Je souhaite restreindre l'accès à Amazon CloudWatch Logs à un utilisateur ou à un service AWS spécifique.
Brève description
Pour restreindre l'accès à vos groupes de journaux, utilisez les stratégies AWS Identity and Access Management (IAM) basées sur l'identité pour les utilisateurs et les rôles liés à un service pour les services AWS.
Résolution
Restreindre l'accès à CloudWatch Logs pour un utilisateur spécifique
Utilisez la stratégie IAM suivante pour accorder l'accès à l'action DescribeLogGroups qui fournit les autorisations minimales nécessaires pour répertorier les groupes de journaux spécifiés.
Exemple de stratégie IAM :
Remarque : Remplacez example-region par votre région AWS et example-log-group par le nom de votre groupe de journaux.
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
“logs:Describe*”,
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:example-region:123456789012:log-group:example-log-group:*"
}
]
}
Restreindre l'accès à CloudWatch Logs pour un service AWS
Pour les services AWS qui interagissent avec CloudWatch Logs, utilisez des rôles liés à un service. Les rôles liés à un service sont automatiquement générés lorsque vous configurez un service avec CloudWatch Logs et incluent toutes les autorisations nécessaires.
Remarque : Pour configurer les autorisations IAM, utilisez la console de gestion AWS. Pour gérer les stratégies basées sur les ressources de CloudWatch Logs, utilisez des appels d'API.