Usando políticas baseadas em identidade (IAMpolíticas) para registros CloudWatch - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em identidade (IAMpolíticas) para registros CloudWatch

Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).

Importante

Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus recursos do CloudWatch Logs. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs.

Este tópico abrange o seguinte:

Veja a seguir um exemplo de política de permissões:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }

Essa política tem uma instrução que concede permissões para criar grupos e streams de log para fazer upload de eventos de log para streams de log e listar detalhes sobre streams de log.

O caractere curinga (*) no final do valor Resource significa que a instrução dá permissões para as ações logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents e logs:DescribeLogStreams em qualquer grupo de logs. Para limitar essa permissão a um grupo de registros específico, substitua o caractere curinga (*) no recurso ARN pelo grupo ARN de registros específico. Para obter mais informações sobre as seções de uma declaração IAM de política, consulte Referência IAM de elementos de política no Guia IAM do usuário. Para ver uma lista que mostra todas as ações do CloudWatch Logs, consulteCloudWatch Referência de permissões de registros.

Permissões necessárias para usar o CloudWatch console

Para que um usuário trabalhe com CloudWatch Logs no CloudWatch console, ele precisa ter um conjunto mínimo de permissões que permita ao usuário descrever outros AWS recursos em sua AWS conta. Para usar o CloudWatch Logs no CloudWatch console, você precisa ter permissões dos seguintes serviços:

  • CloudWatch

  • CloudWatch Registros

  • OpenSearch Serviço

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda possam usar o CloudWatch console, anexe também a política CloudWatchReadOnlyAccess gerenciada ao usuário, conforme descrito emAWS políticas gerenciadas (predefinidas) para registros CloudWatch .

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para os registros AWS CLI ou para os CloudWatch registrosAPI.

O conjunto completo de permissões necessárias para trabalhar com o CloudWatch console para um usuário que não está usando o console para gerenciar assinaturas de log é:

  • cloudwatch: GetMetricData

  • cloudwatch: ListMetrics

  • registros: CancelExportTask

  • registros: CreateExportTask

  • registros: CreateLogGroup

  • registros: CreateLogStream

  • registros: DeleteLogGroup

  • registros: DeleteLogStream

  • registros: DeleteMetricFilter

  • registros: DeleteQueryDefinition

  • registros: DeleteRetentionPolicy

  • registros: DeleteSubscriptionFilter

  • registros: DescribeExportTasks

  • registros: DescribeLogGroups

  • registros: DescribeLogStreams

  • registros: DescribeMetricFilters

  • registros: DescribeQueryDefinitions

  • registros: DescribeQueries

  • registros: DescribeSubscriptionFilters

  • registros: FilterLogEvents

  • registros: GetLogEvents

  • registros: GetLogGroupFields

  • registros: GetLogRecord

  • registros: GetQueryResults

  • registros: PutMetricFilter

  • registros: PutQueryDefinition

  • registros: PutRetentionPolicy

  • registros: StartQuery

  • registros: StopQuery

  • registros: PutSubscriptionFilter

  • registros: TestMetricFilter

Para um usuário que também usará o console para gerenciar assinaturas de log, as seguintes permissões também são necessárias:

  • Sim: DescribeElasticsearchDomain

  • Sim: ListDomainNames

  • objetivo: AttachRolePolicy

  • objetivo: CreateRole

  • objetivo: GetPolicy

  • objetivo: GetPolicyVersion

  • objetivo: GetRole

  • objetivo: ListAttachedRolePolicies

  • objetivo: ListRoles

  • cinesia: DescribeStreams

  • cinesia: ListStreams

  • lambda: AddPermission

  • lambda: CreateFunction

  • lambda: GetFunctionConfiguration

  • lambda: ListAliases

  • lambda: ListFunctions

  • lambda: ListVersionsByFunction

  • lambda: RemovePermission

  • s3: ListBuckets

AWS políticas gerenciadas (predefinidas) para registros CloudWatch

AWS aborda muitos casos de uso comuns fornecendo IAM políticas autônomas que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas AWS gerenciadas no Guia IAM do usuário.

