翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon CloudWatch Logs の Identity and Access Management
Amazon CloudWatch Logs にアクセスするには AWS 、 がリクエストの認証に使用できる認証情報が必要です。これらの認証情報には、クラウド AWS リソースに関する CloudWatch Logs データを取得するなど、 リソースにアクセスするためのアクセス許可が必要です。次のセクションでは、[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) と CloudWatch Logs を使用して、リソースにアクセスできるユーザーを制御することで、リソースをセキュリティで保護する方法について詳しく説明します。
+ [認証](#authentication-cwl)
+ [アクセスコントロール](#access-control-cwl)
## 認証
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
## アクセスコントロール
有効な認証情報があればリクエストを認証できますが、アクセス許可がなければ CloudWatch Logs リソースの作成やアクセスはできません。たとえば、ログストリーム、ロググループなどを作成する許可が必要となります。
以下のセクションでは、CloudWatch Logs のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。
+ [CloudWatch Logs リソースへの許可の管理の概要](iam-access-control-overview-cwl.md)
+ [CloudWatch Logs でのアイデンティティベースのポリシー (IAM ポリシー) の使用](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Logs の許可リファレンス](permissions-reference-cwl.md)
# CloudWatch Logs リソースへの許可の管理の概要
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
**Topics**
+ [CloudWatch Logs がリソースとオペレーションをログに記録する](#CWL_ARN_Format)
+ [リソース所有権についての理解](#understanding-resource-ownership-cwl)
+ [リソースへのアクセスの管理](#managing-access-resources-cwl)
+ [ポリシー要素 (アクション、効果、プリンシパル) の指定](#actions-effects-principals-cwl)
+ [ポリシーでの条件を指定する](#policy-conditions-cwl)
## CloudWatch Logs がリソースとオペレーションをログに記録する
CloudWatch Logs では、プライマリリソースはロググループ、ログストリーム、送信先です。CloudWatch Logs はサブリソース (プライマリリソースと使用する他のリソース) をサポートしていません。
これらのリソースとサブリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。
| リソースタイプ | ARN 形式 |
| --- | --- |
| ロググループ | 次の 2 つの形式が使用されます。末尾に `:*` が付いている 2 つ目の方は、`describe-log-groups` CLI コマンドと **[DescribeLogGroups]** API によって返される形式です。 arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name* arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name*:\$1 次の状況では、末尾に `:*` がない最初のバージョンを使用します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) 他のすべての API アクションの IAM ポリシーでアクセス許可を指定するときは、末尾に `:*` がある 2 番目のバージョンを使用して ARN を参照します。 |
| ログストリーム | arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name*:log-stream:*log-stream-name* |
| 送信先 | arn:aws:logs:*region*:*account-id*:destination:*destination\$1name* |
ARN の詳細については、*IAM ユーザーガイド*の「[ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)」を参照してください。CloudWatch Logs ARN の詳細については、「*Amazon Web Services 全般のリファレンス*」の「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs)」を参照してください。CloudWatch Logs を対象とするポリシーの例については、[CloudWatch Logs でのアイデンティティベースのポリシー (IAM ポリシー) の使用](iam-identity-based-access-control-cwl.md) を参照してください。
CloudWatch Logs には、CloudWatch Logs リソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「[CloudWatch Logs の許可リファレンス](permissions-reference-cwl.md)」を参照してください。
## リソース所有権についての理解
AWS アカウントは、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエストを認証する[プリンシパルエンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ルートアカウント、ユーザー、または IAM ロール) の AWS アカウントです。次の例は、この仕組みを示しています。
+ AWS アカウントのルートアカウントの認証情報を使用してロググループを作成する場合、 AWS アカウントは CloudWatch Logs リソースの所有者です。
+ AWS アカウントにユーザーを作成し、そのユーザーに CloudWatch Logs リソースを作成するアクセス許可を付与すると、そのユーザーは CloudWatch Logs リソースを作成できます。ただし、ユーザーが属する AWS アカウントは CloudWatch Logs リソースを所有します。
+ CloudWatch Logs リソースを作成するアクセス許可を持つ IAM ロールを AWS アカウントに作成する場合、ロールを引き受けることができるすべてのユーザーが CloudWatch Logs リソースを作成できます。ロールが属する AWS アカウントは、CloudWatch Logs リソースを所有します。
