AWSマネジメントコンソールで、[エンドポイント] から CloudWatch Logs のエンドポイント（com.amazonaws.ap-northeast-1.logs）を選択して、[ポリシー]タブを選択、[ポリシーの編集]をクリックして保存する。以下は特定のロググループのみに制限する VPC Endpoint Policy の例。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "arn:aws:logs:ap-northeast-1:123456789012:log-group:/aws-glue/crawlers:*",
            "Principal": "*"
        }
    ]
}

※"123456789012" は AWS アカウントID