CloudWatch 로그 그룹 구성 - AWS Lambda
실행 역할 권한

CloudWatch 로그 그룹 구성

기본적으로 CloudWatch는 함수를 처음 간접 호출할 때 함수의 /aws/lambda/<function name>이라는 이름이 지정된 로그 그룹을 자동으로 생성합니다. 기존 로그 그룹에 로그를 전송하도록 함수를 구성하거나 함수에 대한 새 로그 그룹을 생성하려면 Lambda 콘솔 또는 AWS CLI를 사용할 수 있습니다. CreateFunction, UpdateFunctionConfiguration Lambda API 명령 및 AWS Serverless Application Model (AWS SAM) AWS::Serverless::Function 리소스를 사용하여 사용자 지정 로그 그룹을 구성할 수도 있습니다.

로그를 동일한 CloudWatch 로그 그룹에 전송하도록 여러 Lambda 함수를 구성할 수 있습니다. 예를 들어 단일 로그 그룹을 사용하여 특정 애플리케이션을 구성하는 모든 Lambda 함수에 대한 로그를 저장할 수 있습니다. Lambda 함수에 대한 사용자 지정 로그 그룹을 사용하는 경우 Lambda가 생성하는 로그 스트림에는 함수 이름과 함수 버전이 포함됩니다. 이렇게 하면 여러 함수에 동일한 로그 그룹을 사용하더라도 로그 메시지와 함수 간의 매핑이 보존됩니다.

사용자 지정 로그 그룹의 로그 스트림 이름 지정 형식은 다음 규칙을 따릅니다.

YYYY/MM/DD/<function_name>[<function_version>][<execution_environment_GUID>]

사용자 지정 로그 그룹을 구성할 때 로그 그룹에 대해 선택한 이름은 CloudWatch 로그 이름 지정 규칙을 따라야 한다는 점에 유의합니다. 또한 사용자 지정 로그 그룹 이름은 aws/ 문자열로 시작해서는 안 됩니다. aws/로 시작하는 사용자 지정 로그 그룹을 생성하는 경우 Lambda는 로그 그룹을 생성할 수 없습니다. 따라서 함수의 로그가 CloudWatch로 전송되지 않습니다.

함수의 로그 그룹 변경하기(콘솔)

  1. Lambda 콘솔의 함수 페이지를 엽니다.

  2. 함수를 선택합니다.

  3. 함수 구성 페이지에서 모니터링 및 작업 도구를 선택합니다.

  4. 로깅 구성 창에서 편집을 선택합니다.

  5. 로깅 그룹 창의 CloudWatch 로그 그룹에서 사용자 지정을 선택합니다.

  6. 사용자 지정 로그 그룹에서 함수가 로그를 전송하기를 원하는 CloudWatch 로그 그룹의 이름을 입력합니다. 기존 로그 그룹의 이름을 입력하면 함수가 해당 그룹을 사용합니다. 입력한 이름을 가진 로그 그룹이 없는 경우 Lambda는 해당 이름으로 함수에 대한 새 로그 그룹을 생성합니다.

함수의 로그 그룹 변경하기(AWS CLI)

  • 기존 함수의 로그 그룹을 변경하려면 update-function-configuration 명령을 사용합니다.

    aws lambda update-function-configuration \
  --function-name myFunction \
  --logging-config LogGroup=myLogGroup
함수를 생성할 때 사용자 지정 로그 그룹 지정하기(AWS CLI)

  • AWS CLI를 사용하여 새 Lambda 함수를 생성할 때 사용자 지정 로그 그룹을 지정하려면 --logging-config 옵션을 사용하십시오. 다음 예제 명령은 myLogGroup이라는 로그 그룹에 로그를 보내는 Node.js Lambda 함수를 생성합니다.

    aws lambda create-function \
  --function-name myFunction \
  --runtime nodejs22.x \
  --handler index.handler \
  --zip-file fileb://function.zip \
  --role arn:aws:iam::123456789012:role/LambdaRole \
  --logging-config LogGroup=myLogGroup

실행 역할 권한

함수가 로그를 CloudWatch Logs로 전송하려면 해당 함수에 logs:PutLogEvents 권한이 있어야 합니다. Lambda 콘솔을 사용하여 함수의 로그 그룹을 구성하면 다음 조건에서 Lambda가 역할에 이 권한을 추가합니다.

  • 서비스 대상이 CloudWatch Logs로 설정됨

  • 함수의 실행 역할에 CloudWatch Logs(기본 대상)에 로그를 업로드할 수 있는 권한이 없습니다.

참고

Lambda가 Amazon S3 또는 Firehose 로그 대상에 대한 Put 권한을 추가하지 않습니다.

Lambda가 이 권한을 추가하면 모든 CloudWatch Logs 로그 그룹에 로그를 전송할 수 있는 권한을 함수에 부여합니다.

Lambda가 함수의 실행 역할을 자동으로 업데이트하지 않도록 하고 대신 수동으로 편집하려면 권한을 확장하고 필요한 권한 추가를 선택 취소합니다.

AWS CLI를 사용하여 함수의 로그 그룹을 구성하면 Lambda는 logs:PutLogEvents 권한을 자동으로 추가하지 않습니다. 함수의 실행 역할에 권한을 추가합니다(아직 권한이 없는 경우). 이러한 권한은 AWSLambdaBasicExecutionRole 관리형 정책에 포함됩니다.