries
+ logs:DescribeSubscriptionFilters
+ logs:FilterLogEvents
+ logs:GetLogEvents
+ logs:GetLogGroupFields
+ logs:GetLogRecord
+ logs:GetQueryResults
+ logs:PutMetricFilter
+ logs:PutQueryDefinition
+ logs:PutRetentionPolicy
+ logs:StartQuery
+ logs:StopQuery
+ logs:PutSubscriptionFilter
+ logs:TestMetricFilter
コンソールを使用してログのサブスクリプションを管理するユーザーには、以下のアクセス許可も必要です。
+ es:DescribeElasticsearchDomain
+ es:ListDomainNames
+ iam:AttachRolePolicy
+ iam:CreateRole
+ iam:GetPolicy
+ iam:GetPolicyVersion
+ iam:GetRole
+ iam:ListAttachedRolePolicies
+ iam:ListRoles
+ kinesis:DescribeStreams
+ kinesis:ListStreams
+ lambda:AddPermission
+ lambda:CreateFunction
+ lambda:GetFunctionConfiguration
+ lambda:ListAliases
+ lambda:ListFunctions
+ lambda:ListVersionsByFunction
+ lambda:RemovePermission
+ s3:ListBuckets
## AWS CloudWatch Logs の マネージド (事前定義) ポリシー
AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
アカウントのユーザーとロールにアタッチできる以下の AWS 管理ポリシーは、CloudWatch Logs に固有です。
+ **CloudWatchLogsFullAccess** – CloudWatch Logs へのフルアクセスを付与します。
+ **CloudWatchLogsReadOnlyAccess** – CloudWatch Logs への読み取り専用アクセスを付与します。
### CloudWatchLogsFullAccess
**CloudWatchLogsFullAccess** ポリシーは、CloudWatch Logs へのフルアクセスを付与します。このポリシーを持つユーザーが自然言語プロンプトから [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) クエリ文字列を生成できるように、このポリシーには `cloudwatch:GenerateQuery` および `cloudwatch:GenerateQueryResultsSummary` のアクセス許可が含まれています。このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)」を参照してください。
### [CloudWatchLogsReadOnlyAccess]
**CloudWatchLogsReadOnlyAccess** ポリシーは、CloudWatch Logs への読み取り専用のアクセス権限を付与します。このポリシーを持つユーザーが自然言語プロンプトから [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) クエリ文字列を生成できるように、このポリシーには `cloudwatch:GenerateQuery` および `cloudwatch:GenerateQueryResultsSummary` のアクセス許可が含まれています。このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)」を参照してください。
### CloudWatchOpenSearchDashboardsFullAccess
**CloudWatchOpenSearchDashboardsFullAccess** ポリシーは、OpenSearch Service との統合を作成、管理、削除し、それらの統合において提供されるログダッシュボードを作成、削除、管理するためのアクセス権限を付与します。詳細については、「[Amazon OpenSearch Service で分析する](CloudWatchLogs-OpenSearch-Dashboards.md)」を参照してください。
このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)」を参照してください。
### CloudWatchOpenSearchDashboardAccess
**CloudWatchOpenSearchDashboardAccess** ポリシーは、 Amazon OpenSearch Service 分析で作成され、提供されるログダッシュボードを表示するアクセス権を付与します。詳細については、「[Amazon OpenSearch Service で分析する](CloudWatchLogs-OpenSearch-Dashboards.md)」を参照してください。
**重要**
このポリシーの付与に加えて、ロールまたはユーザーが提供されるログダッシュボードを表示できるようにするには、OpenSearch Service との統合を作成するときにそれらも指定する必要があります。詳細については、「[ステップ 1: OpenSearch Service との統合を作成する](OpenSearch-Dashboards-Integrate.md)」を参照してください。
このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)」を参照してください。
#### CloudWatchLogsCrossAccountSharingConfiguration
**CloudWatchCrossAccountSharingConfiguration** ポリシーは、アカウント間で CloudWatch Logs リソースを共有するための Observability Access Manager リンクを作成、管理、および表示するためのアクセス許可を付与します。詳細については、「[CloudWatch のクロスアカウントオブザーバビリティ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)」を参照してください。
このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)」を参照してください。
