# CloudWatch Logs リソースにアクセスするための IAM ポリシーの作成 Aurora は CloudWatch Logs にアクセスして Aurora DB クラスターから監査ログデータをエクスポートできます。ただし、初期に IAM ポリシーを作成してロググループおよびログストリーミングのアクセス許可を付与し、Aurora から CloudWatch Logs にアクセスできるようにする必要があります。 以下のポリシーは、ユーザー名で Amazon CloudWatch Logs にアクセスするために Aurora が要求する権限および、ロググループを作成してデータをエクスポートするための最小限の権限を追加します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] } ``` ------ ポリシーの ARN を変更すると、特定の AWS リージョンおよびアカウントへのアクセスを制限できます。 以下のステップを使用して、ユーザーの代わりに Aurora から CloudWatch Logs にアクセスするために必要な最低のアクセス権限を提供する IAM ポリシーを作成できます。Aurora に CloudWatch Logs へのフルアクセスを付与するには、このステップをスキップして、独自のポリシーを作成する代わりに、定義済みの `CloudWatchLogsFullAccess` IAM ポリシーを使用します。詳細については、*Amazon CloudWatch ユーザーガイド*の「[CloudWatch Logs でアイデンティティベースのポリシー (IAM ポリシー) を使用する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl)」を参照してください。 **CloudWatch Logs リソースへのアクセスを許可する IAM ポリシーを作成するには** 1. [IAM コンソール](https://console.aws.amazon.com/iam/home?#home)を開きます。 1. ナビゲーションペインで、[**Policies (ポリシー)**] を選択します。 1. [**ポリシーの作成**] を選択します。 1. [**ビジュアルエディタ**] タブで、[**サービスの選択**] を選択し、[**CloudWatch Logs**] を選択します。 1. [**アクション**] で、右側にある [**すべて展開**] を選択し、IAM ポリシーに必要な Amazon CloudWatch Logs アクセス許可を選択します。 次のアクセス許可が選択されていることを確認します。 + `CreateLogGroup` + `CreateLogStream` + `DescribeLogStreams` + `GetLogEvents` + `PutLogEvents` + `PutRetentionPolicy` 1. [**リソース**] を選択し、[**log-group**] に対して [**ARN の追加**] を選択します。 1. [**ARN の追加**] ダイアログボックスで、以下の値を入力します。 + **リージョン** - AWS リージョンまたは `*` + **アカウント** - アカウント番号または `*` + **ロググループ名** - `/aws/rds/*` 1. [**ARN の追加**] ダイアログボックスで、[**追加**] を選択します。 1. [**log-stream**] に [**ARN の追加**] を選択します。 1. [**ARN の追加**] ダイアログボックスで、以下の値を入力します。 + **リージョン** - AWS リージョンまたは `*` + **アカウント** - アカウント番号または `*` + **ロググループ名**]`/aws/rds/*` - + **ログストリーミング名** - `*` 1. [**ARN の追加**] ダイアログボックスで、[**追加**] を選択します。 1. [**ポリシーの確認**] を選択します。 1. [**名前**] に、IAM ポリシーの名前 (`AmazonRDSCloudWatchLogs` など) を設定します。IAM ロールを作成して Aurora DB クラスターに関連付ける際に、この名前を使用します。オプションで [**Description**] 値を追加することもできます。 1. [**Create policy**] を選択します。 1. 「[Amazon Aurora が AWS のサービスにアクセスすることを許可する IAM ロールの作成](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md)」の各ステップを実行します。