Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de politiques basées sur l'identité (IAMpolitiques) pour les journaux CloudWatch
Cette rubrique fournit des exemples de stratégies basées sur une identité dans lesquelles un administrateur de compte peut attacher des stratégies d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, groupes et rôles).
Important
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos ressources CloudWatch Logs. Pour de plus amples informations, veuillez consulter Vue d'ensemble de la gestion des autorisations d'accès à vos ressources CloudWatch Logs.
Cette rubrique aborde les points suivants :
Un exemple de stratégie d'autorisation est exposé ci-dessous :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }
Cette stratégie comporte une instruction qui accorde des autorisations pour créer des groupes et des flux de journaux, pour télécharger des événements de journaux et pour répertorier des détails sur les flux de journaux.
Le caractère générique (*) à la fin de la valeur Resource signifie que l'instruction permet l'autorisation des actions logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents et logs:DescribeLogStreams sur tout groupe de journaux. Pour limiter cette autorisation à un groupe de journaux spécifique, remplacez le caractère générique (*) dans la ressource ARN par le groupe ARN de journaux spécifique. Pour plus d'informations sur les sections d'une déclaration de IAM politique, voir la référence aux éléments IAM de politique dans le guide de IAM l'utilisateur. Pour obtenir la liste de toutes les actions de CloudWatch journalisation, consultezCloudWatch Référence des autorisations de journalisation.
Autorisations requises pour utiliser la CloudWatch console
Pour qu'un utilisateur puisse utiliser les CloudWatch journaux dans la CloudWatch console, il doit disposer d'un ensemble minimal d'autorisations lui permettant de décrire les autres AWS ressources de son AWS compte. Pour utiliser les CloudWatch journaux dans la CloudWatch console, vous devez disposer des autorisations des services suivants :
-
CloudWatch
-
CloudWatch Journaux
-
OpenSearch Service
-
IAM
-
Kinesis
-
Lambda
-
Amazon S3
Si vous créez une stratégie IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette stratégie IAM. Pour garantir que ces utilisateurs peuvent toujours utiliser la CloudWatch console, attachez également la politique CloudWatchReadOnlyAccess gérée à l'utilisateur, comme décrit dansAWS politiques gérées (prédéfinies) pour les CloudWatch journaux.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui passent des appels uniquement vers le AWS CLI ou les CloudWatch journauxAPI.
L'ensemble complet des autorisations requises pour utiliser la CloudWatch console pour un utilisateur qui n'utilise pas la console pour gérer les abonnements aux journaux est le suivant :
surveillance des nuages : GetMetricData
surveillance des nuages : ListMetrics
journaux : CancelExportTask
journaux : CreateExportTask
journaux : CreateLogGroup
journaux : CreateLogStream
journaux : DeleteLogGroup
journaux : DeleteLogStream
journaux : DeleteMetricFilter
journaux : DeleteQueryDefinition
journaux : DeleteRetentionPolicy
journaux : DeleteSubscriptionFilter
journaux : DescribeExportTasks
journaux : DescribeLogGroups
journaux : DescribeLogStreams
journaux : DescribeMetricFilters
journaux : DescribeQueryDefinitions
journaux : DescribeQueries
journaux : DescribeSubscriptionFilters
journaux : FilterLogEvents
journaux : GetLogEvents
journaux : GetLogGroupFields
journaux : GetLogRecord
journaux : GetQueryResults
journaux : PutMetricFilter
journaux : PutQueryDefinition
journaux : PutRetentionPolicy
journaux : StartQuery
journaux : StopQuery
journaux : PutSubscriptionFilter
journaux : TestMetricFilter
Pour un utilisateur qui se servira également de la console pour gérer les abonnements aux journaux, les autorisations suivantes sont requises :
Oui : DescribeElasticsearchDomain
Oui : ListDomainNames
iam : AttachRolePolicy
iam : CreateRole
iam : GetPolicy
iam : GetPolicyVersion
iam : GetRole
iam : ListAttachedRolePolicies
iam : ListRoles
kinésie : DescribeStreams
kinésie : ListStreams
lambda : AddPermission
lambda : CreateFunction
lambda : GetFunctionConfiguration
lambda : ListAliases
lambda : ListFunctions
lambda : ListVersionsByFunction
lambda : RemovePermission
s3 : ListBuckets
AWS politiques gérées (prédéfinies) pour les CloudWatch journaux
AWS répond à de nombreux cas d'utilisation courants en fournissant des IAM politiques autonomes créées et administrées par AWS. Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez la section Politiques AWS gérées dans le guide de IAM l'utilisateur.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs et aux rôles de votre compte, sont spécifiques aux CloudWatch journaux :
CloudWatchLogsFullAccess— Accorde un accès complet aux CloudWatch journaux.