#### CloudWatchLogsAPIKeyAccess
**CloudWatchLogsAPIKeyAccess** ポリシーはCloudWatch Logs API キー認証と暗号化されたログ取り込みを有効にします。このポリシーは、ベアラートークンを使用して認証し、CloudWatch Logs にログイベントを書き込むためのアクセス許可と、ログが暗号化されたときにデータキーを復号および生成するための追加の AWS KMS アクセス許可を付与します。
このポリシーは以下のアクセス権限を与えます。
+ `logs` – プリンシパルが API キーベアラートークンを介して認証し、CloudWatch Logs ストリームにログイベントを書き込むことを許可します。
+ `kms` – プリンシパルが AWS KMS キーメタデータの読み取り、暗号化用のデータキーの生成、データの復号を行うことができます。これらのアクセス許可は、サービスがカスタマーマネージド AWS KMS キーを使用してログデータを暗号化できるようにすることで、暗号化された CloudWatch Logs をサポートします。アクセスは、CloudWatch Logs サービスを介して呼び出されるオペレーションに制限されます。
JSON ポリシードキュメントの最新バージョンなど、ポリシーの詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html)」を参照してください。
### AWS マネージドポリシーに対する CloudWatch Logs の更新
このサービスがこれらの変更の追跡を開始してからの CloudWatch Logs の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、CloudWatch Logs ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccess](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) – 新しいポリシー。 | CloudWatch Logs に新しい管理ポリシー **CloudWatchLogsAPIKeyAccess** が追加されました。
このポリシーは、CloudWatch Logs API キー認証と暗号化されたログ取り込みを有効にし、ベアラートークンを使用して認証し、CloudWatch Logs にログイベントを書き込むアクセス許可を付与します。 | 2026 年 2 月 17 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsFullAccess** に対するアクセス許可を追加しました。
テレメトリパイプラインと S3 テーブル統合への読み取り専用アクセスを許可するため、オブザーバビリティ管理アクションのアクセス許可が追加されました。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新。 | CloudWatch Logs が、**CloudWatchLogsReadOnlyAccess** に対するアクセス許可を追加しました。
テレメトリパイプラインと S3 テーブル統合への読み取り専用アクセスを許可するため、オブザーバビリティ管理アクションのアクセス許可が追加されました。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsFullAccess** に対するアクセス許可を追加しました。
`cloudwatch:GenerateQueryResultsSummary` のアクセス許可が追加され、クエリ結果の自然言語の概要を生成できるようになりました。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新。 | CloudWatch Logs が、**CloudWatchLogsReadOnlyAccess** に対するアクセス許可を追加しました。
`cloudwatch:GenerateQueryResultsSummary` のアクセス許可が追加され、クエリ結果の自然言語の概要を生成できるようになりました。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsFullAccess** に対するアクセス許可を追加しました。
一部の機能で CloudWatch Logs と OpenSearch Service の統合を有効にするために、 Amazon OpenSearch Service および IAM のアクセス許可が追加されました。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess) – 新しい IAM ポリシー。 | CloudWatch Logs は新しい IAM ポリシーである **CloudWatchOpenSearchDashboardsFullAccess** を追加しました。- このポリシーは、OpenSearch Service との統合を作成、管理、削除し、それらの統合において提供されるログダッシュボードを作成、管理、削除するためのアクセス権限を付与します。詳細については、「[Amazon OpenSearch Service で分析する](CloudWatchLogs-OpenSearch-Dashboards.md)」を参照してください。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) – 新しい IAM ポリシー。 | CloudWatch Logs は新しい IAM ポリシーである **CloudWatchOpenSearchDashboardAccess** を追加しました。- このポリシーは、 Amazon OpenSearch Serviceを利用して提供されるログダッシュボードを表示するためのアクセス権限を付与します。詳細については、「[Amazon OpenSearch Service で分析する](CloudWatchLogs-OpenSearch-Dashboards.md)」を参照してください。 | 2024 年 12 月 1 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsFullAccess** にアクセス許可を追加しました。
このポリシーを持つユーザーが自然言語プロンプトから [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) クエリ文字列を生成できるように、`cloudwatch:GenerateQuery` アクセス許可を追加しました。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新。 | CloudWatch が、**CloudWatchLogsReadOnlyAccess** にアクセス許可を追加しました。
