기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon CloudWatch Logs용 Identity and Access Management
Amazon CloudWatch Logs에 액세스하려면가 요청을 인증하는 데 사용할 AWS 수 있는 자격 증명이 필요합니다. 이러한 자격 증명에는 클라우드 AWS 리소스에 대한 CloudWatch Logs 데이터를 검색하는 등 리소스에 액세스할 수 있는 권한이 있어야 합니다. 다음 섹션에서는 리소스에 액세스할 수 있는지 대상을 제어하여 리소스를 보호할 수 있도록 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 및 CloudWatch Logs를 사용하는 방법에 대한 세부 정보를 제공합니다.
+ [Authentication](#authentication-cwl)
+ [액세스 관리](#access-control-cwl)
## Authentication
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*의 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
## 액세스 관리
요청을 인증하는 데 유효한 자격 증명이 있더라도 권한이 없다면 CloudWatch Logs 리소스를 생성하거나 액세스할 수 없습니다. 예를 들어 로그 스트림과 로그 그룹 생성 등의 권한이 있어야 합니다.
다음 섹션에서는 CloudWatch Logs에 대한 권한을 관리하는 방법에 대해 설명합니다. 먼저 개요를 읽어보면 도움이 됩니다.
+ [CloudWatch Logs 리소스에 대한 액세스 권한 관리 개요](iam-access-control-overview-cwl.md)
+ [CloudWatch Logs에 대한 ID 기반 정책(IAM 정책) 사용](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Logs 권한 참조](permissions-reference-cwl.md)
# CloudWatch Logs 리소스에 대한 액세스 권한 관리 개요
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
**Topics**
+ [CloudWatch Logs 리소스 및 작업](#CWL_ARN_Format)
+ [리소스 소유권 이해](#understanding-resource-ownership-cwl)
+ [리소스 액세스 관리](#managing-access-resources-cwl)
+ [정책 요소 지정: 작업, 효과, 보안 주체](#actions-effects-principals-cwl)
+ [정책에서 조건 지정](#policy-conditions-cwl)
## CloudWatch Logs 리소스 및 작업
CloudWatch Logs에서 기본 리소스는 로그 그룹, 로그 스트림 및 대상입니다. CloudWatch Logs는 하위 리소스(기본 리소스와 함께 사용되는 다른 리소스)를 지원하지 않습니다.
다음 표에 나와 있는 것처럼 이러한 리소스와 하위 리소스에는 고유한 Amazon 리소스 이름(ARN)이 연결되어 있습니다.
| 리소스 유형 | ARN 형식 |
| --- | --- |
| 로그 그룹: | 다음 두 가지가 모두 사용됩니다. 마지막이 `:*`로 끝나는 두번째 항목이 `describe-log-groups` CLI 명령 및 **DescribeLogGroups** API에 의해 반환되는 것입니다. arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name* arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name*:\$1 다음과 같은 상황에서는 후행 `:*` 없이 첫 번째 버전을 사용합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) 다른 모든 API 작업에서는 IAM 정책에서 권한을 지정할 때 두 번째 버전을 후행 `:*`와 함께 사용하여 ARN을 참조합니다. |
| 로그 스트림 | arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name*:log-stream:*log-stream-name* |
| Destination | arn:aws:logs:*region*:*account-id*:destination:*destination\$1name* |
ARN에 대한 자세한 내용은 *IAM 사용 설명서*의 [ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)을 참조하세요. CloudWatch Logs ARN에 대한 자세한 내용은 *Amazon Web Services 일반 참조*의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs)을 참조하세요. CloudWatch Logs에 적용되는 정책의 예제는 [CloudWatch Logs에 대한 ID 기반 정책(IAM 정책) 사용](iam-identity-based-access-control-cwl.md)을 참조하세요.
CloudWatch Logs 는 CloudWatch Logs 리소스를 사용하기 위한 일련의 작업을 제공합니다. 사용 가능한 작업 목록은 [CloudWatch Logs 권한 참조](permissions-reference-cwl.md) 섹션을 참조하세요.
## 리소스 소유권 이해
AWS 계정은 누가 리소스를 생성했는지에 관계없이 계정에서 생성된 리소스를 소유합니다. 특히 리소스 소유자는 리소스 생성 요청을 인증하는 AWS [보안 주체 엔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)터티(즉, 루트 계정, 사용자 또는 IAM 역할)의 계정입니다. 다음 예제에서는 이러한 작동 방법을 설명합니다.
+ AWS 계정의 루트 계정 자격 증명을 사용하여 로그 그룹을 생성하는 경우 AWS 계정은 CloudWatch Logs 리소스의 소유자입니다.
+ AWS 계정에서 사용자를 생성하고 해당 사용자에게 CloudWatch Logs 리소스를 생성할 수 있는 권한을 부여하는 경우 사용자는 CloudWatch Logs 리소스를 생성할 수 있습니다. 하지만 사용자가 속한 AWS 계정이 CloudWatch Logs 리소스를 소유합니다.
+ AWS 계정에서 CloudWatch Logs 리소스를 생성할 권한이 있는 IAM 역할을 생성하는 경우 역할을 수임할 수 있는 사람은 누구나 CloudWatch Logs 리소스를 생성할 수 있습니다. 역할이 속한 AWS 계정이 CloudWatch Logs 리소스를 소유합니다.
