@shinyaz

AWS Security Agent のサービスロールに CloudWatch Logs 権限が必須(ドキュメント未記載)

約1分
#aws#security-agent#iam

Security Agent のペネトレーションテストを start-pentest-job で実行したところ、PREFLIGHT ステップで即座に FAILED になった。batch-get-pentest-jobs でエラーを確認すると:

Output
{
  "code": "CLIENT_ERROR",
  "message": "Log group creation failed: An error occurred (AccessDeniedException) when calling the CreateLogGroup operation: User: arn:aws:sts::123456789012:assumed-role/SecurityAgentPentestRole/securityagent is not authorized to perform: logs:CreateLogGroup on resource: arn:aws:logs:ap-northeast-1:123456789012:log-group:/aws/securityagent/... because no identity-based policy allows the logs:CreateLogGroup action"
}

サービスロールに CloudWatch Logs の権限が必要だった。公式ドキュメントにはこの要件の記載がない(2026年4月時点)。

Terminal
aws iam put-role-policy \
  --role-name SecurityAgentPentestRole \
  --policy-name SecurityAgentLogsAccess \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [{
      "Effect": "Allow",
      "Action": ["logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents"],
      "Resource": "arn:aws:logs:ap-northeast-1:123456789012:log-group:/aws/securityagent/*"
    }]
  }'

権限追加後に再実行したら PREFLIGHT を正常に通過した。VPC アクセス用ポリシー(ENI 作成)は意識しやすいが、ログ権限は忘れがちだ。

共有する

田原 慎也

田原 慎也

ソリューションアーキテクト @ AWS

AWS ソリューションアーキテクトとして金融業界のお客様を中心に技術支援をしており、クラウドアーキテクチャや AI/ML に関する学びをこのサイトで発信しています。このサイトの内容は個人の見解であり、所属企業の公式な意見や見解を代表するものではありません。

もっと見る