このポリシーを持つユーザーが自然言語プロンプトから [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) クエリ文字列を生成できるように、`cloudwatch:GenerateQuery` アクセス許可を追加しました。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsReadOnlyAccess** に対するアクセス許可を追加しました。
`logs:StartLiveTail` および `logs:StopLiveTail` のアクセス権限が追加されたため、このポリシーを持つユーザーは、コンソールを使用して CloudWatch Logs の Live Tail セッションを開始および停止できます。詳細については、「[ライブテールを使用してほぼリアルタイムでログを表示する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)」を参照してください。 | 2023 年 6 月 6 日 |
| [CloudWatchCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – 新しいポリシー | CloudWatch Logs が、CloudWatch Logs ロググループを共有する CloudWatch クロスアカウントオブザーバビリティのリンクを管理できるようにする新しいポリシーを追加しました。
詳細については、「[CloudWatch のクロスアカウントオブザーバビリティ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)」を参照してください。 | 2022 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsReadOnlyAccess** に対するアクセス許可を追加しました。
このポリシーを持つユーザーがコンソールを使用して、CloudWatch のクロスアカウントオブザーバビリティでソースアカウントから共有されたデータを表示できるようにするための `oam:ListSinks` および `oam:ListAttachedLinks` 許可が追加されました。 | 2022 年 11 月 27 日 |
### カスタマーマネージドポリシーの例
独自のカスタム IAM ポリシーを作成して、CloudWatch Logs アクションとリソースのためのアクセス権限を許可することができます。こうしたカスタムポリシーは、該当するアクセス許可が必要なユーザーまたはグループにアタッチできます。
このセクションでは、さまざまな CloudWatch Logs アクションのアクセス許可を付与するユーザーポリシー例を示しています。これらのポリシーは、CloudWatch Logs API、 AWS SDK、または AWS CLIを使用しているときに機能します。
**Topics**
+ [例 1: CloudWatch Logs へのフルアクセスを許可する](#w2aac61c15c15c23c19b9)
+ [例 2: CloudWatch Logs への読み取り専用アクセスを許可する](#w2aac61c15c15c23c19c11)
+ [例 3: 1 つのロググループへのアクセスを許可する](#w2aac61c15c15c23c19c13)
#### 例 1: CloudWatch Logs へのフルアクセスを許可する
以下のポリシーでは、ユーザーにすべての CloudWatch Logs アクションへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 例 2: CloudWatch Logs への読み取り専用アクセスを許可する
AWS は、CloudWatch Logs データへの読み取り専用アクセスを有効にする **CloudWatchLogsReadOnlyAccess** ポリシーを提供します。 CloudWatch このポリシーには、以下のアクセス許可が含まれています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 例 3: 1 つのロググループへのアクセスを許可する
次のポリシーでは、指定した 1 つのロググループのログイベントの読み取りと書き込みをユーザーに許可します。
**重要**
`Resource` 行のロググループ名の末尾にある `:*` は、ポリシーがこのロググループのすべてのログストリームに適用されることを示すために必要です。`:*` を省略すると、ポリシーは適用されません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### ロググループレベルでのコントロールのためにタグ付けと IAM ポリシーを使用する
他のロググループへのアクセスを防止しながら、特定のロググループへのアクセスをユーザーに許可することができます。これを行うには、ロググループにタグを付け、IAM ポリシーを使用してそれらのタグを参照します。タグをロググループに適用するには、`logs:TagResource` または `logs:TagLogGroup` のアクセス許可が必要です。これは、作成時にロググループにタグを割り当てる場合と、後で割り当てる場合の両方に当てはまります。
ロググループのタグ付けの詳細については、「[Amazon CloudWatch Logs のロググループにタグを付ける](Working-with-log-groups-and-streams.md#log-group-tagging)」を参照してください。
ロググループにタグを付けるときは、特定のタグを持つロググループのみにアクセスを許可する IAM ポリシーをユーザーに付与できます。たとえば、以下のポリシーステートメントでは、タグキー `Green` の値が `Team` のロググループにのみアクセス権が付与されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
**StopQuery** および **StopLiveTail** API オペレーションは、従来の意味では AWS リソースとやり取りしません。何らかの方法でデータを返したり、データを入力したり、リソースを変更したりすることはありません。代わりに、特定のライブテールセッションまたは特定の CloudWatch Logs Insights クエリなど、リソースとして分類されていないものでのみ動作します。そのため、これらの操作の IAM ポリシーで `Resource` フィールドを指定するとき、次の例のように、`Resource` フィールドの値を `*` として設定する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
IAM ポリシーステートメントの詳細については、『*IAM ユーザーガイド*』の「[ポリシーを使用したアクセス制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)」を参照してください。