## 리소스 액세스 관리
*권한 정책*은 누가 무엇에 액세스할 수 있는지를 나타냅니다. 다음 섹션에서는 권한 정책을 만드는 데 사용 가능한 옵션에 대해 설명합니다.
**참고**
이 섹션에서는 CloudWatch Logs의 맥락에서 IAM을 사용하는 방법에 대해 설명하며, IAM 서비스에 대한 자세한 내용은 다루지 않습니다. IAM 설명서 전체 내용은 *IAM 사용 설명서*의 [IAM이란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)를 참조하세요. IAM 정책 구문 및 설명에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) 단원을 참조하세요.
IAM 자격 증명에 연결된 정책을 자격 증명 기반 정책(IAM 정책)이라 하고, 리소스에 연결된 정책을 리소스 기반 정책이라고 합니다. CloudWatch Logs는 계정 구독 간에 활성화하는 데 사용되는 대상에 대해 ID 기반 정책과 리소스 기반 정책을 지원합니다. 자세한 정보는 [교차 계정 교차 리전 구독](CrossAccountSubscriptions.md) 섹션을 참조하세요.
**Topics**
+ [로그 그룹 권한 및 Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [리소스 기반 정책](#resource-based-policies-cwl)
### 로그 그룹 권한 및 Contributor Insights
Contributor Insights는 로그 그룹의 데이터를 분석하고 기여자 데이터를 표시하는 시계열을 생성할 수 있도록 하는 CloudWatch의 기능입니다. 상위 N개의 기고자, 총 고유 기고자 수 및 사용량에 대한 지표를 볼 수 있습니다. 자세한 내용은 [Contributor Insights를 사용하여 높은 카디널리티 데이터 분석](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html)을 참조하세요.
사용자에게 `cloudwatch:PutInsightRule` 및 `cloudwatch:GetInsightRuleReport` 권한을 부여하면 해당 사용자는 CloudWatch Logs 의 모든 로그 그룹을 평가하는 규칙을 생성한 다음 결과를 볼 수 있습니다. 결과에는 이러한 로그 그룹에 대한 기여자 데이터가 포함될 수 있습니다. 이 데이터를 볼 수 있어야 하는 사용자에게만 해당 권한을 부여해야 합니다.
### 리소스 기반 정책
CloudWatch Logs는 대상에 리소스 기반 정책을 지원하는 데, 이 정책을 사용하여 계정 구독에서 활성화를 수행할 수 있습니다. 자세한 내용은 [1단계: 대상 생성](CreateDestination.md) 단원을 참조하십시오. [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) API를 사용하여 대상을 생성하고, [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) API를 사용하여 대상에 리소스 정책을 추가할 수 있습니다. 다음 예제는 계정 ID가 111122223333인 또 다른 AWS 계정이 대상 `arn:aws:logs:us-east-1:123456789012:destination:testDestination`에 대한 로그 그룹을 구독할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## 정책 요소 지정: 작업, 효과, 보안 주체
각 CloudWatch Logs 리소스에 대해 서비스는 API 작업 세트를 정의합니다. 이러한 API 작업에 대한 권한을 부여하기 위해 CloudWatch Logs에서는 정책에서 지정할 수 있는 작업을 정의합니다. 일부 API 작업에서는 API 작업을 수행하기 위해 복수의 작업에 대한 권한이 필요할 수 있습니다. 리소스 및 API 작업에 대한 자세한 내용은 [CloudWatch Logs 리소스 및 작업](#CWL_ARN_Format) 및 [CloudWatch Logs 권한 참조](permissions-reference-cwl.md) 섹션을 참조하세요.
다음은 기본 정책 요소입니다.
+ **리소스** – Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. 자세한 정보는 [CloudWatch Logs 리소스 및 작업](#CWL_ARN_Format) 섹션을 참조하세요.
+ **작업** – 작업 키워드를 사용하여 허용 또는 거부하려는 리소스 작업을 식별합니다. 예를 들어, `logs.DescribeLogGroups` 권한은 사용자에게 `DescribeLogGroups` 작업 수행 권한을 허용합니다.
+ **Effect** - 사용자가 특정 작업을 요청할 때 허용할지 아니면 거부할지 그 결과를 지정합니다. 명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 묵시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다.
+ **보안 주체** – ID 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우, 사용자, 계정, 서비스 또는 권한의 수신자인 기타 개체를 지정합니다(리소스 기반 정책에만 해당). CloudWatch Logs는 대상에 대한 리소스 기반 정책을 지원합니다.
IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS IAM 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) 섹션을 참조하세요.
모든 CloudWatch Logs API 작업과 해당 작업이 적용되는 리소스를 보여주는 표는 [CloudWatch Logs 권한 참조](permissions-reference-cwl.md)을 참조하세요.
## 정책에서 조건 지정
권한을 부여할 때 액세스 정책 언어를 사용하여 조건이 적용되는 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어에서의 조건 지정에 관한 자세한 내용은 *IAM 사용 설명서*의 [조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하십시오.
