Регистрация в AWS Lambda в CloudWatch может стать огромной скрытой стоимостью, если у вас их много, потому что нет способа сказать AWS прекратить регистрацию на платформе CloudWatch. Единственный способ сделать это - управлять собственной политикой IAM (связанной с каждой лямбдой) и явно запрещать доступ кжурналы: ... действия:

{
        "Sid": "DisableAllLogs",
        "Resource": "*",
        "Action": [
            "logs:CreateLogGroup",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
        ],
        "Effect": "Deny"
}

Теперь я пытаюсь точно настроить политику, чтобы позволить только некоторой лямбде войти. Для этого я используюСостояние Параметры полиса:

{
        "Sid": "EnableLogsForWantedLambdaTriggers",
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:lambda:REGION:ACCOUNT-ID:function:FUNCTION-NAME"
            }
        },
        "Action": [
            "logs:CreateLogGroup",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
        ],
        "Effect": "Allow"
}

но при этом никакой журнал не отправляется в CloudWatch. Я думаю, что источник ARN не так, но я не могу найти правильный.

Есть какие-нибудь подсказки?