Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de políticas basadas en la identidad (IAMpolíticas) para los registros CloudWatch
Este tema contiene ejemplos de políticas basadas en identidad, donde los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, a usuarios, grupos y roles).
importante
Le recomendamos que consulte primero los temas introductorios en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de CloudWatch Logs. Para obtener más información, consulte Descripción general de la administración de los permisos de acceso a los recursos CloudWatch de Logs.
Este tema cubre lo siguiente:
A continuación se muestra un ejemplo de una política de permisos:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }
Esta política tiene una declaración que concede permisos para crear grupos de registro y flujos de registro para cargar eventos de registro a flujos de registro y para mostrar un listado de detalles acerca de los flujos de registro.
El carácter comodín (*) que aparece al final del valor Resource significa que la declaración concede permiso para las acciones logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents y logs:DescribeLogStreams en cualquier grupo de registro. Para limitar este permiso a un grupo de registros específico, sustituya el carácter comodín (*) del recurso ARN por el grupo ARN de registros específico. Para obtener más información sobre las secciones de una declaración de IAM política, consulte la Referencia sobre los elementos IAM de política en la Guía IAM del usuario. Para obtener una lista que muestre todas las acciones de CloudWatch los registros, consulteCloudWatch Registra la referencia de permisos.
Permisos necesarios para usar la CloudWatch consola
Para que un usuario pueda trabajar con los CloudWatch registros de la CloudWatch consola, debe tener un conjunto mínimo de permisos que le permita describir otros AWS recursos de su AWS cuenta. Para usar CloudWatch los registros en la CloudWatch consola, debe tener permisos de los siguientes servicios:
-
CloudWatch
-
CloudWatch Registros
-
OpenSearch Servicio
-
IAM
-
Kinesis
-
Lambda
-
Amazon S3
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para garantizar que esos usuarios puedan seguir utilizando la CloudWatch consola, adjunte también la política CloudWatchReadOnlyAccess administrada al usuario, tal y como se describe enAWS políticas gestionadas (predefinidas) para CloudWatch los registros.
No es necesario conceder permisos mínimos de consola a los usuarios que solo realicen llamadas a los registros AWS CLI o a los CloudWatch registrosAPI.
El conjunto completo de permisos necesarios para que un usuario que no utilice la CloudWatch consola para gestionar las suscripciones de registros funcione con la consola es el siguiente:
Cloudwatch: GetMetricData
vigilancia en la nube: ListMetrics
registros: CancelExportTask
registros: CreateExportTask
registros: CreateLogGroup
registros: CreateLogStream
registros: DeleteLogGroup
registros: DeleteLogStream
registros: DeleteMetricFilter
registros: DeleteQueryDefinition
registros: DeleteRetentionPolicy
registros: DeleteSubscriptionFilter
registros: DescribeExportTasks
registros: DescribeLogGroups
registros: DescribeLogStreams
registros: DescribeMetricFilters
registros: DescribeQueryDefinitions
registros: DescribeQueries
registros: DescribeSubscriptionFilters
registros: FilterLogEvents
registros: GetLogEvents
registros: GetLogGroupFields
registros: GetLogRecord
registros: GetQueryResults
registros: PutMetricFilter
registros: PutQueryDefinition
registros: PutRetentionPolicy
registros: StartQuery
registros: StopQuery
registros: PutSubscriptionFilter
registros: TestMetricFilter
Para un usuario que también utilice la consola para administrar las suscripciones de registro, los siguientes permisos son igualmente necesarios:
Sí: DescribeElasticsearchDomain
Sí: ListDomainNames
objetivo: AttachRolePolicy
objetivo: CreateRole
objetivo: GetPolicy
objetivo: GetPolicyVersion
objetivo: GetRole
objetivo: ListAttachedRolePolicies
objetivo: ListRoles
cinesia: DescribeStreams
cinesia: ListStreams
lambda: AddPermission
lambda: CreateFunction
lambda: GetFunctionConfiguration
lambda: ListAliases
lambda: ListFunctions
lambda: ListVersionsByFunction
lambda: RemovePermission
s3: ListBuckets
AWS políticas gestionadas (predefinidas) para CloudWatch los registros
AWS aborda muchos casos de uso comunes al proporcionar IAM políticas independientes que son creadas y administradas por. AWS Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para obtener más información, consulte Políticas AWS administradas en la Guía del IAM usuario.