조건을 표시하려면 미리 정의된 조건 키를 사용합니다. 각 AWS 서비스에서 지원하는 컨텍스트 키 목록과 AWS전체 정책 키 목록은 [AWS 서비스 및 전역 조건 컨텍스트 키에 대한 작업, 리소스](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) [AWS 및 조건 키를 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)참조하세요.
**참고**
태그를 사용하여 로그 그룹 및 대상을 비롯한 CloudWatch Logs 리소스에 대한 액세스를 제어할 수 있습니다. 로그 그룹과 로그 스트림 간의 계층적 관계로 인해 로그 스트림에 대한 액세스는 로그 그룹 수준에서 제어됩니다. 태그를 사용하여 액세스를 제어하는 방법에 대한 자세한 내용은 [태그를 사용하여 Amazon Web Services 리소스에 대한 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)를 참조하세요.
# CloudWatch Logs에 대한 ID 기반 정책(IAM 정책) 사용
이 주제에서는 계정 관리자가 IAM ID(사용자, 그룹, 역할)에 권한 정책을 연결할 수 있는 ID 기반 정책의 예제를 제공합니다.
**중요**
CloudWatch Logs 리소스에 대한 액세스 관리를 위해 제공되는 기본 개념과 옵션 설명이 나온 소개 주제 부분을 먼저 읽는 것이 좋습니다. 자세한 내용은 [CloudWatch Logs 리소스에 대한 액세스 권한 관리 개요](iam-access-control-overview-cwl.md) 단원을 참조하십시오.
이 주제에서는 다음을 다룹니다.
+ [CloudWatch 콘솔을 사용하는 데 필요한 권한](#console-permissions-cwl)
+ [AWS CloudWatch Logs에 대한 관리형(미리 정의된) 정책](#managed-policies-cwl)
+ [고객 관리형 정책 예제](#customer-managed-policies-cwl)
다음은 권한 정책의 예제입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
이 정책에는 로그 그룹 및 로그 스트림을 생성하고 로그 스트림에 로그 이벤트를 업로드하며 로그 스트림에 대한 세부 사항을 나열할 수 있는 권한을 부여하는 명령문이 하나 포함되어 있습니다.
`Resource` 값 끝에 와일드카드 문자(\$1)가 있다는 것은 이 정책 명령문이 어떤 로그 그룹에서든 `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents` 및 `logs:DescribeLogStreams` 작업에 대한 권한을 허용한다는 의미입니다. 이러한 권한을 특정 로그 그룹으로 제한하려면 리소스 ARN에 있는 와일드카드 문자(\$1)를 특정 로그 그룹 ARN으로 대체합니다. IAM 정책 설명 내 섹션에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html)를 참조하세요. 모든 CloudWatch Logs 작업을 보여주는 목록은 [CloudWatch Logs 권한 참조](permissions-reference-cwl.md)을 참조하세요.
## CloudWatch 콘솔을 사용하는 데 필요한 권한
사용자가 CloudWatch 콘솔에서 CloudWatch Logs로 작업하려면 해당 사용자에게 AWS 계정의 다른 AWS 리소스를 설명할 수 있는 최소 권한 집합이 있어야 합니다. CloudWatch 콘솔에서 CloudWatch Logs를 사용하려면 다음 서비스에서도 권한이 있어야 합니다.
+ CloudWatch
+ CloudWatch Logs
+ OpenSearch Service
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
최소 필수 권한보다 더 제한적인 IAM 정책을 만들면 콘솔은 해당 IAM 정책에 연결된 사용자에 대해 의도대로 작동하지 않습니다. 해당 사용자가 CloudWatch 콘솔을 계속 사용할 수 있도록 하려면 [AWS CloudWatch Logs에 대한 관리형(미리 정의된) 정책](#managed-policies-cwl) 단원에 설명된 대로 `CloudWatchReadOnlyAccess` 관리형 정책도 사용자에게 연결해야 합니다.
AWS CLI 또는 CloudWatch Logs API만 호출하는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다.
CloudWatch 콘솔을 사용하여 로그 구독을 관리하지 않는 사용자가 콘솔에서 작업하는 데 필요한 권한의 전체 집합은 다음과 같습니다.
+ cloudwatch:GetMetricData
+ cloudwatch:ListMetrics
+ logs:CancelExportTask
+ logs:CreateExportTask
+ logs:CreateLogGroup
+ logs:CreateLogStream
+ logs:DeleteLogGroup
+ logs:DeleteLogStream
+ logs:DeleteMetricFilter
+ logs:DeleteQueryDefinition
+ logs:DeleteRetentionPolicy
+ logs:DeleteSubscriptionFilter
+ logs:DescribeExportTasks
+ logs:DescribeLogGroups
+ logs:DescribeLogStreams
+ logs:DescribeMetricFilters
+ logs:DescribeQueryDefinitions
+ logs:DescribeQueries
+ logs:DescribeSubscriptionFilters
+ logs:FilterLogEvents
+ logs:GetLogEvents
+ logs:GetLogGroupFields
+ logs:GetLogRecord
+ logs:GetQueryResults
+ logs:PutMetricFilter
+ logs:PutQueryDefinition
+ logs:PutRetentionPolicy
+ logs:StartQuery
+ logs:StopQuery
+ logs:PutSubscriptionFilter
+ logs:TestMetricFilter
사용자가 콘솔을 사용하여 로그 구독도 관리할 경우 다음 권한도 필요합니다.
