Closed4

CloudWatchLogs ロググループの参照権限について

chittaichittai

CloudWatch Logsを参照だけしたい場合、権限管理が可能か

chittaichittai

マネジメントコンソール/APIからログイベントを改ざん・削除をすることはできなさそう。ただ、以下の方法で削除されることができそう

  1. ロググループの削除
  2. ログストリームの削除
  3. ロググループに設定した保持期間の短縮

数字に対応したAPIは以下っぽい

  1. DeleteLogGroup
  2. DeleteLogStream API
  3. PutRetentionPolicy API
chittaichittai

であれば、Describe系の権限だけ許可すれば問題なさそう

chittaichittai

以下だと、ロググループ一覧が表示されない。そのため、Resourceの指定を"arn:aws:logs:ap-northeast-1::log-group:"に変更する必要がある

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"logs:Describe*",
				"logs:List*"
			],
			"Resource": [
			    "arn:aws:logs:ap-northeast-1:*:log-group:restricted-test"
			    ]
		}
	]
}
このスクラップは2024/10/13にクローズされました