データ保護ポリシーの作成または操作に必要な IAM 権限 - Amazon CloudWatch ログ
アカウントレベルのデータ保護ポリシーに必要なアクセス権限1 つのロググループのデータ保護ポリシーに必要なアクセス権限データ保護ポリシーのサンプル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データ保護ポリシーの作成または操作に必要な IAM 権限

ロググループのデータ保護ポリシーにアクセスできるようにするには、次の表で表示されている特定のアクセス権限を持っている必要があります。アクセス権限は、アカウント全体のデータ保護ポリシーと、単一のロググループに適用されるデータ保護ポリシーとで異なります。

アカウントレベルのデータ保護ポリシーに必要なアクセス権限

注記

Lambda 関数内でこれらの操作のいずれかを実行する場合、Lambda 実行ロールとアクセス許可の境界には次の権限も含める必要があります。

操作 IAM 権限が必要です リソース

監査先を指定しないデータ保護ポリシーを作成する

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

監査先として CloudWatch Logs を使用してデータ保護ポリシーを作成する

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

logs:PutResourcePolicy

*

logs:DescribeResourcePolicies

*

logs:DescribeLogGroups

*

監査先として Firehose を使用してデータ保護ポリシーを作成する

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

firehose:TagDeliveryStream

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

監査先として Amazon S3 を使用してデータ保護ポリシーを作成する

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

s3:GetBucketPolicy

arn:aws:s3:::YOUR_BUCKET

s3:PutBucketPolicy

arn:aws:s3:::YOUR_BUCKET

指定したロググループのマスクされたログイベントのマスクを外す

logs:Unmask

arn:aws:logs:::log-group:*

既存のデータ保護ポリシーを表示する

logs:GetDataProtectionPolicy

*

データ保護ポリシーを削除する

logs:DeleteAccountPolicy

*

logs:DeleteDataProtectionPolicy

*

いずれかのデータ保護監査ログがすでに宛先に送信されている場合、同じ宛先にログを送信する他のポリシーに必要なのは logs:PutDataProtectionPolicy および logs:CreateLogDelivery 権限のみです。

1 つのロググループのデータ保護ポリシーに必要なアクセス権限

注記

Lambda 関数内でこれらの操作のいずれかを実行する場合、Lambda 実行ロールとアクセス許可の境界には次の権限も含める必要があります。

操作 IAM 権限が必要です リソース

監査先を指定しないデータ保護ポリシーを作成する

logs:PutDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

監査先として CloudWatch Logs を使用してデータ保護ポリシーを作成する

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

logs:PutResourcePolicy

logs:DescribeResourcePolicies

logs:DescribeLogGroups

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

*

*

*

監査先として Firehose を使用してデータ保護ポリシーを作成する

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

firehose:TagDeliveryStream

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

監査先として Amazon S3 を使用してデータ保護ポリシーを作成する

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

s3:GetBucketPolicy

s3:PutBucketPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:s3:::YOUR_BUCKET

arn:aws:s3:::YOUR_BUCKET

マスクされたログイベントをマスク解除する

logs:Unmask

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

既存のデータ保護ポリシーを表示する

logs:GetDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

データ保護ポリシーを削除する

logs:DeleteDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

いずれかのデータ保護監査ログがすでに宛先に送信されている場合、同じ宛先にログを送信する他のポリシーに必要なのは logs:PutDataProtectionPolicy および logs:CreateLogDelivery 権限のみです。

データ保護ポリシーのサンプル

次のサンプルポリシーにより、3 種類の監査先すべてに監査結果を送信できるデータ保護ポリシーを、ユーザーが作成、表示、削除できます。ユーザーはマスクされていないデータを確認することはできません。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "YOUR_SID_1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "YOUR_SID_2",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM",
                "arn:aws:s3:::YOUR_BUCKET",
                "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*"
            ]
        }
    ]
}