특정 사용자 또는 AWS 서비스의 CloudWatch Logs에 대한 액세스를 제한하려면 어떻게 해야 합니까?

간략한 설명

로그 그룹에 대한 액세스를 제한하려면 사용자의 경우 자격 증명 기반 AWS Identity and Access Management(IAM) 정책을 사용하고 AWS 서비스의 경우 서비스 연결 역할을 사용하십시오.

해결 방법

IAM 정책을 적용하여 필요한 최소 권한 부여

다음 IAM 정책은 사용자가 로그 이벤트를 나열, 설명, 조회 및 쿼리할 수 있는 특정 로그 그룹에 대한 세부 액세스 권한을 제공합니다.

다음 IAM 정책을 사용하여 사용자에게 필요한 최소 권한을 부여합니다.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "logs:Describe*",
            "logs:Get*",
            "logs:List*",
            "logs:StartQuery",
            "logs:StopQuery",
            "logs:TestMetricFilter",
            "logs:FilterLogEvents",
            "logs:StartLiveTail",
            "logs:StopLiveTail",
            "cloudwatch:GenerateQuery"
         ],
         "Effect": "Allow",
         "Resource": "arn:aws:logs:example-region:123456789012:log-group:example-log-group:*"
      },
      {
         "Effect": "Allow",
         "Action": "logs:DescribeLogGroups",
         "Resource": "*"
      }
   ]
}

참고: example-region을 AWS 리전으로 바꾸고, example-log-group을 로그 그룹 이름으로 바꾸십시오.

AWS 서비스에 대한 CloudWatch Logs 액세스 구성

AWS 서비스에 CloudWatch Logs와 상호 작용하는 데 필요한 권한을 부여하려면 서비스 연결 역할을 사용하십시오. 서비스 연결 역할은 CloudWatch Logs로 서비스를 설정할 때 자동으로 생성되며 필요한 권한을 포함합니다.

참고: IAM 권한을 구성하려면 AWS Management Console을 사용하십시오. CloudWatch Logs 리소스 기반 정책을 관리하려면 API 직접 호출을 사용하십시오.