View a markdown version of this page

CloudWatch Logs に送信されたログ - Amazon CloudWatch Logs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch Logs に送信されたログ

重要

以下のリストにあるログタイプを CloudWatch Logs に設定するようにセットアップすると、 AWS がそのログを受け取るロググループに関連付けられたリソースポリシーを必要に応じて作成または変更します。詳細については、このセクションを続けてお読みください。

このセクションは、前のセクションの表に掲載されているタイプのログが CloudWatch Logs に送信される場合に適用されます。

ユーザーアクセス許可

これらのタイプのログの CloudWatch Logs への送信を初めてセットアップするには、以下のアクセス許可でアカウントにログインする必要があります。

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    注記

    logs:DescribeLogGroupslogs:DescribeResourcePolicies、または logs:PutResourcePolicy アクセス許可を指定する場合は、1 つのロググループ名のみを指定するのではなく、その Resource 行の ARN で * ワイルドカードを使用するように設定してください。例: "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

これらのタイプのログのいずれかが CloudWatch Logs のロググループにすでに送信されている場合、これらの中の別のログを同じロググループに送信するためのセットアップに必要となるのは logs:CreateLogDelivery アクセス許可のみです。

ロググループのリソースポリシー

ログが送信されているロググループには、特定のアクセス許可が含まれるリソースポリシーが必要です。現在ロググループにリソースポリシーがなく、ロギングをセットアップしているユーザーがロググループに対する logs:PutResourcePolicylogs:DescribeResourcePolicies、および logs:DescribeLogGroups アクセス許可を持っているという場合は、CloudWatch Logs へのログの送信を開始するときに AWS が以下のポリシーを自動的に作成します。新しく作成されたサブスクリプションの場合、リソースポリシーはロググループレベルで設定され、最大サイズは 51,200 バイトです。既存のアカウントレベルのリソースポリシーがワイルドカードを介してアクセス許可を既に付与している場合、別のロググループレベルのポリシーは作成されません。特定のロググループの logGroup レベルのリソースポリシーを確認するには、 --resource-arn パラメータをロググループ ARN に設定し、 --policy-scopeパラメータを に設定して describe-resource-policies コマンドを使用しますRESOURCE

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

ロググループのリソースポリシーの制限は 51,200 バイトです。この制限に達すると、AWS は新しいアクセス許可を追加できません。そのためには、ポリシーを手動で変更して、 logs:CreateLogStream および logs:PutLogEventsアクションに対するdelivery.logs.amazonaws.comサービスプリンシパルのアクセス許可を付与する必要があります。お客様は、 などのワイルドカードを含むロググループ名プレフィックスを使用し/aws/vendedlogs/*、このロググループ名を今後の配信作成に使用する必要があります。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}