# Contributor Insights のユーザーのロググループへのアクセスを制限するための条件キーの使用 Contributor Insights でルールを作成し、その結果を表示するには、ユーザーに `cloudwatch:PutInsightRule` アクセス許可が必要です。デフォルトでは、このアクセス許可を持つユーザーは、CloudWatch Logs のロググループを評価する Contributor Insights ルールを作成して、結果を確認できます。結果には、これらのロググループのコントリビューターデータを含めることができます。 条件キーを持つ IAM ポリシーを作成して、一部のロググループに対して Contributor Insights ルールを作成するアクセス許可をユーザーに付与し、他のロググループからこのデータを表示しないようにすることができます。 IAM ポリシーの `Condition` 要素の詳細については、「[IAM JSON ポリシーの要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。 **特定のロググループのみについて、ルールの書き込みおよび結果の表示へのアクセスを許可する** 次のポリシーでは、`AllowedLogGroup` という名前のロググループと `AllowedWildCard` で始まる名前を持つすべてのロググループのルールを作成し、結果を表示するためのユーザーアクセスを許可します。他のロググループには、書き込みルールへのアクセスやルールの結果の表示する権限は付与されません。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowCertainLogGroups", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "AllowedLogGroup", "AllowedWildcard*" ] } } } ] } ``` ------ **特定のロググループに対するルールの書き込みを拒否するが、他のすべてのロググループに対するルールの書き込みを許可する** 次のポリシーでは、`ExplicitlyDeniedLogGroup` という名前のロググループのルールの書き込みおよびルールの結果の表示に対するユーザーアクセスを明示的に拒否しますが、他のすべてのロググループのルールの書き込みおよびルールの結果の表示は許可します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowInsightRulesOnLogGroupsByDefault", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*" }, { "Sid": "ExplicitDenySomeLogGroups", "Effect": "Deny", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "/test/alpine/ExplicitlyDeniedLogGroup" ] } } } ] } ``` ------