+ es:DescribeElasticsearchDomain
+ es:ListDomainNames
+ iam:AttachRolePolicy
+ iam:CreateRole
+ iam:GetPolicy
+ iam:GetPolicyVersion
+ iam:GetRole
+ iam:ListAttachedRolePolicies
+ iam:ListRoles
+ kinesis:DescribeStreams
+ kinesis:ListStreams
+ lambda:AddPermission
+ lambda:CreateFunction
+ lambda:GetFunctionConfiguration
+ lambda:ListAliases
+ lambda:ListFunctions
+ lambda:ListVersionsByFunction
+ lambda:RemovePermission
+ s3:ListBuckets
## AWS CloudWatch Logs에 대한 관리형(미리 정의된) 정책
AWS 는에서 생성하고 관리하는 독립 실행형 IAM 정책을 제공하여 많은 일반적인 사용 사례를 처리합니다 AWS. 관리형 정책은 필요한 권한을 사용자가 조사할 필요가 없도록 일반 사용 사례에 필요한 권한을 부여합니다. 자세한 내용은 *IAM 사용자 안내서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
계정의 사용자 및 역할에 연결할 수 있는 다음 AWS 관리형 정책은 CloudWatch Logs에 고유합니다.
+ **CloudWatchLogsFullAccess** – CloudWatch Logs에 대한 전체 액세스 권한을 부여합니다.
+ **CloudWatchLogsReadOnlyAccess** – CloudWatch Logs에 대한 읽기 전용 액세스 권한을 부여합니다.
### CloudWatchLogsFullAccess
**CloudWatchLogsFullAccess** 정책은 CloudWatch Logs에 대한 전체 액세스 권한을 부여합니다. 이 정책에는 `cloudwatch:GenerateQuery` 및 `cloudwatch:GenerateQueryResultsSummary` 권한이 포함되어 있으므로 이 정책을 사용하는 사용자는 자연어 프롬프트에서 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 쿼리 문자열을 생성할 수 있습니다. 정책의 전체 내용을 보려면 *AWS 관리형 정책 참조 가이드*의 [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)를 참조하세요.
### CloudWatchLogsReadOnlyAccess
**CloudWatchLogsReadOnlyAccess** 정책은 CloudWatch Logs에 대한 읽기 전용 액세스 권한을 부여합니다. 이 정책은 `cloudwatch:GenerateQuery` 및 `cloudwatch:GenerateQueryResultsSummary` 권한을 포함하고 있으므로 이 정책은 자연 언어 프롬프트에서 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)을 생성할 수 있습니다. 정책의 전체 내용을 보려면 *AWS 관리형 정책 참조 가이드*의 [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)를 참조하세요.
### CloudWatchOpenSearchDashboardsFullAccess
**CloudWatchOpenSearchDashboardsFullAccess** 정책은 OpenSearch Service와의 통합을 생성, 관리 및 삭제하고 해당 통합에서 판매 로그 대시보드를 생성 및 관리할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 [Amazon OpenSearch Service로 분석](CloudWatchLogs-OpenSearch-Dashboards.md) 단원을 참조하십시오.
정책의 전체 내용을 보려면 *AWS 관리형 정책 참조 가이드*의 [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)를 참조하세요.
### CloudWatchOpenSearchDashboardAccess
**CloudWatchOpenSearchDashboardAccess** 정책은 Amazon OpenSearch Service 분석으로 생성된 판매 로그 대시보드를 볼 수 있는 액세스 권한을 부여합니다. 자세한 내용은 [Amazon OpenSearch Service로 분석](CloudWatchLogs-OpenSearch-Dashboards.md) 단원을 참조하십시오.
**중요**
이 정책을 부여하는 것 외에도 역할 또는 사용자가 판매 로그 대시보드를 볼 수 있도록 하려면 OpenSearch Service와의 통합을 생성할 때 이를 지정해야 합니다. 자세한 내용은 [1단계: OpenSearch Service와의 통합 생성](OpenSearch-Dashboards-Integrate.md) 단원을 참조하십시오.
정책의 전체 내용을 보려면 *AWS 관리형 정책 참조 가이드*의 [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)를 참조하세요.
#### CloudWatchLogsCrossAccountSharingConfiguration
**CloudWatchLogsCrossAccountSharingConfiguration** 정책은 계정 간에 CloudWatch Logs 리소스를 공유하기 위해 Observability Access Manager 링크를 생성 및 관리하고 볼 수 있는 액세스 권한을 부여합니다. 자세한 내용은 [CloudWatch 크로스 계정 관찰성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)을 참조하세요.
정책의 전체 내용을 보려면 *AWS 관리형 정책 참조 가이드*의 [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)를 참조하세요.
#### CloudWatchLogsAPIKeyAccess
**CloudWatchLogsAPIKeyAccess** 정책은 CloudWatch Logs API 키 인증 및 암호화된 로그 수집을 활성화합니다. 이 정책은 보유자 토큰을 사용하여 인증하고 로그 이벤트를 CloudWatch Logs에 쓸 수 있는 권한을 부여하며, 로그가 암호화될 때 데이터 키를 해독하고 생성할 수 있는 추가 AWS KMS 권한을 부여합니다.