CloudWatchLogsReadOnlyAccess— Accorde un accès en lecture seule aux journaux. CloudWatch
CloudWatchLogsFullAccess
La CloudWatchLogsFullAccesspolitique accorde un accès complet aux CloudWatch journaux. La politique inclut l'cloudwatch:GenerateQueryautorisation, afin que les utilisateurs dotés de cette politique puissent générer une chaîne de requête CloudWatch Logs Insights à partir d'une invite en langage naturel. Il inclut des autorisations pour Amazon OpenSearch Service et IAM pour activer l'intégration CloudWatch des journaux OpenSearch au service pour certaines fonctionnalités. Le contenu complet est le suivant :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchLogsFullAccess", "Effect": "Allow", "Action": [ "logs:*", "cloudwatch:GenerateQuery", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers", "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy", "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*" }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
CloudWatchLogsReadOnlyAccess
La CloudWatchLogsReadOnlyAccesspolitique accorde un accès en lecture seule aux journaux. CloudWatch Cela inclut l'cloudwatch:GenerateQueryautorisation, afin que les utilisateurs soumis à cette politique puissent générer une chaîne de requête CloudWatch Logs Insights à partir d'une invite en langage naturel. Le contenu est le suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Resource": "*" } ] }
CloudWatchOpenSearchDashboardsFullAccess
La CloudWatchOpenSearchDashboardsFullAccesspolitique accorde l'accès pour créer, gérer et supprimer des intégrations avec OpenSearch Service, ainsi que pour créer, supprimer et gérer des tableaux de bord de journaux vendus dans ces intégrations. Pour de plus amples informations, veuillez consulter Analyser avec Amazon OpenSearch Service.
Le contenu est le suivant :
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DeleteIntegration", "logs:PutIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery", "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
CloudWatchOpenSearchDashboardAccess
La CloudWatchOpenSearchDashboardAccesspolitique autorise l'accès aux tableaux de bord des journaux vendus créés à l'aide Amazon OpenSearch Service d'analyses. Pour de plus amples informations, veuillez consulter Analyser avec Amazon OpenSearch Service.
Important
Outre l'octroi de cette politique, pour permettre à un rôle ou à un utilisateur de consulter les tableaux de bord des journaux vendus, vous devez également les spécifier lors de la création de l'intégration avec OpenSearch Service. Pour de plus amples informations, veuillez consulter Étape 1 : Création de l'intégration avec OpenSearch Service.
Le contenu de CloudWatchOpenSearchDashboardAccessest le suivant :
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsDQSCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aws:CalledViaFirst": "logs.amazonaws.com", "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsDirectQueryStatusAccess", "Effect": "Allow", "Action": [ "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" } ] }
CloudWatchLogsCrossAccountSharingConfiguration
La CloudWatchLogsCrossAccountSharingConfigurationpolitique accorde l'accès à la création, à la gestion et à l'affichage des liens d'Observability Access Manager pour partager les ressources CloudWatch des journaux entre les comptes. Pour plus d'informations, consultez la CloudWatch section Observabilité entre comptes.
Le contenu est le suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
CloudWatch Enregistre les mises à jour des politiques AWS gérées
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour CloudWatch les journaux depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page d'historique CloudWatch des documents de journalisation.
