翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # CloudWatch Logs に送信されたログ **重要** 以下のリストにあるログタイプを CloudWatch Logs に設定するようにセットアップすると、 AWS がそのログを受け取るロググループに関連付けられたリソースポリシーを必要に応じて作成または変更します。詳細については、このセクションを続けてお読みください。 このセクションは、前のセクションの表に掲載されているタイプのログが CloudWatch Logs に送信される場合に適用されます。 **ユーザーアクセス許可** これらのタイプのログの CloudWatch Logs への送信を初めてセットアップするには、以下のアクセス許可でアカウントにログインする必要があります。 + `logs:CreateLogDelivery` + `logs:PutResourcePolicy` + `logs:DescribeResourcePolicies` + `logs:DescribeLogGroups` **注記** `logs:DescribeLogGroups`、`logs:DescribeResourcePolicies`、または `logs:PutResourcePolicy` アクセス許可を指定する場合は、1 つのロググループ名のみを指定するのではなく、その `Resource` 行の ARN で `*` ワイルドカードを使用するように設定してください。例: `"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"` これらのタイプのログのいずれかが CloudWatch Logs のロググループにすでに送信されている場合、これらの中の別のログを同じロググループに送信するためのセットアップに必要となるのは `logs:CreateLogDelivery` アクセス許可のみです。 **ロググループのリソースポリシー** ログが送信されているロググループには、特定のアクセス許可が含まれるリソースポリシーが必要です。現在ロググループにリソースポリシーがなく、ロギングをセットアップしているユーザーがロググループに対する `logs:PutResourcePolicy`、`logs:DescribeResourcePolicies`、および `logs:DescribeLogGroups` アクセス許可を持っているという場合は、CloudWatch Logs へのログの送信を開始するときに AWS が以下のポリシーを自動的に作成します。新しく作成されたサブスクリプションの場合、リソースポリシーはロググループレベルで設定され、最大サイズは 51,200 バイトです。既存のアカウントレベルのリソースポリシーがワイルドカードを介してアクセス許可を既に付与している場合、別のロググループレベルのポリシーは作成されません。特定のロググループの logGroup レベルのリソースポリシーを確認するには、 `--resource-arn` パラメータをロググループ ARN に設定し、 `--policy-scope`パラメータを に設定して `describe-resource-policies` コマンドを使用します`RESOURCE`。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------ ロググループのリソースポリシーの制限は 51,200 バイトです。この制限に達すると、AWS は新しいアクセス許可を追加できません。そのためには、ポリシーを手動で変更して、 `logs:CreateLogStream` および `logs:PutLogEvents`アクションに対する`delivery.logs.amazonaws.com`サービスプリンシパルのアクセス許可を付与する必要があります。お客様は、 などのワイルドカードを含むロググループ名プレフィックスを使用し`/aws/vendedlogs/*`、このロググループ名を今後の配信作成に使用する必要があります。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------