Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für - CloudWatch Protokolle - Amazon CloudWatch -Protokolle
Erforderliche Berechtigungen für die Verwendung der CloudWatch KonsoleAWS Von verwaltete (vordefinierte) Richtlinien für - CloudWatch ProtokolleRichtlinienaktualisierungenBeispiele für vom Kunden verwaltete RichtlinienMarkierung und IAM-Richtlinien für die Steuerung auf der Protokollgruppenebene verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für - CloudWatch Protokolle

In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.

Wichtig

Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, mit denen Sie den Zugriff auf Ihre - CloudWatch Logs-Ressourcen verwalten können. Weitere Informationen finden Sie unter Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen.

In diesem Thema wird Folgendes behandelt:

Nachstehend finden Sie ein Beispiel für eine Berechtigungsrichtlinie:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

In dieser Richtlinie gibt es eine Anweisung, die Berechtigungen erteilt, um Protokollgruppen und Protokoll-Streams zu erstellen, Protokollereignisse hochzuladen und Details zu Protokoll-Streams aufzuführen.

Das Platzhalterzeichen (*) am Ende des Resource-Werts bedeutet, dass die Anweisung Berechtigungen für die logs:CreateLogGroup-, logs:CreateLogStream-, logs:PutLogEvents- und logs:DescribeLogStreams-Aktionen einer Protokollgruppe zulässt. Um diese Berechtigungen auf eine bestimmte Protokollgruppe zu beschränken, ersetzen Sie das Platzhalterzeichen (*) im ARN der Ressource durch den spezifischen ARN der Protokollgruppe. Weitere Informationen über die Abschnitte in einer IAM-Richtlinienanweisung finden Sie in der Referenz zu IAM-Richtlinienelemente im IAM-Benutzerhandbuch. Eine Liste mit allen CloudWatch Protokollaktionen finden Sie unter CloudWatch Referenz zu Protokollberechtigungen.

Erforderliche Berechtigungen für die Verwendung der CloudWatch Konsole

Damit ein Benutzer mit CloudWatch Protokollen in der CloudWatch Konsole arbeiten kann, muss dieser Benutzer über einen Mindestsatz von Berechtigungen verfügen, die es dem Benutzer ermöglichen, andere AWS Ressourcen in seinem AWS Konto zu beschreiben. Um CloudWatch Protokolle in der CloudWatch Konsole verwenden zu können, müssen Sie über Berechtigungen von den folgenden Services verfügen:

  • CloudWatch

  • CloudWatch Protokolle

  • OpenSearch Service

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer weiterhin die CloudWatch Konsole verwenden können, fügen Sie dem Benutzer auch die CloudWatchReadOnlyAccess verwaltete Richtlinie an, wie unter beschriebenAWS Von verwaltete (vordefinierte) Richtlinien für - CloudWatch Protokolle.

Für Benutzer, die nur Aufrufe an die AWS CLI oder die CloudWatch Logs-API durchführen, müssen Sie keine Mindestberechtigungen für die Konsole erteilen.

Die vollständigen Berechtigungen, die für die Arbeit mit der CloudWatch Konsole für einen Benutzer erforderlich sind, der die Konsole nicht zur Verwaltung von Protokollabonnements verwendet, sind:

  • CloudWatch:GetMetricData

  • CloudWatch:ListMetrics

  • -Protokolle:CancelExportTask

  • -Protokolle:CreateExportTask

  • -Protokolle:CreateLogGroup

  • -Protokolle:CreateLogStream

  • -Protokolle:DeleteLogGroup

  • -Protokolle:DeleteLogStream

  • -Protokolle:DeleteMetricFilter

  • -Protokolle:DeleteQueryDefinition

  • -Protokolle:DeleteRetentionPolicy

  • -Protokolle:DeleteSubscriptionFilter

  • -Protokolle:DescribeExportTasks

  • -Protokolle:DescribeLogGroups

  • -Protokolle:DescribeLogStreams

  • -Protokolle:DescribeMetricFilters

  • -Protokolle:DescribeQueryDefinitions

  • -Protokolle:DescribeQueries

  • -Protokolle:DescribeSubscriptionFilters

  • -Protokolle:FilterLogEvents

  • -Protokolle:GetLogEvents

  • -Protokolle:GetLogGroupFields

  • -Protokolle:GetLogRecord

  • -Protokolle:GetQueryResults

  • -Protokolle:PutMetricFilter

  • -Protokolle:PutQueryDefinition

  • -Protokolle:PutRetentionPolicy

  • -Protokolle:StartQuery

  • -Protokolle:StopQuery

  • -Protokolle:PutSubscriptionFilter

  • -Protokolle:TestMetricFilter

Ein Benutzer, der die Konsole auch zum Verwalten von Protokoll-Abonnements verwendet, benötigt die folgenden Berechtigungen:

  • es:DescribeElasticsearchDomain

  • es:ListDomainNames

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • Kinesis:DescribeStreams

  • Kinesis:ListStreams

  • Lambda:AddPermission

  • Lambda:CreateFunction

  • Lambda:GetFunctionConfiguration

  • Lambda:ListAliases

  • Lambda:ListFunctions

  • Lambda:ListVersionsByFunction

  • Lambda:RemovePermission

  • s3:ListBuckets

AWS Von verwaltete (vordefinierte) Richtlinien für - CloudWatch Protokolle

AWS deckt viele häufige Anwendungsfälle ab, indem eigenständige IAM-Richtlinien bereitgestellt werden, die von erstellt und verwaltet werden AWS. Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien im IAM-Benutzerhandbuch.

Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern und Rollen in Ihrem Konto anfügen können, gelten speziell für - CloudWatch Protokolle:

  • CloudWatchLogsFullAccess – Gewährt vollen Zugriff auf CloudWatch Protokolle.

  • CloudWatchLogsReadOnlyAccess – Gewährt schreibgeschützten Zugriff auf CloudWatch Protokolle.

CloudWatchLogsFullAccess

Die CloudWatchLogsFullAccess Richtlinie gewährt vollen Zugriff auf CloudWatch Protokolle. Der Inhalt ist wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

CloudWatchLogsReadOnlyAccess

Die CloudWatchLogsReadOnlyAccess Richtlinie gewährt schreibgeschützten Zugriff auf CloudWatch Protokolle. Der Inhalt ist wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail"
            ],
            "Resource": "*"
        }
    ]
}

CloudWatchLogsCrossAccountSharingConfiguration

Die CloudWatchLogsCrossAccountSharingConfiguration Richtlinie gewährt Zugriff zum Erstellen, Verwalten und Anzeigen von Observability-Access-Manager-Links für die gemeinsame Nutzung von CloudWatch Protokollressourcen zwischen Konten. Weitere Informationen finden Sie unter CloudWatch Kontoübergreifende Beobachtbarkeit.

Der Inhalt ist wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:Link",
                "oam:ListLinks"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        }
    ]
}

CloudWatch Protokolliert Aktualisierungen von - AWS verwalteten Richtlinien

Anzeigen von Details zu Aktualisierungen für - AWS verwaltete Richtlinien für - CloudWatch Protokolle, seit dieser Service mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Seite CloudWatch Protokolldokumentverlauf.

Änderung Beschreibung Datum

CloudWatchLogsReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie

CloudWatch Protokolliert hinzugefügte Berechtigungen zu CloudWatchLogsReadOnlyAccess.

Die logs:StopLiveTail Berechtigungen logs:StartLiveTail und wurden hinzugefügt, damit Benutzer mit dieser Richtlinie die Konsole verwenden können, um Live-Tail-Sitzungen von CloudWatch Logs zu starten und zu beenden. Weitere Informationen finden Sie unter Use live tail to view logs in near real time.

 6. Juni 2023

CloudWatchLogsCrossAccountSharingConfiguration – Neue Richtlinie.

CloudWatch Protokolle haben eine neue Richtlinie hinzugefügt, mit der Sie CloudWatch kontoübergreifende Beobachtbarkeitslinks verwalten können, die CloudWatch Protokollgruppen gemeinsam nutzen.

Weitere Informationen finden Sie unter CloudWatch Kontoübergreifende Beobachtbarkeit

 27. November 2022

CloudWatchLogsFullAccess – Aktualisierung auf eine bestehende Richtlinie

CloudWatch Protokolliert hinzugefügte Berechtigungen zu CloudWatchLogsFullAccess.

