As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
Importante
Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus recursos do CloudWatch Logs. Para ter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs.
Este tópico abrange o seguinte:
Veja a seguir um exemplo de política de permissões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }
Essa política tem uma instrução que concede permissões para criar grupos e streams de log para fazer upload de eventos de log para streams de log e listar detalhes sobre streams de log.
O caractere curinga (*) no final do valor Resource
significa que a instrução dá permissões para as ações logs:CreateLogGroup
, logs:CreateLogStream
, logs:PutLogEvents
e logs:DescribeLogStreams
em qualquer grupo de logs. Para limitar essa permissão a um determinado grupo de logs, substitua o caractere curinga (*) no ARN do recurso pelo ARN do grupo de logs específico. Para obter mais informações sobre as seções em uma declaração de política do IAM, consulte Referência a elementos de políticas do IAM no Manual do usuário do IAM. Para ver uma lista que mostra todas as ações do CloudWatch Logs, consulteCloudWatch Referência de permissões de registros.
Permissões necessárias para usar o CloudWatch console
Para que um usuário trabalhe com CloudWatch Logs no CloudWatch console, ele precisa ter um conjunto mínimo de permissões que permita ao usuário descrever outros AWS recursos em sua AWS conta. Para usar o CloudWatch Logs no CloudWatch console, você precisa ter permissões dos seguintes serviços:
-
CloudWatch
-
CloudWatch Registros
-
OpenSearch Serviço
-
IAM
-
Kinesis
-
Lambda
-
Amazon S3
Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda possam usar o CloudWatch console, anexe também a política CloudWatchReadOnlyAccess
gerenciada ao usuário, conforme descrito emAWS políticas gerenciadas (predefinidas) para registros CloudWatch .
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API CloudWatch Logs AWS CLI ou para a Logs.
O conjunto completo de permissões necessárias para trabalhar com o CloudWatch console para um usuário que não está usando o console para gerenciar assinaturas de log é:
cloudwatch: GetMetricData
cloudwatch: ListMetrics
troncos: CancelExportTask
troncos: CreateExportTask
troncos: CreateLogGroup
troncos: CreateLogStream
troncos: DeleteLogGroup
troncos: DeleteLogStream
troncos: DeleteMetricFilter
troncos: DeleteQueryDefinition
troncos: DeleteRetentionPolicy
troncos: DeleteSubscriptionFilter
troncos: DescribeExportTasks
troncos: DescribeLogGroups
troncos: DescribeLogStreams
troncos: DescribeMetricFilters
troncos: DescribeQueryDefinitions
troncos: DescribeQueries
troncos: DescribeSubscriptionFilters
troncos: FilterLogEvents
troncos: GetLogEvents
troncos: GetLogGroupFields
troncos: GetLogRecord
troncos: GetQueryResults
troncos: PutMetricFilter
troncos: PutQueryDefinition
troncos: PutRetentionPolicy
troncos: StartQuery
troncos: StopQuery
troncos: PutSubscriptionFilter
troncos: TestMetricFilter
Para um usuário que também usará o console para gerenciar assinaturas de log, as seguintes permissões também são necessárias:
Sim: DescribeElasticsearchDomain
Sim: ListDomainNames
objetivo: AttachRolePolicy
objetivo: CreateRole
objetivo: GetPolicy
objetivo: GetPolicyVersion
objetivo: GetRole
objetivo: ListAttachedRolePolicies
objetivo: ListRoles
cinesia: DescribeStreams
cinesia: ListStreams
lambda: AddPermission
lambda: CreateFunction
lambda: GetFunctionConfiguration
lambda: ListAliases
lambda: ListFunctions
lambda: ListVersionsByFunction
lambda: RemovePermission
s3: ListBuckets
AWS políticas gerenciadas (predefinidas) para registros CloudWatch
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pelaAWS no Guia do usuário do IAM.
As seguintes políticas AWS gerenciadas, que você pode associar aos usuários e funções na sua conta, são específicas do CloudWatch Logs:
CloudWatchLogsFullAccess— Concede acesso total aos CloudWatch registros.
CloudWatchLogsReadOnlyAccess— Concede acesso somente para CloudWatch leitura aos registros.