이 정책은 다음 권한을 부여합니다.
+ `logs` - 보안 주체가 API 키 보유자 토큰을 통해 인증하고 CloudWatch Logs 스트림에 로그 이벤트를 쓸 수 있도록 허용합니다.
+ `kms` - 보안 주체가 AWS KMS 키 메타데이터를 읽고, 암호화를 위한 데이터 키를 생성하고, 데이터를 복호화할 수 있도록 허용합니다. 이러한 권한은 서비스가 고객 관리형 AWS KMS 키를 사용하여 로그 데이터를 암호화할 수 있도록 하여 암호화된 CloudWatch Logs를 지원합니다. 액세스는 CloudWatch Logs 서비스를 통해 호출된 작업으로 제한됩니다.
최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 안내서*의 [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html)를 참조하세요.
### AWS 관리형 정책에 대한 CloudWatch Logs 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 CloudWatch Logs의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 CloudWatch Logs 문서 기록 페이지에서 RSS 피드를 구독합니다.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccess](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) – 새 정책입니다. | CloudWatch Logs에 새로운 관리형 정책 **CloudWatchLogsAPIKeyAccess**가 추가되었습니다. 이 정책은 CloudWatch Logs API 키 인증 및 암호화된 로그 수집을 활성화하여 보유자 토큰을 사용하여 인증하고 CloudWatch Logs에 로그 이벤트를 쓸 수 있는 권한을 부여합니다. | 2026년 2월 17일 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - 기존 정책에 대한 업데이트 | CloudWatch Logs에서 **CloudWatchLogsFullAccess**에 대한 권한을 추가했습니다. 원격 분석 파이프라인 및 S3 테이블 통합에 대한 읽기 전용 액세스를 허용할 수 있도록 관찰성 관리 작업에 대한 권한이 추가되었습니다. | 2025년 12월 2일 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - 기존 정책에 대한 업데이트 | CloudWatch Logs에서 **CloudWatchLogsReadOnlyAccess**에 대한 권한을 추가했습니다. 원격 분석 파이프라인 및 S3 테이블 통합에 대한 읽기 전용 액세스를 허용할 수 있도록 관찰성 관리 작업에 대한 권한이 추가되었습니다. | 2025년 12월 2일 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - 기존 정책에 대한 업데이트 | CloudWatch Logs에서 **CloudWatchLogsFullAccess**에 대한 권한을 추가했습니다. `cloudwatch:GenerateQueryResultsSummary`에 대한 권한이 쿼리 결과의 자연어 요약을 생성할 수 있도록 추가되었습니다. | 2025년 5월 20일 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - 기존 정책에 대한 업데이트 | CloudWatch Logs에서 **CloudWatchLogsReadOnlyAccess**에 대한 권한을 추가했습니다. `cloudwatch:GenerateQueryResultsSummary`에 대한 권한이 쿼리 결과의 자연어 요약을 생성할 수 있도록 추가되었습니다. | 2025년 5월 20일 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - 기존 정책에 대한 업데이트 | CloudWatch Logs에서 **CloudWatchLogsFullAccess**에 대한 권한을 추가했습니다. 일부 기능에 대해 OpenSearch Service와의 CloudWatch Logs 통합을 활성화하기 위해 Amazon OpenSearch Service 및 IAM에 대한 권한이 추가되었습니다. | 2024년 12월 1일 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess) – 새 IAM 정책. | CloudWatch Logs에서 새 IAM 정책인 **CloudWatchOpenSearchDashboardsFullAccess**를 추가했습니다. 이 정책은 OpenSearch Service와의 통합을 생성, 관리 및 삭제하고 해당 통합에서 판매 로그 대시보드를 생성, 관리 및 삭제할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 [Amazon OpenSearch Service로 분석](CloudWatchLogs-OpenSearch-Dashboards.md) 단원을 참조하십시오. | 2024년 12월 1일 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) – 새 IAM 정책 | CloudWatch Logs에서 새 IAM 정책인 **CloudWatchOpenSearchDashboardAccess**를 추가했습니다. 이 정책은 Amazon OpenSearch Service로 구동되는 판매 로그 대시보드를 볼 수 있는 액세스 권한을 부여합니다. 자세한 내용은 [Amazon OpenSearch Service로 분석](CloudWatchLogs-OpenSearch-Dashboards.md) 단원을 참조하십시오. | 2024년 12월 1일 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - 기존 정책에 대한 업데이트 | CloudWatch Logs에서 **CloudWatchLogsFullAccess**에 대한 권한을 추가했습니다. `cloudwatch:GenerateQuery` 권한이 추가되었으므로 이 정책이 적용되는 사용자는 자연어 프롬프트에서 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 쿼리 문자열을 생성할 수 있습니다. | 2023년 11월 27일 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - 기존 정책에 대한 업데이트 | CloudWatch에서 **CloudWatchLogsReadOnlyAccess**에 대한 권한을 추가했습니다. `cloudwatch:GenerateQuery` 권한이 추가되었으므로 이 정책이 적용되는 사용자는 자연어 프롬프트에서 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 쿼리 문자열을 생성할 수 있습니다. | 2023년 11월 27일 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - 기존 정책에 대한 업데이트 | CloudWatch Logs에서 **CloudWatchLogsReadOnlyAccess**에 대한 권한을 추가했습니다. 