特定のログストリームへのアクセスを制限したい

特定のログストリームへのアクセスを制限したい

Clock Icon2025.05.07

困っていること

特定のログストリームのみ表示できないようにしたいですが、可能ですか?
可能な場合、どのようなポリシーを作成すればよいですか。

どう解決すればいいの?

可能です。
例として「test」というロググループの下に「test」/「test2」/「test3」というログストリームが存在し「test3」以外は見せたくない場合、以下のように logs:GetLogEvents のアクションを「test」/「test2」のログストリームに対して Deny で拒否するよう記述します。

{
  "Version": "2012-10-17",
  "Statement": [
	  {
	  	"Effect": "Deny",
	  	"Action": "logs:GetLogEvents",
	  	"Resource": [
  			"arn:aws:logs:ap-northeast-1:346763727217:log-group:test:log-stream:test",
			"arn:aws:logs:ap-northeast-1:346763727217:log-group:test:log-stream:test2"
  		  ]
	  }
  ]
}

今まではログストリーム単位でのアクセス制御はできないものと思い込んでいましたが、検証した結果ログストリーム単位でのアクセス制御が可能なことが判明しましたので記事にさせていただきました。
確かに以下のリファレンスドキュメントを確認すると、確かに「GetLogEvents」の対象はログストリームとなっていました。

https://docs.aws.amazon.com/ja_jp/service-authorization/latest/reference/list_amazoncloudwatchlogs.html

こちらの記事がどなたかのお役に立ちましたら幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.