Las siguientes políticas AWS administradas, que puede adjuntar a los usuarios y roles de su cuenta, son específicas de los CloudWatch registros:
CloudWatchLogsFullAccess— Otorga acceso completo a CloudWatch los registros.
CloudWatchLogsReadOnlyAccess— Otorga acceso de solo lectura a los CloudWatch registros.
CloudWatchLogsFullAccess
La CloudWatchLogsFullAccesspolítica otorga acceso total a CloudWatch los registros. La política incluye el cloudwatch:GenerateQuery permiso, de modo que los usuarios con esta política puedan generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural. Incluye permisos IAM para habilitar Amazon OpenSearch Service la integración de CloudWatch Logs con el OpenSearch Servicio para algunas funciones. El contenido completo es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchLogsFullAccess", "Effect": "Allow", "Action": [ "logs:*", "cloudwatch:GenerateQuery", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers", "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy", "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*" }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
CloudWatchLogsReadOnlyAccess
La CloudWatchLogsReadOnlyAccesspolítica concede acceso de solo lectura a los CloudWatch registros. Incluye el cloudwatch:GenerateQuery permiso para que los usuarios con esta política puedan generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural. El contenido es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Resource": "*" } ] }
CloudWatchOpenSearchDashboardsFullAccess
La CloudWatchOpenSearchDashboardsFullAccesspolítica otorga acceso para crear, administrar y eliminar integraciones con el OpenSearch Servicio, y para crear paneles de control de registros vendidos en esas integraciones. Para obtener más información, consulte Analice con Amazon OpenSearch Service.
El contenido es el siguiente:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DeleteIntegration", "logs:PutIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery", "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
CloudWatchOpenSearchDashboardAccess
La CloudWatchOpenSearchDashboardAccesspolítica otorga acceso para ver los paneles de control de registros vendidos que se crean con análisis. Amazon OpenSearch Service Para obtener más información, consulte Analice con Amazon OpenSearch Service.
importante
Además de conceder esta política, para permitir que un rol o un usuario puedan ver los paneles de registros vendidos, también debe especificarlos al crear la integración con el Servicio. OpenSearch Para obtener más información, consulte Paso 1: Crear la integración con Service OpenSearch .
El contenido de es el CloudWatchOpenSearchDashboardAccesssiguiente:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsDQSCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aws:CalledViaFirst": "logs.amazonaws.com", "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsDirectQueryStatusAccess", "Effect": "Allow", "Action": [ "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" } ] }
CloudWatchLogsCrossAccountSharingConfiguration
La CloudWatchLogsCrossAccountSharingConfigurationpolítica otorga acceso para crear, administrar y ver los enlaces de Observability Access Manager para compartir los recursos de CloudWatch Logs entre cuentas. Para obtener más información, consulta la observabilidad CloudWatch entre cuentas.
El contenido es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
CloudWatch Registra las actualizaciones de las políticas gestionadas AWS
Consulta los detalles sobre las actualizaciones de las políticas AWS administradas para CloudWatch los registros desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial de documentos de CloudWatch registro.
