El inicio de sesión de AWS Lambda en CloudWatch puede convertirse en un gran costo oculto si tiene muchos de ellos, porque no hay forma de decirle a AWS que deje de iniciar sesión en la plataforma CloudWatch. La única forma que he encontrado de hacer eso es administrar una política de IAM personalizada (asociada con cada lambda) y denegar explícitamente el acceso aregistros: ... comportamiento:

{
        "Sid": "DisableAllLogs",
        "Resource": "*",
        "Action": [
            "logs:CreateLogGroup",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
        ],
        "Effect": "Deny"
}

Ahora estoy tratando de ajustar la política para permitir que solo registre algo de lambda. Para hacer eso estoy usando elCondición parámetros de la política:

{
        "Sid": "EnableLogsForWantedLambdaTriggers",
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:lambda:REGION:ACCOUNT-ID:function:FUNCTION-NAME"
            }
        },
        "Action": [
            "logs:CreateLogGroup",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
        ],
        "Effect": "Allow"
}

pero de esta manera no se envía ningún registro a CloudWatch. Creo que la fuente ARN está equivocada, pero no puedo encontrar la correcta.

¿Alguna pista?