이 정책이 있는 사용자가 콘솔을 사용하여 CloudWatch Logs Live Tail 세션을 시작하고 중지할 수 있도록 `logs:StartLiveTail` 및 `logs:StopLiveTail` 권한이 추가되었습니다. 자세한 내용은 [Live Tail을 사용하여 거의 실시간으로 로그 보기](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)를 참조하세요. | 2023년 6월 6일 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) - 새 정책 | CloudWatch Logs에서 CloudWatch Logs 로그 그룹을 공유하는 CloudWatch 교차 계정 관측성 링크를 관리할 수 있는 새 정책을 추가했습니다. 자세한 내용은 [CloudWatch 크로스 계정 관찰성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)을 참조하세요. | 2022년 11월 27일 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - 기존 정책에 대한 업데이트 | CloudWatch Logs에서 **CloudWatchLogsReadOnlyAccess**에 대한 권한을 추가했습니다. 이 정책이 적용되는 사용자가 콘솔을 사용하여 CloudWatch 크로스 계정 관찰성에서 소스 계정의 공유된 데이터를 볼 수 있도록 여기에는 `oam:ListSinks` 및 `oam:ListAttachedLinks` 권한이 포함되었습니다. | 2022년 11월 27일 |
### 고객 관리형 정책 예제
CloudWatch Logs 작업 및 리소스에 대한 권한을 허용하는 고유의 사용자 지정 IAM 정책을 생성할 수도 있습니다. 해당 권한이 필요한 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.
이 섹션에서는 다양한 CloudWatch Logs 작업에 대한 권한을 부여하는 사용자 정책의 예제를 제공합니다. 이러한 정책은 CloudWatch Logs API, AWS SDK 또는 AWS CLI를 사용하는 경우에 유효합니다.
**Topics**
+ [예제 1: CloudWatch Logs에 대한 전체 액세스 허용](#w2aac59c15c15c23c19b9)
+ [예제 2: CloudWatch Logs에 대한 읽기 전용 액세스 허용](#w2aac59c15c15c23c19c11)
+ [예제 3: 로그 그룹 하나에 대한 액세스 허용](#w2aac59c15c15c23c19c13)
#### 예제 1: CloudWatch Logs에 대한 전체 액세스 허용
다음 정책은 사용자가 모든 CloudWatch Logs 작업에 액세스할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 예제 2: CloudWatch Logs에 대한 읽기 전용 액세스 허용
AWS 는 CloudWatch Logs 데이터에 대한 읽기 전용 액세스를 활성화하는 **CloudWatchLogsReadOnlyAccess** 정책을 제공합니다. CloudWatch 이 정책에는 다음 권한이 포함되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 예제 3: 로그 그룹 하나에 대한 액세스 허용
다음 정책에서는 사용자가 지정된 로그 그룹 하나에서 로그 이벤트를 읽고 쓸 수 있게 허용합니다.
**중요**
`Resource` 라인의 로그 그룹 이름 끝에 있는 `:*` 기호가 있어야 정책이 이 로그 그룹의 모든 로그 스트림에 적용됨을 나타냅니다. `:*` 기호를 생략하는 경우 정책이 시행되지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### 로그 그룹 수준의 제어를 위한 태깅 및 IAM 정책 사용
사용자에게 특정 로그 그룹에 대한 액세스 권한을 부여함과 동시에 다른 로그 그룹에 대한 액세스를 방지할 수 있습니다. 이렇게 하려면 로그 그룹에 태그를 지정하고 해당 태그를 참조하는 IAM 정책을 사용하세요. 로그 그룹에 태그를 적용하려면 `logs:TagResource` 또는 `logs:TagLogGroup` 권한이 있어야 합니다. 이는 로그 그룹을 생성할 때 로그 그룹에 태그를 할당하거나 나중에 할당하는 경우 모두에 적용됩니다.
로그 그룹의 태깅에 대한 자세한 내용은 [Amazon CloudWatch Logs의 로그 그룹에 태그 지정](Working-with-log-groups-and-streams.md#log-group-tagging) 섹션을 참조하세요.
로그 그룹에 태그를 지정할 때 특정 태그가 있는 로그 그룹에만 액세스를 허용할 수 있도록 사용자에게 IAM 정책에 대한 권한을 부여할 수 있습니다. 예를 들어, 다음 정책 명령문은 태그 키 `Team`에 대한 값이 `Green`인 로그 그룹에만 액세스하도록 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
**StopQuery** 및 **StopLiveTail** API 작업은 기존 방식으로 AWS 리소스와 상호 작용하지 않습니다. 즉, 어떤 식으로든 데이터를 반환하거나 데이터를 넣거나 리소스를 수정하지 않습니다. 대신, 리소스로 분류되지 않는 지정된 Live Tail 세션 또는 지정된 CloudWatch 로그 인사이트 쿼리에서만 작동합니다. 따라서 이러한 작업에 대해 IAM 정책에서 `Resource` 필드를 지정하는 경우 다음 예제와 같이 `Resource` 필드 값을 `*`로 설정해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
IAM 정책 설명 사용에 대한 자세한 내용은 *IAM User Guide*의 [Controlling Access Using Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)를 참조하세요.