| Modification | Description | Date |
|---|---|---|
|
CloudWatchLogsFullAccess - Mettre à jour vers une politique existante. |
CloudWatch Les journaux ont ajouté des autorisations à CloudWatchLogsFullAccess. Des autorisations pour Amazon OpenSearch Service et IAM ont été ajoutées, afin de permettre l'intégration des CloudWatch journaux au OpenSearch service pour certaines fonctionnalités. |
1er décembre 2016 |
|
CloudWatchOpenSearchDashboardsFullAccess— Nouvelle IAM politique. |
CloudWatch Logs a ajouté une nouvelle IAM politique, CloudWatchOpenSearchDashboardsFullAccess.- Cette politique autorise l'accès à la création, à la gestion et à la suppression d'intégrations avec le OpenSearch service, ainsi qu'à la création, à la gestion et à la suppression de tableaux de bord de journaux vendus dans ces intégrations. Pour de plus amples informations, veuillez consulter Analyser avec Amazon OpenSearch Service. |
1er décembre 2016 |
|
CloudWatchOpenSearchDashboardAccess— Nouvelle IAM politique. |
CloudWatch Logs a ajouté une nouvelle IAM politique, CloudWatchOpenSearchDashboardAccess.- Cette politique donne accès à l'affichage des tableaux de bord des journaux vendus alimentés par. Amazon OpenSearch Service Pour de plus amples informations, veuillez consulter Analyser avec Amazon OpenSearch Service. |
1er décembre 2016 |
|
CloudWatchLogsFullAccess - Mettre à jour vers une politique existante. |
CloudWatch Logs a ajouté une autorisation à CloudWatchLogsFullAccess. L' |
27 novembre 2023 |
|
CloudWatchLogsReadOnlyAccess - Mettre à jour vers une politique existante. |
CloudWatch a ajouté une autorisation à CloudWatchLogsReadOnlyAccess. L' |
27 novembre 2023 |
|
CloudWatchLogsReadOnlyAccess – Mise à jour d’une politique existante |
CloudWatch Les journaux ont ajouté des autorisations à CloudWatchLogsReadOnlyAccess. Les |
6 juin 2023 |
|
CloudWatchLogsCrossAccountSharingConfiguration : nouvelle politique |
CloudWatch Logs a ajouté une nouvelle politique pour vous permettre de gérer les liens d'observabilité CloudWatch entre comptes qui partagent des groupes de CloudWatch journaux Logs. Pour plus d'informations, consultez la CloudWatch section Observabilité entre comptes |
27 novembre 2022 |
|
CloudWatchLogsReadOnlyAccess – Mise à jour d’une politique existante |
CloudWatch Les journaux ont ajouté des autorisations à CloudWatchLogsReadOnlyAccess. Les |
27 novembre 2022 |
Exemples de politiques gérées par le client
Vous pouvez créer vos propres IAM politiques personnalisées pour autoriser les actions et les ressources des CloudWatch journaux. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui nécessitent ces autorisations.
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions de CloudWatch journalisation. Ces politiques fonctionnent lorsque vous utilisez les CloudWatch journaux API AWS SDKs, ou le AWS CLI.
Exemples
Exemple 1 : Autoriser l'accès complet aux CloudWatch journaux
La politique suivante permet à un utilisateur d'accéder à toutes les actions CloudWatch des journaux.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }
Exemple 2 : Autoriser l'accès en lecture seule aux journaux CloudWatch
AWS fournit une CloudWatchLogsReadOnlyAccesspolitique qui permet l'accès en lecture seule aux CloudWatch données des journaux. Cette politique inclut les autorisations suivantes.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Effect": "Allow", "Resource": "*" } ] }
Exemple 3 : Autoriser l'accès à un groupe de journaux
La stratégie suivante permet à un utilisateur de lire et d'écrire des événements de journaux dans un groupe de journaux spécifié.
Important
Le :* à la fin du nom du groupe de journaux dans la ligne Resource est obligatoire pour indiquer que la stratégie s'applique à tous les flux de journaux de ce groupe de journaux. Si vous omettez :*, la politique ne sera pas appliquée.
{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }
Utiliser le balisage et IAM les politiques pour le contrôle au niveau du groupe de journaux
Vous pouvez accorder aux utilisateurs l'accès à certains groupes de journaux tout en leur empêchant d'accéder à d'autres groupes de journaux. Pour ce faire, balisez vos groupes de journaux et utilisez les stratégies IAM qui font référence à ces balises. Pour appliquer des balises à un groupe de journaux, vous devez disposer de l'autorisation logs:TagResource ou logs:TagLogGroup. Cela s'applique à la fois si vous attribuez des balises au groupe de journaux lorsque vous le créez ou si vous les attribuez ultérieurement.
Pour plus d'informations sur le balisage des groupes de journaux, consultez Étiqueter les groupes de journaux dans Amazon CloudWatch Logs.
Lorsque vous balisez les groupes de journaux, vous pouvez ensuite accorder une stratégie IAM à un utilisateur pour autoriser l’accès uniquement aux groupes de journaux associés à une balise particulière. Par exemple, la déclaration de stratégie suivante accorde l'accès uniquement aux groupes de journaux avec la valeur de Green pour la clé de balise Team.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }
Les StopLiveTailAPIopérations StopQueryet n'interagissent pas avec les AWS ressources au sens traditionnel du terme. Elles ne renvoient aucune donnée, ne mettent aucune donnée et ne modifient aucune ressource de quelque façon que ce soit. Au lieu de cela, ils ne fonctionnent que sur une session de live tail donnée ou une requête CloudWatch Logs Insights donnée, qui ne sont pas classées dans la catégorie des ressources. Par conséquent, lorsque vous spécifiez le Resource champ dans les IAM politiques relatives à ces opérations, vous devez définir la valeur du Resource champ comme * suit.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }
Pour plus d'informations sur l'utilisation des déclarations IAM de politique, consultez la section Contrôle de l'accès à l'aide de politiques dans le guide de IAM l'utilisateur.