## リソースへのアクセスの管理
*アクセス権限ポリシー* では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス権限のポリシーを作成するために使用可能なオプションについて説明します。
**注記**
このセクションでは、CloudWatch Logs のコンテキストでの IAM の使用について説明します。これは、IAM サービスに関する詳細情報を取得できません。IAM に関する詳細なドキュメントについては、「*IAM ユーザーガイド*」の「[What is IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」(IAM とは?) を参照してください。IAM ポリシー構文の詳細と説明については、「*IAM ユーザーガイド*」の「[ IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
IAM ID にアタッチされたポリシーは ID ベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。CloudWatch Logs はアイデンティティベースのポリシー、およびクロスアカウントのサブスクリプションを有効にするために使用する、送信先のリソースベースのポリシーをサポートします。詳細については、「[クロスアカウント、クロスリージョンのサブスクリプション](CrossAccountSubscriptions.md)」を参照してください。
**Topics**
+ [ロググループの許可と Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [リソースベースのポリシー](#resource-based-policies-cwl)
### ロググループの許可と Contributor Insights
Contributor Insights は、ロググループのデータを分析し、コントリビューターデータを表示する時系列を作成できる CloudWatch の機能です。トップ N コントリビューター、一意のコントリビューターの合計数、およびそれらの使用状況に関するメトリクスを確認できます。詳細については、「[Contributor Insights を使用した高カーディナリティデータの分析](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html)」を参照してください。
ユーザーに `cloudwatch:PutInsightRule` と `cloudwatch:GetInsightRuleReport` アクセス許可を付与すると、そのユーザーは CloudWatch Logs でロググループを評価し、その結果を参照するルールを作成できます。結果には、これらのロググループのコントリビューターデータを含めることができます。これらのアクセス許可は、このデータを表示できるように設定したいユーザーのみに付与してください。
### リソースベースのポリシー
CloudWatch Logs は、クロスアカウントのサブスクリプションを有効にするために使用する、送信先のリソースベースのポリシーをサポートします。詳細については、「[ステップ 1: 送信先を作成する](CreateDestination.md)」を参照してください。送信先は [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) API を使用して作成でき、[PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) API を使用して、送信先にリソースポリシーを追加できます。次の例では、アカウント ID 111122223333 の他の AWS アカウントが、送信先 `arn:aws:logs:us-east-1:123456789012:destination:testDestination` にロググループをサブスクライブできるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## ポリシー要素 (アクション、効果、プリンシパル) の指定
CloudWatch Logs リソースごとに、このサービスは、一連の API オペレーションを定義します。これらの API オペレーションを実行するためのアクセス許可を付与するために、CloudWatch Logs ではポリシーに一連のアクションを定義できます。一部の API オペレーションは、API オペレーションを実行するために複数のアクションに対するアクセス許可を要求できます。リソースおよび API オペレーションに関する詳細については、「[CloudWatch Logs がリソースとオペレーションをログに記録する](#CWL_ARN_Format)」および「[CloudWatch Logs の許可リファレンス](permissions-reference-cwl.md)」を参照してください。
以下は、基本的なポリシーの要素です。
+ **リソース** - Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「[CloudWatch Logs がリソースとオペレーションをログに記録する](#CWL_ARN_Format)」を参照してください。
+ **[Action]** (アクション) - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、`logs.DescribeLogGroups` 権限は、`DescribeLogGroups` オペレーションの実行をユーザーに許可します。
+ **効果** – ユーザーが特定のアクションをリクエストする際の効果 (許可または拒否) を指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
+ **プリンシパル** - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。CloudWatch Logs は送信先のリソースベースのポリシーをサポートします。
IAM ポリシー構文の詳細と説明については、*IAM ユーザーガイド*の「[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
すべての CloudWatch Logs API アクションとそれらが適用されるリソースの表については、「[CloudWatch Logs の許可リファレンス](permissions-reference-cwl.md)」を参照してください。
## ポリシーでの条件を指定する
アクセス権限を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。各 AWS サービスでサポートされているコンテキストキーのリストと AWS全体ポリシーキーのリストについては、「 [AWS サービスのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」および[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
**注記**
ロググループや送信先などの CloudWatch Logs のリソースへのアクセスを制御するには、タグを使用します。ロググループとログストリームの間には階層的な関係があるため、ログストリームへのアクセスはロググループレベルで制御されます。リソースへのアクセスを制御するタグの使用の詳細については、[タグを使用した Amazon Web Services のリソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)を参照してください。
