特定のログストリームへのアクセスを制限したい

特定のログストリームへのアクセスを制限したい

Folder Icon
AWSテクニカルサポートノート
#CloudWatch Logs
若山俊介

若山俊介

facebook logohatena logotwitter logo
Clock Icon2025.05.07

困っていること

特定のログストリームのみ表示できないようにしたいですが、可能ですか?
可能な場合、どのようなポリシーを作成すればよいですか。

どう解決すればいいの?

可能です。
例として「test」というロググループの下に「test」/「test2」/「test3」というログストリームが存在し「test3」以外は見せたくない場合、以下のように logs:GetLogEvents のアクションを「test」/「test2」のログストリームに対して Deny で拒否するよう記述します。

{
  "Version": "2012-10-17",
  "Statement": [
	  {
	  	"Effect": "Deny",
	  	"Action": "logs:GetLogEvents",
	  	"Resource": [
  			"arn:aws:logs:ap-northeast-1:346763727217:log-group:test:log-stream:test",
			"arn:aws:logs:ap-northeast-1:346763727217:log-group:test:log-stream:test2"
  		  ]
	  }
  ]
}

今まではログストリーム単位でのアクセス制御はできないものと思い込んでいましたが、検証した結果ログストリーム単位でのアクセス制御が可能なことが判明しましたので記事にさせていただきました。
確かに以下のリファレンスドキュメントを確認すると、確かに「GetLogEvents」の対象はログストリームとなっていました。

https://docs.aws.amazon.com/ja_jp/service-authorization/latest/reference/list_amazoncloudwatchlogs.html

こちらの記事がどなたかのお役に立ちましたら幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] CloudWatch Logs からついに ListLogGroups API が登場しました

[アップデート] CloudWatch Logs からついに ListLogGroups API が登場しました

User avatar
たかくに
2025.05.19
[アップデート] 2025年06月25日より Amazon ECS のデフォルトのログドライバーモードが blocking から non-blocking へ変更されます

[アップデート] 2025年06月25日より Amazon ECS のデフォルトのログドライバーモードが blocking から non-blocking へ変更されます

User avatar
たかくに
2025.05.12
Lambda@EdgeでもDeliveryログクラスを使用できるのか確認してみた

Lambda@EdgeでもDeliveryログクラスを使用できるのか確認してみた

User avatar
のんピ
2025.05.12
[アップデート] AWS Lambda のログが CloudWatch Logs の Vended Logs としてサポートされるようになり、今後は使用量に応じた従量制割引が適用されたり S3 や Data Firehose も出力先に選択できるようになりました

[アップデート] AWS Lambda のログが CloudWatch Logs の Vended Logs としてサポートされるようになり、今後は使用量に応じた従量制割引が適用されたり S3 や Data Firehose も出力先に選択できるようになりました

User avatar
いわさ
2025.05.02
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.