Como faço para restringir o acesso ao CloudWatch Logs para um usuário ou serviço da AWS específico?

Breve descrição

Para restringir o acesso aos seus grupos de log, use políticas do AWS Identity and Access Management (AWS IAM) baseadas em identidade para usuários e perfis vinculados a serviços para os serviços da AWS.

Resolução

Aplique a política do IAM para conceder as permissões mínimas necessárias

A política do IAM a seguir fornece permissões de acesso detalhadas para um grupo de logs específico que permite aos usuários listar, descrever, visualizar e consultar eventos de log.

Use a seguinte política do IAM para conceder as permissões mínimas necessárias aos usuários:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "logs:Describe*",
            "logs:Get*",
            "logs:List*",
            "logs:StartQuery",
            "logs:StopQuery",
            "logs:TestMetricFilter",
            "logs:FilterLogEvents",
            "logs:StartLiveTail",
            "logs:StopLiveTail",
            "cloudwatch:GenerateQuery"
         ],
         "Effect": "Allow",
         "Resource": "arn:aws:logs:example-region:123456789012:log-group:example-log-group:*"
      },
      {
         "Effect": "Allow",
         "Action": "logs:DescribeLogGroups",
         "Resource": "*"
      }
   ]
}

Observação: substitua example-region pela sua região da AWS e example-log-group pelo nome do seu grupo de logs.

Configure o acesso ao CloudWatch Logs para serviços da AWS

Para conceder aos serviços da AWS as permissões necessárias para interagir com o CloudWatch Logs, use perfis vinculados a serviços. Os perfis vinculados a serviços são gerados automaticamente quando você configura um serviço com o CloudWatch Logs e incluem as permissões necessárias.

Observação: para configurar as permissões do IAM, use o Console de Gerenciamento da AWS. Para gerenciar políticas baseadas em recursos do CloudWatch Logs, use chamadas de API.