Die oam:ListAttachedLinks Berechtigungen oam:ListSinks und wurden hinzugefügt, damit Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten anzuzeigen, die von Quellkonten in der CloudWatch kontoübergreifenden Beobachtbarkeit freigegeben wurden.

 27. November 2022

CloudWatchLogsReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie

CloudWatch Protokolliert hinzugefügte Berechtigungen zu CloudWatchLogsReadOnlyAccess.

Die oam:ListAttachedLinks Berechtigungen oam:ListSinks und wurden hinzugefügt, damit Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten anzuzeigen, die von Quellkonten in der CloudWatch kontoübergreifenden Beobachtbarkeit freigegeben wurden.

 27. November 2022

Beispiele für vom Kunden verwaltete Richtlinien

Sie können Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für CloudWatch Logs-Aktionen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.

In diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene -CloudWatch Protokollaktionen gewähren. Diese Richtlinien funktionieren, wenn Sie die CloudWatch Logs-API, AWS SDKs oder die verwenden AWS CLI.

Beispiel 1: Vollständigen Zugriff auf CloudWatch Protokolle zulassen

Mit der folgenden Richtlinie können Benutzer auf alle - CloudWatch Protokollaktionen zugreifen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Beispiel 2: Lesezugriff auf CloudWatch Protokolle zulassen

AWS bietet eine CloudWatchLogsReadOnlyAccess Richtlinie, die schreibgeschützten Zugriff auf CloudWatch Logs-Daten ermöglicht. Diese Richtlinie umfasst die folgenden Berechtigungen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail"               
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Beispiel 3: Zugriff auf eine einzelne Protokollgruppe erlauben

Mit der folgenden Richtlinie kann ein Benutzer Protokollereignisse in einer bestimmten Protokollgruppe lesen und schreiben.

Wichtig

Das :* am Ende des Protokollgruppennamens in der Resource-Zeile ist erforderlich, um anzuzeigen, dass die Richtlinie für alle Protokollabläufe in dieser Protokollgruppe gilt. Wenn Sie :* weglassen, wird die Richtlinie nicht durchgesetzt.

{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

Markierung und IAM-Richtlinien für die Steuerung auf der Protokollgruppenebene verwenden

Sie können Benutzern Zugriff auf bestimmte Protokollgruppen gewähren und sie gleichzeitig daran hindern, auf andere Protokollgruppen zuzugreifen. Hierzu markieren Sie Ihre Protokollgruppen und verwenden IAM-Richtlinien, die auf diese Tags verweisen. Um Tags auf eine Protokollgruppe anzuwenden, benötigen Sie entweder die logs:TagResource- oder logs:TagLogGroup-Berechtigung. Dies gilt sowohl, wenn Sie der Protokollgruppe bei der Erstellung Tags zuweisen, als auch, wenn Sie die Tags später zuweisen.

Weitere Informationen zum Taggen von Protokollgruppen finden Sie unter Markieren von Protokollgruppen in Amazon CloudWatch Logs.

Wenn Sie Protokollgruppen markieren, können Sie einem Benutzer eine IAM-Richtlinie erteilen, um nur Zugriff auf die Protokollgruppen mit einem bestimmten Tag zu gewähren. Beispiel: Die folgende Richtlinienanweisung gewährt nur den Zugriff auf Regeln mit dem Wert Green für den Tag-Schlüssel Team.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

Die - StopQuery und StopLiveTail-API-Operationen interagieren nicht im herkömmlichen Sinne mit - AWS Ressourcen. Sie geben keine Daten zurück, legen keine Daten ab und ändern keine Ressource in irgendeiner Weise. Stattdessen werden sie nur für eine bestimmte Live-Tail-Sitzung oder eine bestimmte CloudWatch Logs-Insights-Abfrage ausgeführt, die nicht als Ressourcen kategorisiert sind. Wenn Sie das Feld Resource in den IAM-Richtlinien für diese Operationen angeben, müssen Sie daher den Wert des Felds Resource wie im folgenden Beispiel auf * festlegen. 

{
    "Version": "2012-10-17", 
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}

Weitere Informationen zur Verwendung von IAM-Richtlinienanweisungen finden Sie unter Steuern des Zugriffs mithilfe von Richtlinien im IAM-Benutzerhandbuch.