# CloudWatch Logs でのアイデンティティベースのポリシー (IAM ポリシー) の使用
このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。
**重要**
初めに、CloudWatch Logs リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「[CloudWatch Logs リソースへの許可の管理の概要](iam-access-control-overview-cwl.md)」を参照してください。
このトピックでは次の内容について説明します。
+ [CloudWatch コンソールの使用に必要な許可](#console-permissions-cwl)
+ [AWS CloudWatch Logs の マネージド (事前定義) ポリシー](#managed-policies-cwl)
+ [カスタマーマネージドポリシーの例](#customer-managed-policies-cwl)
以下は、アクセス権限ポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
このポリシーには、ロググループとログストリームを作成して、ログストリームにログイベントをアップロードし、ログストリームの詳細を一覧表示する権限を付与する 1 つのステートメントがあります。
このステートメントで `Resource` 値の末尾のワイルドカード文字 (\$1) は、任意のロググループに対して `logs:CreateLogGroup`、`logs:CreateLogStream`、`logs:PutLogEvents`、および `logs:DescribeLogStreams` アクションを実行するためのアクセス権限を付与することを意味します。このアクセス権限を特定のロググループに制限するには、リソース ARN 内のワイルドカード文字 (\$1) を特定のロググループ ARN に置き換えます。IAM ポリシーステートメント内のセクションの詳細については、*IAM ユーザーガイド*の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html)」を参照してください。すべての CloudWatch Logs アクションを示すリストについては、「[CloudWatch Logs の許可リファレンス](permissions-reference-cwl.md)」を参照してください。
## CloudWatch コンソールの使用に必要な許可
ユーザーが CloudWatch コンソールで CloudWatch Logs を使用するには、そのユーザーに AWS アカウントの他の AWS リソースを記述できる最小限のアクセス許可のセットが必要です。CloudWatch Logs コンソールで CloudWatch Logs を使用するには、次のサービスからのアクセス許可が必要になります。
+ CloudWatch
+ CloudWatch Logs
+ OpenSearch Service
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。`CloudWatchReadOnlyAccess` で説明されているとおり、ユーザーが CloudWatch コンソールを使用できること、および、[AWS CloudWatch Logs の マネージド (事前定義) ポリシー](#managed-policies-cwl) 管理ポリシーがユーザーにアタッチされていることを確認してください。
AWS CLI または CloudWatch Logs API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。
CloudWatch コンソールを使用してログのサブスクリプションを管理していないユーザーが、コンソールを使用するために必要なフルセットのアクセス許可は、次のとおりです。
+ cloudwatch:GetMetricData
+ cloudwatch:ListMetrics
+ logs:CancelExportTask
+ logs:CreateExportTask
+ logs:CreateLogGroup
+ logs:CreateLogStream
+ logs:DeleteLogGroup
+ logs:DeleteLogStream
+ logs:DeleteMetricFilter
+ logs:DeleteQueryDefinition
+ logs:DeleteRetentionPolicy
+ logs:DeleteSubscriptionFilter
+ logs:DescribeExportTasks
+ logs:DescribeLogGroups
+ logs:DescribeLogStreams
+ logs:DescribeMetricFilters
+ logs:DescribeQueryDefinitions
+ logs:DescribeQueries
+ logs:DescribeSubscriptionFilters
+ logs:FilterLogEvents
+ logs:GetLogEvents
+ logs:GetLogGroupFields
+ logs:GetLogRecord
+ logs:GetQueryResults
+ logs:PutMetricFilter
+ logs:PutQueryDefinition
+ logs:PutRetentionPolicy
+ logs:StartQuery
+ logs:StopQuery
+ logs:PutSubscriptionFilter
+ logs:TestMetricFilter
コンソールを使用してログのサブスクリプションを管理するユーザーには、以下のアクセス許可も必要です。
+ es:DescribeElasticsearchDomain
+ es:ListDomainNames
+ iam:AttachRolePolicy
+ iam:CreateRole
+ iam:GetPolicy
+ iam:GetPolicyVersion
+ iam:GetRole
+ iam:ListAttachedRolePolicies
+ iam:ListRoles
+ kinesis:DescribeStreams
+ kinesis:ListStreams
+ lambda:AddPermission
+ lambda:CreateFunction
+ lambda:GetFunctionConfiguration
+ lambda:ListAliases
+ lambda:ListFunctions
+ lambda:ListVersionsByFunction
+ lambda:RemovePermission
+ s3:ListBuckets
## AWS CloudWatch Logs の マネージド (事前定義) ポリシー
AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
アカウントのユーザーとロールにアタッチできる以下の AWS 管理ポリシーは、CloudWatch Logs に固有です。
+ **CloudWatchLogsFullAccess** – CloudWatch Logs へのフルアクセスを付与します。