# CloudWatch Logs 권한 참조
IAM ID에 연결할 수 있는 [액세스 관리](auth-and-access-control-cwl.md#access-control-cwl) 및 쓰기 권한 정책(ID 기반 정책)을 설정할 때 다음 표를 참조로 사용할 수 있습니다. 표에는 각 CloudWatch Logs API 작업과 이 작업을 수행할 수 있는 권한을 부여할 수 있는 작업이 나와 있습니다. 정책의 `Action` 필드에 작업을 지정합니다. `Resource` 필드에서는 로그 그룹 또는 로그 스트림의 ARN을 지정하거나 `*`를 지정하여 모든 CloudWatch Logs 리소스를 대표할 수 있습니다.
CloudWatch Logs 정책에서 AWS전체 조건 키를 사용하여 조건을 표시할 수 있습니다. AWS전체 키의 전체 목록은 [AWS IAM 사용 설명서의 전역 및 IAM 조건 컨텍스트 키를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). **
**참고**
작업을 지정하려면 `logs:` 접두사 다음에 API 작업 이름을 사용합니다. 예:`logs:CreateLogGroup`,`logs:CreateLogStream` 또는 `logs:*`(모든 CloudWatch Logs 작업의 경우).
**CloudWatch Logs API 작업 및 작업에 필요한 권한**
| CloudWatch Logs API 작업 | 필요한 권한(API 작업) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` 보류 또는 실행 중인 내보내기 작업을 취소하는 데 필요합니다. |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` 로그 그룹에서 Amazon S3 버킷으로 데이터를 내보내는 데 필요합니다. |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` 새 보안 그룹을 생성하는 데 필요합니다. |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` 로그 그룹에서 로그 스트림을 새로 생성하는 데 필요합니다. |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` 로그 대상을 삭제하고 이에 대한 모든 구독 필터를 비활성화하는 데 필요합니다. |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` 로그 그룹과 보관되는 모든 연관 로그 이벤트를 삭제하는 데 필요합니다. |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` 로그 스트림과 보관되는 모든 연관 로그 이벤트를 삭제하는 데 필요합니다. |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` 로그 그룹과 연관된 지표 필터를 삭제하는 데 필요합니다. |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` CloudWatch Logs Insights에서 저장된 쿼리 정의를 삭제하는 데 필요합니다. |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` CloudWatch Logs 리소스 정책을 삭제하는 데 필요합니다. |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` 로그 그룹의 보존 정책을 삭제하는 데 필요합니다. |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` 로그 그룹과 연관된 구독 필터를 삭제하는 데 필요합니다. |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` 계정과 연결된 모든 대상을 확인하는 데 필요합니다. |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` 계정과 연관된 모든 내보내기 작업을 확인하는 데 필요합니다. |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` 계정과 연관된 모든 로그 그룹을 확인하는 데 필요합니다. |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` 로그 그룹과 연관된 모든 로그 스트림을 확인하는 데 필요합니다. |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` 로그 그룹과 연관된 모든 지표를 보는 데 필요합니다. |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` CloudWatch Logs Insights에 저장된 쿼리 정의의 목록을 확인하는 데 필요합니다. |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` 예약되었거나 실행 중이거나 최근에 실행된 CloudWatch Logs Insights 쿼리 목록을 확인하는 데 필요합니다. |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` CloudWatch Logs 리소스 정책 목록을 확인하는 데 필요합니다. |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` 로그 그룹과 연관된 모든 구독 필터를 확인하는 데 필요합니다. |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` 로그 그룹 필터 패턴에 따라 로그 이벤트를 정렬하는 데 필요합니다. |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` 로그 스트림에서 로그 이벤트를 검색하는 데 필요합니다. |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` 로그 그룹의 로그 이벤트에 포함된 필드 목록을 검색하는 데 필요합니다. |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` 단일 로그 이벤트에서 세부 정보를 검색하는 데 필요합니다. |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` PutOpenTelemetryLogs API를 통해 수집된 로그 이벤트의 많은 부분을 가져오는 데 필요합니다. |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` CloudWatch Logs Insights 쿼리 결과를 검색하는 데 필요합니다. |
| ListEntitiesForLogGroup (CloudWatch 콘솔 전용 권한) | `logs:ListEntitiesForLogGroup` 로그 그룹과 연관된 엔터티를 찾는 데 필요합니다. CloudWatch 콘솔 내 관련 로그를 살펴보는 데 필요합니다. |
| ListLogGroupsForEntity (CloudWatch 콘솔 전용 권한) | `logs:ListLogGroupsForEntity` 엔터티와 연결된 로그 그룹을 찾는 데 필요합니다. CloudWatch 콘솔 내 관련 로그를 살펴보는 데 필요합니다. |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` 로그 그룹과 연결된 태그를 나열하는 데 필요합니다. |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` 계정과 연관된 모든 로그 그룹을 확인하는 데 필요합니다. |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` 대상 로그 스트림(예: Kinesis 스트림)을 생성하거나 업데이트하는 데 필요합니다. |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` 기존 로그 대상과 연관된 액세스 정책을 생성 또는 업데이트하는 데 필요합니다. |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` 로그 스트림에서 로그 이벤트 배치를 업로드하는 데 필요합니다. |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` 지표 필터를 생성 또는 업데이트하고 이를 로그 그룹과 연관시키는 데 필요합니다. |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` 파라미터가 있는 저장된 쿼리를 포함하여 CloudWatch Logs Insights에 쿼리를 저장하는 데 필요합니다. |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` CloudWatch Logs 리소스 정책을 생성하는 데 필요합니다. |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` 로그 그룹에 로그 이벤트를 유지하는 일수(보존 일수)를 설정하는 데 필요합니다. |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` 구독 필터를 생성 또는 업데이트하고 이를 로그 그룹과 연관시키는 데 필요합니다. |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` CloudWatch Logs Insights 쿼리를 시작하는 데 필요합니다. 