CloudWatchLogsFullAccess
A CloudWatchLogsFullAccesspolítica concede acesso total aos CloudWatch registros. Contém o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }
CloudWatchLogsReadOnlyAccess
A CloudWatchLogsReadOnlyAccesspolítica concede acesso somente para CloudWatch leitura aos registros. Contém o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail" ], "Resource": "*" } ] }
CloudWatchLogsCrossAccountSharingConfiguration
A CloudWatchLogsCrossAccountSharingConfigurationpolítica concede acesso para criar, gerenciar e visualizar links do Observability Access Manager para compartilhar recursos de CloudWatch registros entre contas. Para obter mais informações, consulte CloudWatch observabilidade entre contas.
Contém o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
CloudWatch Registra atualizações em políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudWatch Logs desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico de documentos de CloudWatch registros.
Alteração | Descrição | Data |
---|---|---|
CloudWatchLogsReadOnlyAccess: atualizar para uma política existente |
CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess. As |
6 de junho de 2023 |
CloudWatchLogsCrossAccountSharingConfiguration – Nova política |
CloudWatch O Logs adicionou uma nova política para permitir que você gerencie links de observabilidade CloudWatch entre contas que compartilham grupos de CloudWatch registros do Logs. Para obter mais informações, consulte CloudWatch observabilidade entre contas |
27 de novembro de 2022 |
CloudWatchLogsFullAccess: atualização para uma política existente |
CloudWatch Os registros adicionaram permissões ao CloudWatchLogsFullAccess. As |
27 de novembro de 2022 |
CloudWatchLogsReadOnlyAccess: atualização para uma política existente |
CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess. As |
27 de novembro de 2022 |
Exemplos de política gerenciada pelo cliente
Você pode criar suas próprias políticas personalizadas do IAM para permitir permissões para ações e recursos do CloudWatch Logs. Você pode anexar essas políticas personalizadas a usuários ou grupos do que exijam essas permissões.
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do CloudWatch Logs. Essas políticas funcionam quando você usa a API CloudWatch Logs, AWS os SDKs ou o. AWS CLI
Exemplos
Exemplo 1: Permitir acesso total aos CloudWatch registros
A política a seguir permite que um usuário acesse todas as ações do CloudWatch Logs.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }
Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch
AWS fornece uma CloudWatchLogsReadOnlyAccesspolítica que permite acesso somente para leitura aos dados do CloudWatch Logs. Esta política inclui as seguintes permissões.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail" ], "Effect": "Allow", "Resource": "*" } ] }
Exemplo 3: Permitir acesso a um grupo de logs
A política a seguir permite que um usuário leia e grave eventos de log em um grupo de logs especificado.
Importante
O :*
no final do nome do grupo de logs na linha de Resource
é necessário para indicar que a política se aplica a todos os fluxos de logs nesse grupo de logs. Se você omitir o :*
, a política não será aplicada.
{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }
Usar etiquetas e políticas do IAM para controle no nível do grupo de logs
Você pode conceder aos usuários acesso a determinados grupos de logs enquanto os impede de acessar outros grupos de logs. Para fazer isso, etiquete seus grupos de logs e use políticas do IAM que fazem referência a essas etiquetas. Para aplicar tags a um grupo de logs, você precisa ter a permissão logs:TagResource
ou logs:TagLogGroup
. Isso se aplica se você estiver atribuindo tags ao grupo de logs ao criá-lo. ou atribuí-los mais tarde.
Para obter mais informações sobre como marcar grupos de logs, consulte Marque grupos de registros no Amazon CloudWatch Logs.
Ao etiquetar grupos de logs, você pode conceder uma política do IAM a um usuário para permitir o acesso a apenas os grupos de logs com determinada etiqueta. Por exemplo, a instrução de política a seguir concede acesso a apenas grupos de logs com o valor Green
para a chave de tag Team
.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }
As operações StopQuerye a StopLiveTailAPI não interagem com AWS os recursos no sentido tradicional. Elas não retornam dados, não colocam dados nem modificam recursos. Em vez disso, eles operam somente em uma determinada sessão final ao vivo ou em uma determinada consulta do CloudWatch Logs Insights, que não são categorizadas como recursos. Como resultado, ao especificar o campo Resource
nas políticas do IAM para essas operações, será necessário definir o valor do campo Resource
como *
, como no exemplo a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }
Para obter mais informações sobre como usar instruções de política do IAM, consulte Controlar o acesso usando políticas no Manual do usuário do IAM.