Сначала я пробовал использовать все политики json из приведенной ниже ссылки. https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html#customer -managed-policies-cwl
И я, наконец, получил решение предоставления доступа «список, чтение, запись» к одной определенной c группе журналов для пользователя IAM с помощью ниже JSON политики. Но он также может видеть список других групп журналов. В соответствии с приведенной ниже политикой JSON я тоже устал ограничивать ресурс для листинга. Это не сработало.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:GetLogRecord",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"logs:Describe*",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:XXXXXXXXXXXX:log-group:/aws/lambda/XXXX:log-stream:*"
}
]
}
Но потом я нашел решение с помощью тегов и попытался пометить группу журналов и пользователя тем же тегом и попытался применить политику JSON. Это тоже не сработало.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"logs:ResourceTag/Team": "Green"
}
}
}
]
}
Пожалуйста, может кто-нибудь любезно предложить способ, в котором я мог бы предоставить доступ одному определенному c пользователю IAM только для одной группы: список и чтение или список, чтение и запись. Но этот пользователь не должен видеть другие группы журналов.