Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch

Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).

Importante

Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus recursos do CloudWatch Logs. Para ter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs.

Este tópico abrange o seguinte:

Veja a seguir um exemplo de política de permissões:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }

Essa política tem uma instrução que concede permissões para criar grupos e streams de log para fazer upload de eventos de log para streams de log e listar detalhes sobre streams de log.

O caractere curinga (*) no final do valor Resource significa que a instrução dá permissões para as ações logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents e logs:DescribeLogStreams em qualquer grupo de logs. Para limitar essa permissão a um determinado grupo de logs, substitua o caractere curinga (*) no ARN do recurso pelo ARN do grupo de logs específico. Para obter mais informações sobre as seções em uma declaração de política do IAM, consulte Referência a elementos de políticas do IAM no Manual do usuário do IAM. Para ver uma lista que mostra todas as ações do CloudWatch Logs, consulteCloudWatch Referência de permissões de registros.

Permissões necessárias para usar o CloudWatch console

Para que um usuário trabalhe com CloudWatch Logs no CloudWatch console, ele precisa ter um conjunto mínimo de permissões que permita ao usuário descrever outros AWS recursos em sua AWS conta. Para usar o CloudWatch Logs no CloudWatch console, você precisa ter permissões dos seguintes serviços:

  • CloudWatch

  • CloudWatch Registros

  • OpenSearch Serviço

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda possam usar o CloudWatch console, anexe também a política CloudWatchReadOnlyAccess gerenciada ao usuário, conforme descrito emAWS políticas gerenciadas (predefinidas) para registros CloudWatch .

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API CloudWatch Logs AWS CLI ou para a Logs.

O conjunto completo de permissões necessárias para trabalhar com o CloudWatch console para um usuário que não está usando o console para gerenciar assinaturas de log é:

  • cloudwatch: GetMetricData

  • cloudwatch: ListMetrics

  • troncos: CancelExportTask

  • troncos: CreateExportTask

  • troncos: CreateLogGroup

  • troncos: CreateLogStream

  • troncos: DeleteLogGroup

  • troncos: DeleteLogStream

  • troncos: DeleteMetricFilter

  • troncos: DeleteQueryDefinition

  • troncos: DeleteRetentionPolicy

  • troncos: DeleteSubscriptionFilter

  • troncos: DescribeExportTasks

  • troncos: DescribeLogGroups

  • troncos: DescribeLogStreams

  • troncos: DescribeMetricFilters

  • troncos: DescribeQueryDefinitions

  • troncos: DescribeQueries

  • troncos: DescribeSubscriptionFilters

  • troncos: FilterLogEvents

  • troncos: GetLogEvents

  • troncos: GetLogGroupFields

  • troncos: GetLogRecord

  • troncos: GetQueryResults

  • troncos: PutMetricFilter

  • troncos: PutQueryDefinition

  • troncos: PutRetentionPolicy

  • troncos: StartQuery

  • troncos: StopQuery

  • troncos: PutSubscriptionFilter

  • troncos: TestMetricFilter

Para um usuário que também usará o console para gerenciar assinaturas de log, as seguintes permissões também são necessárias:

  • Sim: DescribeElasticsearchDomain

  • Sim: ListDomainNames

  • objetivo: AttachRolePolicy

  • objetivo: CreateRole

  • objetivo: GetPolicy

  • objetivo: GetPolicyVersion

  • objetivo: GetRole

  • objetivo: ListAttachedRolePolicies

  • objetivo: ListRoles

  • cinesia: DescribeStreams

  • cinesia: ListStreams

  • lambda: AddPermission

  • lambda: CreateFunction

  • lambda: GetFunctionConfiguration

  • lambda: ListAliases

  • lambda: ListFunctions

  • lambda: ListVersionsByFunction

  • lambda: RemovePermission

  • s3: ListBuckets

AWS políticas gerenciadas (predefinidas) para registros CloudWatch

AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pelaAWS no Guia do usuário do IAM.

As seguintes políticas AWS gerenciadas, que você pode associar aos usuários e funções na sua conta, são específicas do CloudWatch Logs:

  • CloudWatchLogsFullAccess— Concede acesso total aos CloudWatch registros.

  • CloudWatchLogsReadOnlyAccess— Concede acesso somente para CloudWatch leitura aos registros.