As seguintes políticas AWS gerenciadas, que você pode associar aos usuários e funções na sua conta, são específicas do CloudWatch Logs:

  • CloudWatchLogsFullAccess— Concede acesso total aos CloudWatch registros.

  • CloudWatchLogsReadOnlyAccess— Concede acesso somente para CloudWatch leitura aos registros.

CloudWatchLogsFullAccess

A CloudWatchLogsFullAccesspolítica concede acesso total aos CloudWatch registros. A política inclui a cloudwatch:GenerateQuery permissão para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural. Ele inclui permissões para Amazon OpenSearch Service e para IAM habilitar a integração do CloudWatch Logs com o OpenSearch Service para alguns recursos. O conteúdo completo é o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchLogsFullAccess", "Effect": "Allow", "Action": [ "logs:*", "cloudwatch:GenerateQuery", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers", "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy", "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*" }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }

CloudWatchLogsReadOnlyAccess

A CloudWatchLogsReadOnlyAccesspolítica concede acesso somente para CloudWatch leitura aos registros. Ela inclui a cloudwatch:GenerateQuery permissão para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural. Contém o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Resource": "*" } ] }

CloudWatchOpenSearchDashboardsFullAccess

A CloudWatchOpenSearchDashboardsFullAccesspolítica concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Serviço e para criar, excluir e gerenciar painéis de registros vendidos nessas integrações. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.

Contém o seguinte:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DeleteIntegration", "logs:PutIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery", "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }

CloudWatchOpenSearchDashboardAccess

A CloudWatchOpenSearchDashboardAccesspolítica concede acesso para visualizar painéis de registros vendidos criados com Amazon OpenSearch Service análises. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.

Importante

Além de conceder essa política, para permitir que uma função ou usuário possa visualizar painéis de log vendidos, você também deve especificá-los ao criar a integração com o Serviço. OpenSearch Para obter mais informações, consulte Etapa 1: criar a integração com o OpenSearch serviço.

O conteúdo do CloudWatchOpenSearchDashboardAccessé o seguinte:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsDQSCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aws:CalledViaFirst": "logs.amazonaws.com", "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsDirectQueryStatusAccess", "Effect": "Allow", "Action": [ "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" } ] }

CloudWatchLogsCrossAccountSharingConfiguration

A CloudWatchLogsCrossAccountSharingConfigurationpolítica concede acesso para criar, gerenciar e visualizar links do Observability Access Manager para compartilhar recursos de CloudWatch registros entre contas. Para obter mais informações, consulte CloudWatch observabilidade entre contas.

Contém o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }

CloudWatch Registra atualizações em políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudWatch Logs desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico de documentos de CloudWatch registros.

Alteração Descrição Data

CloudWatchLogsFullAccess - Atualizar para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsFullAccess.

Permissões para Amazon OpenSearch Service e IAM foram adicionadas para permitir a integração do CloudWatch Logs com o OpenSearch Serviço para alguns recursos.

1.º de dezembro de 2024

CloudWatchOpenSearchDashboardsFullAccess— Nova IAM política.

CloudWatch A Logs adicionou uma nova IAM política, CloudWatchOpenSearchDashboardsFullAccess.- Essa política concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Serviço e para criar, gerenciar e excluir painéis de registros vendidos nessas integrações. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.

1.º de dezembro de 2024

CloudWatchOpenSearchDashboardAccess— Nova IAM política.

CloudWatch A Logs adicionou uma nova IAM política, CloudWatchOpenSearchDashboardAccess.- Essa política concede acesso à visualização de painéis de registros vendidos fornecidos por. Amazon OpenSearch Service Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.

1.º de dezembro de 2024

CloudWatchLogsFullAccess: atualizar para uma política existente.

CloudWatch Os registros adicionaram uma permissão ao CloudWatchLogsFullAccess.

A cloudwatch:GenerateQuery permissão foi adicionada para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural.

