O registro do AWS Lambda no CloudWatch pode se tornar um enorme custo oculto, se você tiver muitos deles, porque não há como dizer à AWS para interromper o registro na plataforma CloudWatch. A única maneira de descobrir isso é gerenciar uma política IAM personalizada (associada a cada lambda) e negar explicitamente o acesso aologs: ... ações:

{
        "Sid": "DisableAllLogs",
        "Resource": "*",
        "Action": [
            "logs:CreateLogGroup",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
        ],
        "Effect": "Deny"
}

Agora estou tentando detalhar a política para permitir que apenas alguns lambda registrem. Para fazer isso, estou usando oCondição parâmetros da política:

{
        "Sid": "EnableLogsForWantedLambdaTriggers",
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:lambda:REGION:ACCOUNT-ID:function:FUNCTION-NAME"
            }
        },
        "Action": [
            "logs:CreateLogGroup",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
        ],
        "Effect": "Allow"
}

mas dessa forma, nenhum log é enviado ao CloudWatch. Eu acho que a fonte ARN está errada, mas não consigo descobrir a correta.

Alguma pista?