CloudWatch Referência de permissões de registros

Ao configurar o Controle de acesso e escrever políticas de permissões que podem ser anexadas a uma identidade do IAM (políticas baseadas em identidade), você pode usar a tabela a seguir como referência. A tabela lista cada operação da API CloudWatch Logs e as ações correspondentes para as quais você pode conceder permissões para realizar a ação. Você especifica as ações no campo Action das políticas. Para o Resource campo, você pode especificar o ARN de um grupo de registros ou stream de registros, ou especificar * para representar todos os recursos de CloudWatch registros.

Você pode usar chaves de condição AWS-wide em suas políticas de CloudWatch registros para expressar condições. Para obter uma lista completa AWSde chaves gerais, consulte Chaves de contexto de condiçãoAWS globais e do IAM no Guia do usuário do IAM.

nota

Para especificar uma ação, use o prefixo logs: seguido do nome da operação da API. Por exemplo:logs:CreateLogGroup,logs:CreateLogStream, ou logs:* (para todas as ações do CloudWatch Logs).

CloudWatch Registra as operações da API e as permissões necessárias para ações
CloudWatch Registra as operações da API	Permissões obrigatórias (ações de API)
CancelExportTask	logs:CancelExportTask Necessária para cancelar uma tarefa de exportação pendente ou em execução.
CreateExportTask	logs:CreateExportTask Necessária para exportar dados de um grupo de logs para um bucket do Amazon S3.
CreateLogGroup	logs:CreateLogGroup Necessária para criar um novo grupo de logs.
CreateLogStream	logs:CreateLogStream Necessária para criar um novo stream de logs em um grupo de logs.
DeleteDestination	logs:DeleteDestination Necessária para excluir um destino de log e desativar seus filtros de assinatura.
DeleteLogGroup	logs:DeleteLogGroup Necessária para excluir um grupo de logs e eventos de log arquivados associados.
DeleteLogStream	logs:DeleteLogStream Necessária para excluir um stream de logs e eventos de log arquivados associados.
DeleteMetricFilter	logs:DeleteMetricFilter Necessária para excluir um filtro de métrica associado a um grupo de logs.
DeleteQueryDefinition	logs:DeleteQueryDefinition Obrigatório para excluir uma definição de consulta salva no CloudWatch Logs Insights.
DeleteResourcePolicy	logs:DeleteResourcePolicy Obrigatório para excluir uma política de recursos de CloudWatch registros.
DeleteRetentionPolicy	logs:DeleteRetentionPolicy Necessária para excluir uma política de retenção do grupo de logs.
DeleteSubscriptionFilter	logs:DeleteSubscriptionFilter Necessária para excluir o filtro de assinatura associado a um grupo de logs.
DescribeDestinations	logs:DescribeDestinations Necessária para visualizar todos os destinos associado à conta.
DescribeExportTasks	logs:DescribeExportTasks Necessária para visualizar todas as tarefas de exportação associadas à conta.
DescribeLogGroups	logs:DescribeLogGroups Necessária para visualizar todos os grupos de logs associados à conta.
DescribeLogStreams	logs:DescribeLogStreams Necessária para visualizar todos os streams de logs associados a um grupo de logs.
DescribeMetricFilters	logs:DescribeMetricFilters Necessária para visualizar todas as métricas associadas a um grupo de logs.
DescribeQueryDefinitions	logs:DescribeQueryDefinitions Obrigatório para ver a lista de definições de consulta salvas no CloudWatch Logs Insights.
DescribeQueries	logs:DescribeQueries Obrigatório para ver a lista de consultas do CloudWatch Logs Insights que estão programadas, em execução ou que foram executadas recentemente.
DescribeResourcePolicies	logs:DescribeResourcePolicies Obrigatório para ver uma lista de políticas de recursos do CloudWatch Logs.
DescribeSubscriptionFilters	logs:DescribeSubscriptionFilters Necessária para visualizar todos os filtros de assinatura associados a um grupo de logs.
FilterLogEvents	logs:FilterLogEvents Necessária para classificar eventos de log por padrão de filtros de grupos.
GetLogEvents	logs:GetLogEvents Necessária para recuperar eventos de log a partir de um stream de logs.
GetLogGroupFields	logs:GetLogGroupFields Necessária para recuperar a lista de campos incluídos nos eventos de log em um grupo de log.
GetLogRecord	logs:GetLogRecord Necessário para recuperar os detalhes de um único evento de log.
GetQueryResults	logs:GetQueryResults Necessário para recuperar os resultados das consultas do CloudWatch Logs Insights.
ListTagsLogGroup	logs:ListTagsLogGroup Necessária para listar as tags associadas a um grupo de log.
PutDestination	logs:PutDestination Necessária para criar ou atualizar um fluxo de logs de destino (como um fluxo do Kinesis).
PutDestinationPolicy	logs:PutDestinationPolicy Necessária para criar ou atualizar uma política de acesso associada a um destino de log existente.
PutLogEvents	logs:PutLogEvents Necessária para carregar um lote de eventos de log para um stream de log.
PutMetricFilter	logs:PutMetricFilter Necessária para criar ou atualizar um filtro de métrica e associá-lo a um grupo de logs.
PutQueryDefinition	logs:PutQueryDefinition Obrigatório para salvar uma consulta no CloudWatch Logs Insights.
PutResourcePolicy	logs:PutResourcePolicy Necessário para criar uma política de recursos de CloudWatch registros.
PutRetentionPolicy	logs:PutRetentionPolicy Necessária para definir o número de dias nos quais manter os eventos de log (retenção) em um grupo de logs.
PutSubscriptionFilter	logs:PutSubscriptionFilter Necessária para criar ou atualizar um filtro de assinatura e associá-lo a um grupo de logs.
StartQuery	logs:StartQuery Necessário para iniciar consultas do CloudWatch Logs Insights.
StopQuery	logs:StopQuery Obrigatório para interromper uma consulta do CloudWatch Logs Insights que está em andamento.
TagLogGroup	logs:TagLogGroup Obrigatório para adicionar ou atualizar as tags do grupo de logs.
TestMetricFilter	logs:TestMetricFilter Necessária para testar um padrão de filtro em relação a uma amostra de mensagens de eventos de log.