Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

• Usuários e grupos em AWS IAM Identity Center:

  Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário doAWS IAM Identity Center .

• Usuários gerenciados no IAM com provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.

• Usuários do IAM:

  • Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.

  • (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

CloudWatch Registra recursos e operações

Em CloudWatch Logs, os recursos principais são grupos de registros, fluxos de registros e destinos. CloudWatch O Logs não oferece suporte a sub-recursos (outros recursos para uso com o recurso primário).

Esses recursos e sub-recursos têm Nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.

Tipo de recurso	Formato ARN
Grupo de logs	Ambos os itens a seguir são usados. O segundo, com o * no final, é o que é retornado pelo comando describe-log-groups CLI e pela DescribeLogGroupsAPI. arn:aws:logs:region:account-id:log-group:log_group_name arn:aws:logs:region:account-id:log-group:log_group_name:*
Stream de log	arn:aws:logs: region: account-id: log-group: log_group_name:log-stream: log-stream-name
Destino	arn:aws:logs:region:account-id:destination:destination_name

Para obter mais informações sobre ARNs, consulte ARNs no Manual do usuário do IAM. Para obter informações sobre ARNs de CloudWatch registros, consulte Amazon Resource Names (ARNs) em. Referência geral da Amazon Web Services Para ver um exemplo de uma política que abrange CloudWatch registros, consulteUsando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch .

CloudWatch O Logs fornece um conjunto de operações para trabalhar com os recursos do CloudWatch Logs. Para ver uma lista das operações disponíveis, consulte CloudWatch Referência de permissões de registros.

Entendendo a propriedade de recursos

A AWS conta é proprietária dos recursos criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é a AWS conta da entidade principal (ou seja, a conta raiz, um usuário ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:

• Se você usar as credenciais da conta raiz da sua AWS conta para criar um grupo de registros, sua AWS conta é a proprietária do recurso CloudWatch Registros.

• Se você criar um usuário em sua AWS conta e conceder permissões para criar recursos de CloudWatch registros a esse usuário, o usuário poderá criar recursos de CloudWatch registros. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária dos recursos do CloudWatch Logs.

• Se você criar uma função do IAM em sua AWS conta com permissões para criar recursos de CloudWatch registros, qualquer pessoa que possa assumir a função poderá criar recursos de CloudWatch registros. Sua AWS conta, à qual a função pertence, é proprietária dos recursos do CloudWatch Logs.

Gerenciamento de acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto dos CloudWatch registros. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte What is IAM? no IAM User Guide. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a IAM policy reference no IAM User Guide.

As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade (políticas do IAM) e as políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. CloudWatch O Logs oferece suporte a políticas baseadas em identidade e políticas baseadas em recursos para destinos, que são usadas para permitir assinaturas entre contas. Para ter mais informações, consulte Compartilhamento de dados de log entre contas com assinaturas.

Tópicos

• Permissões de grupo de logs e Contributor Insights
• Políticas baseadas em recursos

Permissões de grupo de logs e Contributor Insights

O Contributor Insights é um recurso CloudWatch que permite analisar dados de grupos de registros e criar séries temporais que exibem dados do colaborador. É possível ver métricas sobre os principais colaboradores, o número total de colaboradores exclusivos e o uso deles. Para obter mais informações, consulte Usar o Contributor Insights para analisar dados de alta cardinalidade.

Quando você concede a um usuário as cloudwatch:GetInsightRuleReport permissões cloudwatch:PutInsightRule e, esse usuário pode criar uma regra que avalia qualquer grupo de CloudWatch registros no Logs e depois ver os resultados. Os resultados podem conter dados de colaborador para esses grupos de log. Certifique-se de conceder essas permissões somente aos usuários que possam visualizar esses dados.

Políticas baseadas em recursos

CloudWatch O Logs oferece suporte a políticas baseadas em recursos para destinos, que você pode usar para habilitar assinaturas entre contas. Para ter mais informações, consulte Etapa 1: criar um destino. Os destinos podem ser criados usando a PutDestinationAPI, e você pode adicionar uma política de recursos ao destino usando a PutDestinationAPI. O exemplo a seguir permite que outra AWS conta com o ID de conta 111122223333 inscreva seus grupos de registros no destino. arn:aws:logs:us-east-1:123456789012:destination:testDestination

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

Especificar elementos da política: ações, efeitos e entidades principais

Para cada recurso do CloudWatch Logs, o serviço define um conjunto de operações de API. Para conceder permissões para essas operações de API, o CloudWatch Logs define um conjunto de ações que você pode especificar em uma política. Algumas operações da API podem exigir permissões para mais de uma ação a fim de realizar a operação da API. Para obter mais informações sobre os recursos e operações da API, consulte CloudWatch Registra recursos e operações e CloudWatch Referência de permissões de registros.

Estes são os elementos de política básicos:

• Recurso: use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte CloudWatch Registra recursos e operações.

• Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão logs.DescribeLogGroups permite que o usuário execute a operação DescribeLogGroups.

• Efeito: você especifica o efeito (permitir ou negar) quando o usuário solicita a ação específica. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

• Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). CloudWatch O Logs oferece suporte a políticas baseadas em recursos para destinos.

Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a Referência de política doAWS IAM no Guia do usuário do IAM.

Para ver uma tabela que mostra todas as ações da API CloudWatch Logs e os recursos aos quais elas se aplicam, consulteCloudWatch Referência de permissões de registros.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Para obter uma lista de chaves de contexto suportadas por cada AWS serviço e uma lista de chaves AWSde política abrangentes, consulte Ações, recursos e chaves de condição para AWS serviços e chaves de contexto de condiçãoAWS globais.

nota

Você pode usar tags para controlar o acesso aos recursos do CloudWatch Logs, incluindo grupos e destinos de registros. O acesso aos fluxos de log é controlado no nível do grupo de log, devido à relação hierárquica entre grupos de log e fluxos de log. Para obter mais informações sobre como usar etiquetas para controlar o acesso, consulte Controlar acesso a recursos da Amazon Web Services usando etiquetas de recursos.