CloudWatch Logs のリソースベースポリシーを確認する方法を教えてください
2025.01.06困っていた内容
CloudWatch Logs のリソースベースポリシーを確認したいです。
マネジメントコンソールを確認しましたが方法が不明です。確認方法を教えてください。
どう対応すればいいの?
AWS CLI のdescribe-resource-policiesを実行してください。
実行例
$ aws logs describe-resource-policies
{
"resourcePolicies": [
{
"policyName": "TrustEventsToStoreLogEvents",
"policyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"TrustEventsToStoreLogEvent\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":[\"events.amazonaws.com\",\"delivery.logs.amazonaws.com\"]},\"Action\":[\"logs:CreateLogStream\",\"logs:PutLogEvents\"],\"Resource\":\"arn:aws:logs:ap-northeast-1:123456789012:log-group:/aws/events/*:*\"}]}",
"lastUpdatedTime": 1704038461001
}
]
}
CloudWatch Logs のリソースベースポリシーは AWS CLI のdescribe-resource-policiesから確認できます。
具体的なポリシーはpolicyDocumentの値を確認しますが、エスケープされているためオプションを追加すると視認性が高まります。
※ポリシー名(TrustEventsToStoreLogEvents)は必要に応じて修正してください
実行例
$ aws logs describe-resource-policies \
--query 'resourcePolicies[?policyName==`TrustEventsToStoreLogEvents`].policyDocument' \
--output text | jq .
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "TrustEventsToStoreLogEvent",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com",
"events.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:ap-northeast-1:123456789012:log-group:/aws/events/*:*"
}
]
}
なお、2025年1月時点で、CloudWatch コンソール(AWS マネジメントコンソール)から CloudWatch Logs のリソースベースポリシーは確認できませんでした。
リソースベースポリシーを確認する場合は AWS CLI をご利用ください。
なお、AWS ではマネジメントコンソールから AWS CLI などのコマンドが実行できるブラウザーベースのシェル環境が用意されています。適宜ご利用ください。
![[レポート]Amazon CloudWatch のログの価値を最大化する Byte to insight: Maximize value from your logs with Amazon CloudWatch (COP406)](https://images.ctfassets.net/ct0aopd36mqt/3IQLlbdUkRvu7Q2LupRW2o/edff8982184ea7cc2d5efa2ddd2915f5/reinvent-2024-sessionreport-jp.jpg)