+ **CloudWatchLogsReadOnlyAccess** – CloudWatch Logs への読み取り専用アクセスを付与します。
### CloudWatchLogsFullAccess
**CloudWatchLogsFullAccess** ポリシーは、CloudWatch Logs へのフルアクセスを付与します。このポリシーを持つユーザーが自然言語プロンプトから [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) クエリ文字列を生成できるように、このポリシーには `cloudwatch:GenerateQuery` および `cloudwatch:GenerateQueryResultsSummary` のアクセス許可が含まれています。このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)」を参照してください。
### [CloudWatchLogsReadOnlyAccess]
**CloudWatchLogsReadOnlyAccess** ポリシーは、CloudWatch Logs への読み取り専用のアクセス権限を付与します。このポリシーを持つユーザーが自然言語プロンプトから [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) クエリ文字列を生成できるように、このポリシーには `cloudwatch:GenerateQuery` および `cloudwatch:GenerateQueryResultsSummary` のアクセス許可が含まれています。このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)」を参照してください。
### CloudWatchOpenSearchDashboardsFullAccess
**CloudWatchOpenSearchDashboardsFullAccess** ポリシーは、OpenSearch Service との統合を作成、管理、削除し、それらの統合において提供されるログダッシュボードを作成、削除、管理するためのアクセス権限を付与します。詳細については、「[Amazon OpenSearch Service で分析する](CloudWatchLogs-OpenSearch-Dashboards.md)」を参照してください。
このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)」を参照してください。
### CloudWatchOpenSearchDashboardAccess
**CloudWatchOpenSearchDashboardAccess** ポリシーは、 Amazon OpenSearch Service 分析で作成され、提供されるログダッシュボードを表示するアクセス権を付与します。詳細については、「[Amazon OpenSearch Service で分析する](CloudWatchLogs-OpenSearch-Dashboards.md)」を参照してください。
**重要**
このポリシーの付与に加えて、ロールまたはユーザーが提供されるログダッシュボードを表示できるようにするには、OpenSearch Service との統合を作成するときにそれらも指定する必要があります。詳細については、「[ステップ 1: OpenSearch Service との統合を作成する](OpenSearch-Dashboards-Integrate.md)」を参照してください。
このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)」を参照してください。
#### CloudWatchLogsCrossAccountSharingConfiguration
**CloudWatchCrossAccountSharingConfiguration** ポリシーは、アカウント間で CloudWatch Logs リソースを共有するための Observability Access Manager リンクを作成、管理、および表示するためのアクセス許可を付与します。詳細については、「[CloudWatch のクロスアカウントオブザーバビリティ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)」を参照してください。
このポリシーのすべての内容については、「*AWS マネージドポリシーリファレンスガイド*」の「[CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)」を参照してください。
#### CloudWatchLogsAPIKeyAccess
**CloudWatchLogsAPIKeyAccess** ポリシーはCloudWatch Logs API キー認証と暗号化されたログ取り込みを有効にします。このポリシーは、ベアラートークンを使用して認証し、CloudWatch Logs にログイベントを書き込むためのアクセス許可と、ログが暗号化されたときにデータキーを復号および生成するための追加の AWS KMS アクセス許可を付与します。
このポリシーは以下のアクセス権限を与えます。
+ `logs` – プリンシパルが API キーベアラートークンを介して認証し、CloudWatch Logs ストリームにログイベントを書き込むことを許可します。
+ `kms` – プリンシパルが AWS KMS キーメタデータの読み取り、暗号化用のデータキーの生成、データの復号を行うことができます。これらのアクセス許可は、サービスがカスタマーマネージド AWS KMS キーを使用してログデータを暗号化できるようにすることで、暗号化された CloudWatch Logs をサポートします。アクセスは、CloudWatch Logs サービスを介して呼び出されるオペレーションに制限されます。
JSON ポリシードキュメントの最新バージョンなど、ポリシーの詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html)」を参照してください。
### AWS マネージドポリシーに対する CloudWatch Logs の更新
このサービスがこれらの変更の追跡を開始してからの CloudWatch Logs の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、CloudWatch Logs ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccess](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) – 新しいポリシー。 | CloudWatch Logs に新しい管理ポリシー **CloudWatchLogsAPIKeyAccess** が追加されました。 このポリシーは、CloudWatch Logs API キー認証と暗号化されたログ取り込みを有効にし、ベアラートークンを使用して認証し、CloudWatch Logs にログイベントを書き込むアクセス許可を付与します。 | 2026 年 2 月 17 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsFullAccess** に対するアクセス許可を追加しました。 テレメトリパイプラインと S3 テーブル統合への読み取り専用アクセスを許可するため、オブザーバビリティ管理アクションのアクセス許可が追加されました。