Comment puis-je restreindre l'accès à CloudWatch Logs pour un utilisateur ou un service AWS spécifique ?

Lecture de 2 minute(s)
0

Je souhaite restreindre l'accès à Amazon CloudWatch Logs à un utilisateur ou à un service AWS spécifique.

Brève description

Pour restreindre l'accès à vos groupes de journaux, utilisez les stratégies AWS Identity and Access Management (IAM) basées sur l'identité pour les utilisateurs et les rôles liés à un service pour les services AWS.

Résolution

Restreindre l'accès à CloudWatch Logs pour un utilisateur spécifique

Utilisez la stratégie IAM suivante pour accorder l'accès à l'action DescribeLogGroups qui fournit les autorisations minimales nécessaires pour répertorier les groupes de journaux spécifiés.

Exemple de stratégie IAM :

Remarque : Remplacez example-region par votre région AWS et example-log-group par le nom de votre groupe de journaux.

{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [

                  “logs:Describe*”,
                 "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:example-region:123456789012:log-group:example-log-group:*"
      }
   ]
}

Restreindre l'accès à CloudWatch Logs pour un service AWS

Pour les services AWS qui interagissent avec CloudWatch Logs, utilisez des rôles liés à un service. Les rôles liés à un service sont automatiquement générés lorsque vous configurez un service avec CloudWatch Logs et incluent toutes les autorisations nécessaires.

Remarque : Pour configurer les autorisations IAM, utilisez la console de gestion AWS. Pour gérer les stratégies basées sur les ressources de CloudWatch Logs, utilisez des appels d'API.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 7 mois