| Cambio | Descripción | Fecha |
|---|---|---|
|
CloudWatchLogsFullAccess: actualización de una política existente. |
CloudWatch Los registros agregaron permisos a CloudWatchLogsFullAccess. Se agregaron permisos para algunas funciones Amazon OpenSearch Service y IAM se agregaron para permitir la integración de CloudWatch Logs con el OpenSearch Servicio. |
1 de diciembre de 2024 |
|
CloudWatchOpenSearchDashboardsFullAccess— Nueva IAM política. |
CloudWatch Logs agregó una nueva IAM política, CloudWatchOpenSearchDashboardsFullAccess.- Esta política otorga acceso para crear, administrar y eliminar integraciones con el OpenSearch Servicio, y para crear, administrar y eliminar paneles de registros vendidos en esas integraciones. Para obtener más información, consulte Analice con Amazon OpenSearch Service. |
1 de diciembre de 2024 |
|
CloudWatchOpenSearchDashboardAccess— Nueva política. IAM |
CloudWatch Los registros agregaron una nueva IAM política, CloudWatchOpenSearchDashboardAccess.- Esta política otorga acceso para ver los paneles de control de Vended Logs con la tecnología de. Amazon OpenSearch Service Para obtener más información, consulte Analice con Amazon OpenSearch Service. |
1 de diciembre de 2024 |
|
CloudWatchLogsFullAccess: actualización de una política existente. |
CloudWatch Los registros agregaron un permiso a. CloudWatchLogsFullAccess Se agregó el |
27 de noviembre de 2023 |
|
CloudWatchLogsReadOnlyAccess: actualización de una política existente. |
CloudWatch agregó un permiso para CloudWatchLogsReadOnlyAccess. Se agregó el |
27 de noviembre de 2023 |
|
CloudWatchLogsReadOnlyAccess: actualización de una política actual |
CloudWatch Los registros agregaron permisos a CloudWatchLogsReadOnlyAccess. Los |
6 de junio de 2023 |
|
CloudWatchLogsCrossAccountSharingConfiguration: política nueva |
CloudWatch Logs agregó una nueva política que te permite administrar los enlaces de observabilidad CloudWatch entre cuentas que comparten grupos de CloudWatch registros de Logs. Para obtener más información, consulta CloudWatch la observabilidad multicuenta |
27 de noviembre de 2022 |
|
CloudWatchLogsReadOnlyAccess: actualización de una política actual |
CloudWatch Registra los permisos añadidos a. CloudWatchLogsReadOnlyAccess Los |
27 de noviembre de 2022 |
Ejemplos de políticas administradas por el cliente
Puede crear sus propias IAM políticas personalizadas para permitir permisos para las acciones y los recursos de CloudWatch Logs. Puede asociar estas políticas personalizadas a los usuarios o grupos de que requieran esos permisos.
En esta sección, encontrarás ejemplos de políticas de usuario que conceden permisos para diversas acciones de CloudWatch Logs. Estas políticas funcionan cuando se utilizan los CloudWatch registros API o el AWS CLI. AWS SDKs
Ejemplos
Ejemplo 1: Permitir el acceso total a CloudWatch los registros
La siguiente política permite a un usuario acceder a todas las acciones de los CloudWatch registros.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }
Ejemplo 2: Permitir el acceso de solo lectura a los registros CloudWatch
AWS proporciona una CloudWatchLogsReadOnlyAccesspolítica que permite el acceso de solo lectura a los datos de los registros. CloudWatch Esta política incluye los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Effect": "Allow", "Resource": "*" } ] }
Ejemplo 3: permitir el acceso a un grupo de registro
La siguiente política permite a un usuario leer y escribir eventos de registro en un grupo de registro especificado.
importante
El :* al final del nombre del grupo de registro en la línea Resource es necesario para indicar que la política aplica a todos los flujos de registro de este grupo de registro. Si omite :*, no se aplicará la política.
{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }
Utilice el etiquetado y IAM las políticas para el control a nivel de grupo de registros
Puede conceder a los usuarios acceso a determinados grupos de registro al mismo tiempo que les impide tener acceso a otros grupos de registro. Para hacerlo, debe etiquetar los grupos de registros y utilizar políticas de IAM que hagan referencia a esas etiquetas. Para aplicar etiquetas a un grupo de registro, debe tener el permiso logs:TagResource o logs:TagLogGroup. Esto se aplica si asigna etiquetas al grupo de registro cuando lo crea o si las asigna más adelante.
Para obtener más información sobre el etiquetado de grupos de registro, consulte Etiquetar grupos de registros en Amazon CloudWatch Logs.
Al etiquetar grupos de registros, puede conceder una política de IAM a un usuario para permitirle el acceso únicamente a los grupos de registros con una etiqueta determinada. Por ejemplo, la siguiente instrucción de política concede acceso únicamente a los grupos de registro que tienen el valor Team para la clave de etiqueta Green.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }
Las StopLiveTailAPIoperaciones StopQueryy no interactúan con AWS los recursos en el sentido tradicional. No devuelven ningún dato, no colocan ningún dato ni tampoco modifican ningún recurso de ninguna manera. En cambio, solo funcionan en una sesión de seguimiento en vivo determinada o en una consulta de CloudWatch Logs Insights determinada, que no se clasifican como recursos. Por lo tanto, al especificar el Resource campo en IAM las políticas para estas operaciones, debe establecer el valor del Resource campo como*, por ejemplo, en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }
Para obtener más información sobre el uso IAM de las declaraciones de política, consulte Control del acceso mediante políticas en la Guía del IAM usuario.
