特定のログストリームへのアクセスを制限したい

特定のログストリームへのアクセスを制限したい

Folder Icon
AWSテクニカルサポートノート
#CloudWatch Logs
若山俊介

若山俊介

facebook logohatena logotwitter logo
Clock Icon2025.05.07

困っていること

特定のログストリームのみ表示できないようにしたいですが、可能ですか?
可能な場合、どのようなポリシーを作成すればよいですか。

どう解決すればいいの?

可能です。
例として「test」というロググループの下に「test」/「test2」/「test3」というログストリームが存在し「test3」以外は見せたくない場合、以下のように logs:GetLogEvents のアクションを「test」/「test2」のログストリームに対して Deny で拒否するよう記述します。

{
  "Version": "2012-10-17",
  "Statement": [
	  {
	  	"Effect": "Deny",
	  	"Action": "logs:GetLogEvents",
	  	"Resource": [
  			"arn:aws:logs:ap-northeast-1:346763727217:log-group:test:log-stream:test",
			"arn:aws:logs:ap-northeast-1:346763727217:log-group:test:log-stream:test2"
  		  ]
	  }
  ]
}

今まではログストリーム単位でのアクセス制御はできないものと思い込んでいましたが、検証した結果ログストリーム単位でのアクセス制御が可能なことが判明しましたので記事にさせていただきました。
確かに以下のリファレンスドキュメントを確認すると、確かに「GetLogEvents」の対象はログストリームとなっていました。

https://docs.aws.amazon.com/ja_jp/service-authorization/latest/reference/list_amazoncloudwatchlogs.html

こちらの記事がどなたかのお役に立ちましたら幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] AWS Lambda のログが CloudWatch Logs の Vended Logs としてサポートされるようになり、今後は使用量に応じた従量制割引が適用されたり S3 や Data Firehose も出力先に選択できるようになりました

[アップデート] AWS Lambda のログが CloudWatch Logs の Vended Logs としてサポートされるようになり、今後は使用量に応じた従量制割引が適用されたり S3 や Data Firehose も出力先に選択できるようになりました

User avatar
いわさ
2025.05.02
[登壇レポート] コスト最適重視でAurora PostgreSQLのログ分析基盤を作ってみた #jawsug_tokyo

[登壇レポート] コスト最適重視でAurora PostgreSQLのログ分析基盤を作ってみた #jawsug_tokyo

User avatar
のんピ
2025.04.24
コンテナイメージを使用したLambdaのTerraformテンプレートを考えてみた

コンテナイメージを使用したLambdaのTerraformテンプレートを考えてみた

User avatar
くろすけ
2025.03.31
AWS WAFでカウントされたトラフィックをフィールドインデックスを用いて効率良くCloudWatch Logs Insightsでクエリしてみたかった

AWS WAFでカウントされたトラフィックをフィールドインデックスを用いて効率良くCloudWatch Logs Insightsでクエリしてみたかった

User avatar
のんピ
2025.03.17
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.