파라미터로 저장된 쿼리를 실행하려면 도 필요합니다`logs:DescribeQueryDefinitions`. |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` 진행 중인 CloudWatch Logs Insights 쿼리를 중지하는 데 필요합니다. |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` 로그 그룹 태그를 추가하거나 업데이트하는 데 필요합니다. |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` 로그 이벤트 메시지 샘플을 기준으로 필터 패턴을 테스트하는 데 필요합니다. |
# CloudWatch Logs에 서비스 연결 역할 사용
Amazon CloudWatch Logs는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) 사용합니다. 서비스 연결 역할은 CloudWatch Logs에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 CloudWatch Logs에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 CloudWatch Logs를 더 효율적으로 설정할 수 있습니다. CloudWatch Logs에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, CloudWatch Logs만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함됩니다. 이 권한 정책은 다른 어떤 IAM 엔터티에도 연결할 수 없습니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요. **서비스 연결 역할** 열에 **예**가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
## CloudWatch Logs에 대한 서비스 연결 역할 권한
CloudWatch Logs에서는 **AWSServiceRoleForLogDelivery**인 서비스 연결 역할을 사용합니다. CloudWatch Logs는 이 서비스 연결 역할을 사용하여 Firehose에 로그를 직접 씁니다. 자세한 내용은 [AWS 서비스에서 로깅 활성화](AWS-logs-and-resource-policy.md) 단원을 참조하십시오.
**AWSServiceRoleForLogDelivery** 서비스 연결 역할은 역할을 위임하기 위해 다음 서비스를 신뢰합니다.
+ `logs.amazonaws.com`
역할 권한 정책은 CloudWatch Logs가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ 작업: `LogDeliveryEnabled` 키의 값이 `True`인 태그가 있는 모든 Firehose 스트림에서 `firehose:PutRecord` 및 `firehose:PutRecordBatch`. 이 태그는 Firehose로 로그를 전달하기 위한 구독을 생성할 때 Firehose 스트림에 자동으로 연결됩니다.
IAM 엔터티가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 이 엔터티는 사용자, 그룹 또는 역할일 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
## CloudWatch Logs에 대한 서비스 연결 역할 생성
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 로그를 AWS Management Console AWS CLI, 또는 AWS API의 Firehose 스트림으로 직접 전송하도록 설정하면 CloudWatch Logs가 서비스 연결 역할을 생성합니다.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. Firehose 스트림으로 직접 전송되도록 로그를 다시 설정하면 CloudWatch Logs는 서비스 연결 역할을 자동으로 다시 생성합니다.
## CloudWatch Logs에 대한 서비스 연결 역할 편집
CloudWatch Logs는 생성한 후 **AWSServiceRoleForLogDelivery** 또는 다른 서비스 연결 역할의 편집을 허용하지 않습니다. 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## CloudWatch Logs에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
**참고**
리소스를 삭제하려 할 때 CloudWatch Logs 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
****AWSServiceRoleForLogDelivery** 서비스 연결 역할에서 사용되는 CloudWatch Logs 리소스를 에서 제거하려면 다음을 수행합니다.**
+ Firehose 스트림으로 직접 로그 전송을 중지합니다.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면**
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 **AWSServiceRoleForLogDelivery** 서비스 연결 역할을 삭제합니다. 자세한 내용은 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.
### CloudWatch Logs 서비스 연결 역할을 지원하는 리전
CloudWatch Logs는 서비스를 사용할 수 있는 모든 AWS 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [CloudWatch Logs 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region)를 참조하세요.
# AWS 서비스 연결 역할에 대한 CloudWatch Logs 업데이트
이 AWS 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 CloudWatch Logs의 서비스 연결 역할 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 CloudWatch Logs 문서 기록 페이지에서 RSS 피드를 구독합니다.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSServiceRoleForLogDelivery 서비스 연결 역할 정책](AWS-logs-infrastructure-Firehose.md) – 기존 정책에 대한 업데이트 | CloudWatch Logs는 **AWSServiceRoleForLogDelivery** 서비스 연결 역할과 연결된 IAM 정책에서 권한을 변경했습니다. 변경 내용은 다음과 같습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 2021년 7월 15일 |
| CloudWatch Logs 변경 내용 추적 시작 | CloudWatch Logs가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 6월 10일 |