Claves de condición, recursos y acciones de Amazon CloudWatch Logs - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Claves de condición, recursos y acciones de Amazon CloudWatch Logs

Amazon CloudWatch Logs (prefijo de servicio: logs) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas de servicios para su uso en IAM Las políticas de permisos de.

Referencias:

Acciones definidas por Amazon CloudWatch Logs

Puede especificar las siguientes acciones en la Action elemento de un IAM instrucción de política. Uso de políticas de para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o al comando de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. De forma alternativa, algunas operaciones requieren varias acciones diferentes.

El Tipos de recurso indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el campo Resource elemento de la instrucción de política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con esa acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recurso en una instrucción que utiliza esta acción, debe ser de este tipo. Algunas acciones de admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recurso (*obligatorio) Claves de condición Acciones dependientes
AssociateKmsKey Asocia la clave maestra del cliente (CMK) de AWS Key Management Service (AWS KMS) especificada con el grupo de registros especificado. Escritura

log-group*

CancelExportTask Cancela una tarea de exportación si está en estado PENDING o RUNNING Escritura
CreateExportTask Crea una tarea de exportación que le permite exportar datos de forma eficiente desde un grupo de registros a su bucket de Amazon S3 Escritura

log-group*

CreateLogDelivery [solo permiso] Crea el envío de registros Escritura
CreateLogGroup Crea un nuevo grupo de registros con el nombre especificado. Escritura

log-group*

CreateLogStream Crea un nuevo flujo de registros con el nombre especificado. Escritura

log-group*

DeleteDestination Elimina el destino con el nombre especificado y, finalmente, deshabilita todos los filtros de suscripción que publica en él Escritura
DeleteLogDelivery [solo permiso] Elimina la información de envío de registros para el envío de registros especificado. Escritura
DeleteLogGroup Elimina el grupo de registros con el nombre especificado y elimina permanentemente todos los eventos de registro archivados asociados a él. Escritura

log-group*

DeleteLogStream Elimina un flujo de registros y elimina permanentemente todos los eventos de registro archivados asociados a él. Escritura

log-stream*

DeleteMetricFilter Elimina un filtro de métricas asociado al grupo de registros especificado. Escritura

log-group*

DeleteResourcePolicy Elimina una política de recursos de esta cuenta. Escritura
DeleteRetentionPolicy Elimina la política de retención del grupo de registros especificado. Escritura

log-group*

DeleteSubscriptionFilter Elimina un filtro de suscripción asociado al grupo de registros especificado. Escritura

log-group*

DescribeDestinations Devuelve todos los destinos asociados a la cuenta de AWS que realiza la solicitud. List
DescribeExportTasks Devuelve todas las tareas de exportación asociadas a la cuenta de AWS que realiza la solicitud. List
DescribeLogGroups Devuelve todos los grupos de registros asociados a la cuenta de AWS que realiza la solicitud. List

log-group*

DescribeLogStreams Devuelve todos los flujos de registros asociados al grupo de registros especificado. List

log-group*

DescribeMetricFilters Devuelve todos los filtros de métricas asociados al grupo de registros especificado. List

log-group*

DescribeQueries Devuelve una lista de consultas de CloudWatch Logs Insights que están programadas, ejecutándose o que se han ejecutado recientemente en esta cuenta. Puede solicitar todas las consultas o limitarlas a consultas de un grupo de registros específico o consultas con un determinado estado. List
DescribeResourcePolicies Devuelva todas las políticas de recursos en esta cuenta. List
DescribeSubscriptionFilters Devuelve todos los filtros de suscripción asociados al grupo de registros especificado. List

log-group*

DisassociateKmsKey Desasocia la clave maestra de cliente (CMK) de AWS Key Management Service (AWS KMS) asociada del grupo de registros especificado. Escritura

log-group*

FilterLogEvents Recupera eventos de registro, filtrados opcionalmente por un patrón de filtro del grupo de registros especificado. Lectura

log-group*

GetLogDelivery [solo permiso] Obtiene la información de envío de registros para el envío de registros especificado Lectura
GetLogEvents Recupera eventos de registro del flujo de registros especificado. Lectura

log-stream*

GetLogGroupFields Devuelve una lista de los campos que se incluyen en los eventos de registro en el grupo de registros especificado, junto con el porcentaje de eventos de registro que contienen cada campo. La búsqueda se limita a un periodo de tiempo que especifique. Lectura

log-group*

GetLogRecord Recupera todos los campos y valores de un único evento de registro. Todos los campos se recuperan, incluso si la consulta original que produjo el logRecordPointer recuperó solo un subconjunto de campos. Los campos se devuelven como pares de nombre de campo/valor de campo. Lectura
GetQueryResults Devuelve los resultados de la consulta especificada. Si la consulta está en curso, se devuelven los resultados parciales de esa ejecución actual. Solo se devuelven los campos solicitados en la consulta. Lectura
ListLogDeliveries [solo permiso] Enumera todas las entregas de registros para la cuenta y/o fuente de registro especificadas List
ListTagsLogGroup Muestra las etiquetas del grupo de registros especificado. List

log-group*

PutDestination Crea o actualiza un destino Escritura

iam:PassRole

PutDestinationPolicy Crea o actualiza una política de acceso asociada a un destino existente Escritura
PutLogEvents Carga un lote de eventos de registro en el flujo de registros especificado Escritura

log-stream*

PutMetricFilter Crea o actualiza un filtro de métricas y lo asocia al grupo de registros especificado. Escritura

log-group*

PutResourcePolicy Crea o actualiza una política de recursos que permite a otros servicios de AWS colocar eventos de registro en esta cuenta. Escritura
PutRetentionPolicy Establece la retención del grupo de registros especificado. Escritura

log-group*

PutSubscriptionFilter Crea o actualiza un filtro de suscripción y lo asocia al grupo de registros especificado. Escritura

log-group*

iam:PassRole

StartQuery Programa una consulta de un grupo de registros mediante CloudWatch Logs Insights. Puede especificar el grupo de registros y el intervalo de tiempo que desea consultar y la cadena de consulta que se va a utilizar. Lectura

log-group*

StopQuery Detiene una consulta de CloudWatch Logs Insights que está en curso. Si la consulta ya ha finalizado, la operación devuelve un error que indica que la consulta especificada no está ejecutando. Lectura
TagLogGroup Agrega o actualiza las etiquetas especificadas para el grupo de registros especificado. Escritura

log-group*

TestMetricFilter Prueba el patrón de filtro de un filtro de métricas con una muestra de mensajes de eventos de registro Lectura
UntagLogGroup Elimina las etiquetas especificadas del grupo de registros especificado. Escritura

log-group*

UpdateLogDelivery [solo permiso] Actualiza la información de envío de registros para el envío de registros especificado Escritura

Tipos de recurso definidos por Amazon CloudWatch Logs

Los siguientes tipos de recursos están definidos por este servicio y se pueden utilizar en el Resource elemento de IAM Las instrucciones de política de permisos de. Cada acción de la Tabla de acciones identifica los tipos de recursos que se pueden especificar con esa acción. Un tipo de recurso también puede definir qué claves de condición puede incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso [EMPTY] Claves de condición
log-group arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
log-stream arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}

Claves de condición de Amazon CloudWatch Logs

CloudWatch Logs no tiene claves de contexto específicas de servicios que se puedan utilizar en el Condition elemento de instrucciones de política. Para obtener la lista de las claves de contexto globales que están disponibles para todos los servicios de , consulte Claves disponibles para condiciones en el Referencia de políticas de IAM.