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新。 | CloudWatch Logs が、**CloudWatchLogsReadOnlyAccess** に対するアクセス許可を追加しました。 テレメトリパイプラインと S3 テーブル統合への読み取り専用アクセスを許可するため、オブザーバビリティ管理アクションのアクセス許可が追加されました。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsFullAccess** に対するアクセス許可を追加しました。 `cloudwatch:GenerateQueryResultsSummary` のアクセス許可が追加され、クエリ結果の自然言語の概要を生成できるようになりました。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新。 | CloudWatch Logs が、**CloudWatchLogsReadOnlyAccess** に対するアクセス許可を追加しました。 `cloudwatch:GenerateQueryResultsSummary` のアクセス許可が追加され、クエリ結果の自然言語の概要を生成できるようになりました。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsFullAccess** に対するアクセス許可を追加しました。 一部の機能で CloudWatch Logs と OpenSearch Service の統合を有効にするために、 Amazon OpenSearch Service および IAM のアクセス許可が追加されました。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess) – 新しい IAM ポリシー。 | CloudWatch Logs は新しい IAM ポリシーである **CloudWatchOpenSearchDashboardsFullAccess** を追加しました。- このポリシーは、OpenSearch Service との統合を作成、管理、削除し、それらの統合において提供されるログダッシュボードを作成、管理、削除するためのアクセス権限を付与します。詳細については、「[Amazon OpenSearch Service で分析する](CloudWatchLogs-OpenSearch-Dashboards.md)」を参照してください。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) – 新しい IAM ポリシー。 | CloudWatch Logs は新しい IAM ポリシーである **CloudWatchOpenSearchDashboardAccess** を追加しました。- このポリシーは、 Amazon OpenSearch Serviceを利用して提供されるログダッシュボードを表示するためのアクセス権限を付与します。詳細については、「[Amazon OpenSearch Service で分析する](CloudWatchLogs-OpenSearch-Dashboards.md)」を参照してください。 | 2024 年 12 月 1 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsFullAccess** にアクセス許可を追加しました。 このポリシーを持つユーザーが自然言語プロンプトから [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) クエリ文字列を生成できるように、`cloudwatch:GenerateQuery` アクセス許可を追加しました。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新。 | CloudWatch が、**CloudWatchLogsReadOnlyAccess** にアクセス許可を追加しました。 このポリシーを持つユーザーが自然言語プロンプトから [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) クエリ文字列を生成できるように、`cloudwatch:GenerateQuery` アクセス許可を追加しました。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsReadOnlyAccess** に対するアクセス許可を追加しました。 `logs:StartLiveTail` および `logs:StopLiveTail` のアクセス権限が追加されたため、このポリシーを持つユーザーは、コンソールを使用して CloudWatch Logs の Live Tail セッションを開始および停止できます。詳細については、「[ライブテールを使用してほぼリアルタイムでログを表示する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)」を参照してください。 | 2023 年 6 月 6 日 |
| [CloudWatchCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – 新しいポリシー | CloudWatch Logs が、CloudWatch Logs ロググループを共有する CloudWatch クロスアカウントオブザーバビリティのリンクを管理できるようにする新しいポリシーを追加しました。 詳細については、「[CloudWatch のクロスアカウントオブザーバビリティ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)」を参照してください。 | 2022 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) — 既存のポリシーへの更新 | CloudWatch Logs が、**CloudWatchLogsReadOnlyAccess** に対するアクセス許可を追加しました。 このポリシーを持つユーザーがコンソールを使用して、CloudWatch のクロスアカウントオブザーバビリティでソースアカウントから共有されたデータを表示できるようにするための `oam:ListSinks` および `oam:ListAttachedLinks` 許可が追加されました。 | 2022 年 11 月 27 日 |
### カスタマーマネージドポリシーの例
独自のカスタム IAM ポリシーを作成して、CloudWatch Logs アクションとリソースのためのアクセス権限を許可することができます。こうしたカスタムポリシーは、該当するアクセス許可が必要なユーザーまたはグループにアタッチできます。
このセクションでは、さまざまな CloudWatch Logs アクションのアクセス許可を付与するユーザーポリシー例を示しています。これらのポリシーは、CloudWatch Logs API、 AWS SDK、または AWS CLIを使用しているときに機能します。
**Topics**
+ [例 1: CloudWatch Logs へのフルアクセスを許可する](#w2aac59c15c15c23c19b9)
+ [例 2: CloudWatch Logs への読み取り専用アクセスを許可する](#w2aac59c15c15c23c19c11)
+ [例 3: 1 つのロググループへのアクセスを許可する](#w2aac59c15c15c23c19c13)