CloudWatchLogsFullAccess

A CloudWatchLogsFullAccesspolítica concede acesso total aos CloudWatch registros. Contém o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }

CloudWatchLogsReadOnlyAccess

A CloudWatchLogsReadOnlyAccesspolítica concede acesso somente para CloudWatch leitura aos registros. Contém o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail" ], "Resource": "*" } ] }

CloudWatchLogsCrossAccountSharingConfiguration

A CloudWatchLogsCrossAccountSharingConfigurationpolítica concede acesso para criar, gerenciar e visualizar links do Observability Access Manager para compartilhar recursos de CloudWatch registros entre contas. Para obter mais informações, consulte CloudWatch observabilidade entre contas.

Contém o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }

CloudWatch Registra atualizações em políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudWatch Logs desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico de documentos de CloudWatch registros.

Alteração Descrição Data

CloudWatchLogsReadOnlyAccess: atualizar para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess.

As logs:StopLiveTail permissões logs:StartLiveTail e foram adicionadas para que os usuários com essa política possam usar o console para iniciar e interromper CloudWatch as sessões live tail do Logs. Para obter mais informações, consulte Usar o Live Tail para visualizar registros quase em tempo real.

6 de junho de 2023

CloudWatchLogsCrossAccountSharingConfiguration – Nova política

CloudWatch O Logs adicionou uma nova política para permitir que você gerencie links de observabilidade CloudWatch entre contas que compartilham grupos de CloudWatch registros do Logs.

Para obter mais informações, consulte CloudWatch observabilidade entre contas

27 de novembro de 2022

CloudWatchLogsFullAccess: atualização para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsFullAccess.

As oam:ListAttachedLinks permissões oam:ListSinks e foram adicionadas para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na CloudWatch observabilidade entre contas.

27 de novembro de 2022

CloudWatchLogsReadOnlyAccess: atualização para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess.

As oam:ListAttachedLinks permissões oam:ListSinks e foram adicionadas para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na CloudWatch observabilidade entre contas.

27 de novembro de 2022

Exemplos de política gerenciada pelo cliente

Você pode criar suas próprias políticas personalizadas do IAM para permitir permissões para ações e recursos do CloudWatch Logs. Você pode anexar essas políticas personalizadas a usuários ou grupos do que exijam essas permissões.

Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do CloudWatch Logs. Essas políticas funcionam quando você usa a API CloudWatch Logs, AWS os SDKs ou o. AWS CLI

Exemplo 1: Permitir acesso total aos CloudWatch registros

A política a seguir permite que um usuário acesse todas as ações do CloudWatch Logs.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }

Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch

AWS fornece uma CloudWatchLogsReadOnlyAccesspolítica que permite acesso somente para leitura aos dados do CloudWatch Logs. Esta política inclui as seguintes permissões.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail" ], "Effect": "Allow", "Resource": "*" } ] }

Exemplo 3: Permitir acesso a um grupo de logs

A política a seguir permite que um usuário leia e grave eventos de log em um grupo de logs especificado.

Importante

O :* no final do nome do grupo de logs na linha de Resource é necessário para indicar que a política se aplica a todos os fluxos de logs nesse grupo de logs. Se você omitir o :*, a política não será aplicada.

{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }

Usar etiquetas e políticas do IAM para controle no nível do grupo de logs

Você pode conceder aos usuários acesso a determinados grupos de logs enquanto os impede de acessar outros grupos de logs. Para fazer isso, etiquete seus grupos de logs e use políticas do IAM que fazem referência a essas etiquetas. Para aplicar tags a um grupo de logs, você precisa ter a permissão logs:TagResource ou logs:TagLogGroup. Isso se aplica se você estiver atribuindo tags ao grupo de logs ao criá-lo. ou atribuí-los mais tarde.

Para obter mais informações sobre como marcar grupos de logs, consulte Marque grupos de registros no Amazon CloudWatch Logs.

Ao etiquetar grupos de logs, você pode conceder uma política do IAM a um usuário para permitir o acesso a apenas os grupos de logs com determinada etiqueta. Por exemplo, a instrução de política a seguir concede acesso a apenas grupos de logs com o valor Green para a chave de tag Team.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }

As operações StopQuerye a StopLiveTailAPI não interagem com AWS os recursos no sentido tradicional. Elas não retornam dados, não colocam dados nem modificam recursos. Em vez disso, eles operam somente em uma determinada sessão final ao vivo ou em uma determinada consulta do CloudWatch Logs Insights, que não são categorizadas como recursos. Como resultado, ao especificar o campo Resource nas políticas do IAM para essas operações, será necessário definir o valor do campo Resource como *, como no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }

Para obter mais informações sobre como usar instruções de política do IAM, consulte Controlar o acesso usando políticas no Manual do usuário do IAM.