27 de novembro de 2023

CloudWatchLogsReadOnlyAccess: atualizar para uma política existente.

CloudWatch adicionou uma permissão para CloudWatchLogsReadOnlyAccess.

A cloudwatch:GenerateQuery permissão foi adicionada para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural.

27 de novembro de 2023

CloudWatchLogsReadOnlyAccess: atualizar para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess.

As logs:StopLiveTail permissões logs:StartLiveTail e foram adicionadas para que os usuários com essa política possam usar o console para iniciar e interromper CloudWatch as sessões live tail do Logs. Para obter mais informações, consulte Usar o Live Tail para visualizar registros quase em tempo real.

6 de junho de 2023

CloudWatchLogsCrossAccountSharingConfiguration – Nova política

CloudWatch O Logs adicionou uma nova política para permitir que você gerencie links de observabilidade CloudWatch entre contas que compartilham grupos de CloudWatch registros do Logs.

Para obter mais informações, consulte CloudWatch observabilidade entre contas

27 de novembro de 2022

CloudWatchLogsReadOnlyAccess: atualizar para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess.

As oam:ListAttachedLinks permissões oam:ListSinks e foram adicionadas para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na CloudWatch observabilidade entre contas.

27 de novembro de 2022

Exemplos de política gerenciada pelo cliente

Você pode criar suas próprias IAM políticas personalizadas para permitir permissões para ações e recursos do CloudWatch Logs. Você pode anexar essas políticas personalizadas a usuários ou grupos do que exijam essas permissões.

Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do CloudWatch Logs. Essas políticas funcionam quando você está usando API os CloudWatch AWS SDKs Logs ou AWS CLI o.

Exemplo 1: Permitir acesso total aos CloudWatch registros

A política a seguir permite que um usuário acesse todas as ações do CloudWatch Logs.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }

Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch

AWS fornece uma CloudWatchLogsReadOnlyAccesspolítica que permite acesso somente para leitura aos dados do CloudWatch Logs. Esta política inclui as seguintes permissões.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Effect": "Allow", "Resource": "*" } ] }

Exemplo 3: Permitir acesso a um grupo de logs

A política a seguir permite que um usuário leia e grave eventos de log em um grupo de logs especificado.

Importante

O :* no final do nome do grupo de logs na linha de Resource é necessário para indicar que a política se aplica a todos os fluxos de logs nesse grupo de logs. Se você omitir o :*, a política não será aplicada.

{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }

Use marcações e IAM políticas para controle no nível do grupo de registros

Você pode conceder aos usuários acesso a determinados grupos de logs enquanto os impede de acessar outros grupos de logs. Para fazer isso, marque seus grupos de logs e use políticas do IAM que fazem referência a essas tags. Para aplicar tags a um grupo de logs, você precisa ter a permissão logs:TagResource ou logs:TagLogGroup. Isso se aplica se você estiver atribuindo tags ao grupo de logs ao criá-lo. ou atribuí-los mais tarde.

Para obter mais informações sobre como marcar grupos de logs, consulte Marque grupos de registros no Amazon CloudWatch Logs.

Quando você marca grupos de logs, você pode conceder uma política do IAM a um usuário para permitir o acesso a apenas os grupos de logs com determinada tag. Por exemplo, a instrução de política a seguir concede acesso a apenas grupos de logs com o valor Green para a chave de tag Team.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }

As StopLiveTailAPIoperações StopQuerye não interagem com AWS os recursos no sentido tradicional. Elas não retornam dados, não colocam dados nem modificam recursos. Em vez disso, eles operam somente em uma determinada sessão final ao vivo ou em uma determinada consulta do CloudWatch Logs Insights, que não são categorizadas como recursos. Como resultado, ao especificar o Resource campo nas IAM políticas para essas operações, você deve definir o valor do Resource campo como*, como no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }

Para obter mais informações sobre o uso IAM de declarações de política, consulte Controlando o acesso usando políticas no Guia IAM do usuário.