#### 例 1: CloudWatch Logs へのフルアクセスを許可する
以下のポリシーでは、ユーザーにすべての CloudWatch Logs アクションへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 例 2: CloudWatch Logs への読み取り専用アクセスを許可する
AWS は、CloudWatch Logs データへの読み取り専用アクセスを有効にする **CloudWatchLogsReadOnlyAccess** ポリシーを提供します。 CloudWatch このポリシーには、以下のアクセス許可が含まれています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 例 3: 1 つのロググループへのアクセスを許可する
次のポリシーでは、指定した 1 つのロググループのログイベントの読み取りと書き込みをユーザーに許可します。
**重要**
`Resource` 行のロググループ名の末尾にある `:*` は、ポリシーがこのロググループのすべてのログストリームに適用されることを示すために必要です。`:*` を省略すると、ポリシーは適用されません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### ロググループレベルでのコントロールのためにタグ付けと IAM ポリシーを使用する
他のロググループへのアクセスを防止しながら、特定のロググループへのアクセスをユーザーに許可することができます。これを行うには、ロググループにタグを付け、IAM ポリシーを使用してそれらのタグを参照します。タグをロググループに適用するには、`logs:TagResource` または `logs:TagLogGroup` のアクセス許可が必要です。これは、作成時にロググループにタグを割り当てる場合と、後で割り当てる場合の両方に当てはまります。
ロググループのタグ付けの詳細については、「[Amazon CloudWatch Logs のロググループにタグを付ける](Working-with-log-groups-and-streams.md#log-group-tagging)」を参照してください。
ロググループにタグを付けるときは、特定のタグを持つロググループのみにアクセスを許可する IAM ポリシーをユーザーに付与できます。たとえば、以下のポリシーステートメントでは、タグキー `Green` の値が `Team` のロググループにのみアクセス権が付与されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
**StopQuery** および **StopLiveTail** API オペレーションは、従来の意味では AWS リソースとやり取りしません。何らかの方法でデータを返したり、データを入力したり、リソースを変更したりすることはありません。代わりに、特定のライブテールセッションまたは特定の CloudWatch Logs Insights クエリなど、リソースとして分類されていないものでのみ動作します。そのため、これらの操作の IAM ポリシーで `Resource` フィールドを指定するとき、次の例のように、`Resource` フィールドの値を `*` として設定する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
IAM ポリシーステートメントの詳細については、『*IAM ユーザーガイド*』の「[ポリシーを使用したアクセス制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)」を参照してください。
# CloudWatch Logs の許可リファレンス
[アクセスコントロール](auth-and-access-control-cwl.md#access-control-cwl) をセットアップし、IAM アイデンティティ (アイデンティティベースのポリシー) にアタッチできるアクセス権限ポリシーを作成する際、以下の表をリファレンスとして使用できます。この表には、各 CloudWatch Logs API オペレーション、およびその実行のためのアクセス権限を付与できる対応するアクションを示しています。アクションは、ポリシーの `Action` フィールドで指定します。`Resource` フィールドでは、ロググループまたはログストリームの ARN を指定するか、`*` を指定してすべての CloudWatch Logs リソースを表すことができます。
CloudWatch Logs ポリシーで AWS全体の条件キーを使用して、条件を表現できます。 AWS全体のキーの完全なリストについては、IAM *ユーザーガイド*の[AWS 「グローバルおよび IAM 条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
**注記**
アクションを指定するには、API オペレーション名の前に `logs:` プレフィックスを使用します。たとえば、`logs:CreateLogGroup`、`logs:CreateLogStream`、または `logs:*` (すべての CloudWatch Logs アクションの場合)。
**CloudWatch Logs API オペレーションおよびアクションに必要な許可**
| CloudWatch Logs API のオペレーション | 必要なアクセス許可 (API アクション) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` 保留中または実行中のエクスポートタスクをキャンセルするのに必要です。 |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` ロググループから Amazon S3バケットにデータをエクスポートするのに必要です。 |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` 新しいロググループを作成するのに必要です。 |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` ロググループに新しいログストリームを作成するのに必要です。 |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` ログ宛先を削除したり、サブスクリプションのフィルタを無効化するのに必要です。 |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` ロググループや関連したアーカイブログイベントを削除するのに必要です。 |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` ログストリームや関連したアーカイブログイベントを削除するのに必要です。 |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` ロググループに関連したメトリクスフィルタを削除するのに必要です。 |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` CloudWatch Logs Insights で保存されたクエリ定義を削除するのに必要です。 |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` CloudWatch Logs リソースポリシーを削除するために必要です。 |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` ロググループの保持ポリシーを削除するのに必要です。 |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` ロググループに関連したサブスクリプションのフィルタを削除するのに必要です。 |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` アカウントに関連したすべての送信先を表示するのに必要です。 |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` アカウントに関連したすべてのエクスポートタスクを表示するのに必要です。 |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` アカウントに関連したすべてのロググループを表示するのに必要です。 |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` ロググループに関連したすべてのログストリームを表示するのに必要です。 |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` ロググループに関連したすべてのメトリクスを表示するのに必要です。 |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` CloudWatch Logs Insights で保存されたクエリ定義のリストを表示するために必要です。 |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` スケジュールされた、実行された、または最近実行された CloudWatch Logs Insights クエリのリストを表示するために必要です。 |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` CloudWatch Logs リソースポリシーのリストを表示するために必要です。 |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` ロググループに関連したすべてのサブスクリプションフィルタを表示するのに必要です。 |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` ロググループのフィルタパターンでログイベントをソートするのに必要です。 |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` ログストリームからログイベントを取得するのに必要です。 |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` ロググループのログイベントに含まれるフィールドのリストを取得するために必要です。 |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` 1 つのログイベントから詳細を取得するために必要です。 |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` PutOpenTelemetryLogs API によって取り込まれたログイベントの大部分のコンテンツを取得するために必要です。 |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` CloudWatch Logs Insights クエリの結果を取得するために必要です。 |
| ListEntitiesForLogGroup (CloudWatch コンソールのみのアクセス許可) | `logs:ListEntitiesForLogGroup` ロググループに関連付けられたエンティティを検索するために必要です。CloudWatch コンソール内の関連するログを調べるために必要です。 |
| ListLogGroupsForEntity (CloudWatch コンソールのみのアクセス許可) | `logs:ListLogGroupsForEntity` エンティティに関連付けられたロググループを検索するために必要です。CloudWatch コンソール内の関連するログを調べるために必要です。 |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` ロググループに関連したタグをリストするのに必要です。 |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` アカウントに関連したすべてのロググループを表示するのに必要です。 |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` 宛先ログストリーム (Kinesis ストリームなど) の作成や更新に必要です。 |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` 既存のログ宛先に関連するアクセスポリシーの作成や更新に必要です。 |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` 一連のログイベントをログストリームに更新するのに必要です。 |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` メトリクスフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。 |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` パラメータを含む保存されたクエリなど、CloudWatch Logs Insights にクエリを保存するために必要です。 |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` CloudWatch Logs リソースポリシーを作成するために必要です。 |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` ロググループでログイベント (保持) を維持する日数を設定するのに必要です。 |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` サブスクリプションフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。 |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` CloudWatch Logs Insights クエリを開始するために必要です。パラメータを使用して保存されたクエリを実行するには、 も必要です`logs:DescribeQueryDefinitions`。 |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` 進行中の CloudWatch Logs Insights クエリを停止するために必要です。 |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` ロググループのタグを追加または更新するのに必要です。 |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` ログイベントメッセージのサンプリングに対してフィルタパターンをテストするのに必要です。 |
# CloudWatch Logs のサービスにリンクされたロールの使用
Amazon CloudWatch Logs は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)を使用します。サービスにリンクされたロールは、CloudWatch Logs に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは CloudWatch Logs によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールでは、必要なアクセス許可を手動で追加する必要がないため、CloudWatch Logs の設定が効率的になります。CloudWatch Logs は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されていない限り、CloudWatch Logs のみがこれらのロールを引き受けることができます。定義されたアクセス権限には、信頼ポリシーとアクセス権限ポリシーが含まれます。アクセス権限ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールをサポートしているその他のサービスの詳細については、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。**サービスにリンクされたロール**列が「**はい**」になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[**はい**] リンクを選択します。
## CloudWatch Logs のサービスにリンクされたロールの許可
CloudWatch Logs は **AWSServiceRoleForLogDelivery** というサービスにリンクされたロールを使用します。CloudWatch Logs は、このサービスにリンクされたロールを使用して Firehose に直接ログを書き込みます。詳細については、「[AWS サービスからのログ記録を有効にする](AWS-logs-and-resource-policy.md)」を参照してください。
**AWSServiceRoleForLogDelivery** サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。
+ `logs.amazonaws.com`
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを完了することを CloudWatch Logs に許可します。
+ アクション: 値が `True` の `LogDeliveryEnabled` キーを持つタグが付いたすべての Firehose ストリーム上で `firehose:PutRecordBatch` および `firehose:PutRecord`。このタグは、ログを Firehose に配信するサブスクリプションを作成すると、Firehose ストリームに自動的にアタッチされます。
IAM エンティティがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス許可を設定する必要があります。このエンティティは、ユーザー、グループ、またはロールです。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## CloudWatch Logs のサービスにリンクされたロールの作成
サービスにリンクされたロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で Firehose ストリームに直接送信されるログを設定すると、CloudWatch Logs によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Firehose ストリームに直接送信するように再度ログを設定すると、CloudWatch Logs によってサービスにリンクされたロールが再び作成されます。
## CloudWatch Logs のサービスにリンクされたロールの編集
CloudWatch Logs では、ロールを作成した後に、**AWSServiceRoleForLogDelivery** または他のサービスにリンクされたロールを編集することはできません。さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## CloudWatch Logs のサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除する際に、CloudWatch Logs サービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
****AWSServiceRoleForLogDelivery** サービスにリンクされたロールによって使用されている CloudWatch Logs リソースを削除するには**
+ Firehose ストリームへのログの直接送信を停止します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、**AWSServiceRoleForLogDelivery**サービスにリンクされたロールを削除します。詳細については、「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
### CloudWatch Logs のサービスにリンクされたロールでサポートされるリージョン
CloudWatch Logs は、サービスが利用可能なすべての AWS リージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「[CloudWatch Logs リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region)」を参照してください。
# CloudWatch Logs AWS のサービスにリンクされたロールの更新
この AWS サービスがこれらの変更の追跡を開始してからの CloudWatch Logs のサービスリンクロールの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、CloudWatch Logs ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSServiceRoleForLogDelivery サービスにリンクされたロールポリシー](AWS-logs-infrastructure-Firehose.md) – 既存のポリシーに更新 | CloudWatch Logs で **AWSServiceRoleForLogDelivery** サービスにリンクされたロールに関連付けられた IAM ポリシーの許可が変更されました。以下の変更が行われました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 2021 年 7 月 15 日 |
| CloudWatch Logs が変更の追跡を開始しました | CloudWatch Logs は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 6 月 10 日 |