Acciones, recursos y claves de condición para Amazon CloudWatch Logs - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon CloudWatch Logs

Amazon CloudWatch Logs (prefijo de servicio: logs) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon CloudWatch Logs

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateKmsKey Otorga permisos para asociar la clave maestra especificada del cliente (CMK) de AWS Key Management Service (AWS KMS) con el grupo de registro especificado Write

log-group*

CancelExportTask Otorga permisos para cancelar una tarea de exportación si se encuentra en estado PENDING (Pendiente) o RUNNING (En ejecución). Write
CreateExportTask Otorga permisos para crear una ExportTask que le permite exportar de forma eficaz datos de un grupo de registros a su bucket de Amazon S3 Write

log-group*

CreateLogDelivery [solo permiso] Otorga permisos para crear la entrega de registros Write
CreateLogGroup Otorga permisos para crear un grupo de registros con el nombre especificado Write

log-group*

CreateLogStream Otorga permisos para crear un nuevo flujo de registros con el nombre especificado Write

log-group*

DeleteDestination Otorga permisos para eliminar el destino con el nombre especificado Write
DeleteLogDelivery [solo permiso] Otorga permisos para eliminar la información de entrega de registros de la entrega de registros especificada Write
DeleteLogGroup Otorga permisos para eliminar el grupo de registros con el nombre especificado Write

log-group*

DeleteLogStream Otorga permisos para eliminar un flujo de registros Write

log-stream*

DeleteMetricFilter Otorga permisos para eliminar un filtro de métricas asociado al grupo de registros especificado Write

log-group*

DeleteQueryDefinition Otorga permisos para eliminar una definición de consulta guardada de CloudWatch Logs Insights Write
DeleteResourcePolicy Otorga permisos para eliminar una política de recursos de esta cuenta Permissions management
DeleteRetentionPolicy Otorga permisos para eliminar la política de retención del grupo de registros especificado Write

log-group*

DeleteSubscriptionFilter Otorga permisos para eliminar un filtro de suscripción asociado al grupo de registros especificado Write

log-group*

DescribeDestinations Otorga permisos para devolver todos los destinos que están asociados a la Cuenta de AWS que realiza la solicitud List
DescribeExportTasks Otorga permisos para devolver todas las tareas de exportación que están asociados a la Cuenta de AWS que realiza la solicitud List
DescribeLogGroups Otorga permisos para devolver todos los grupos de registro que están asociados a la Cuenta de AWS que realiza la solicitud List

log-group*

DescribeLogStreams Otorga permisos para devolver todos los flujos de registro que están asociados al grupo de registros especificado List

log-group*

DescribeMetricFilters Otorga permisos para devolver todos los filtros de métricas asociados al grupo de registros especificado List

log-group*

DescribeQueries Otorga permisos para devolver una lista de consultas de CloudWatch Logs Insights que están programadas o en ejecución, o que se han ejecutado recientemente en esta cuenta List
DescribeQueryDefinitions Otorga permisos para devolver una lista paginada de las definiciones de consulta de CloudWatch Logs Insights guardadas List
DescribeResourcePolicies Otorga permisos para devolver todas las políticas de recursos en esta cuenta List
DescribeSubscriptionFilters Otorga permisos para devolver todos los filtros de suscripción asociados al grupo de registros especificado List

log-group*

DisassociateKmsKey Otorga permisos para desasociar la clave maestra del cliente (CMK) de AWS Key Management Service (AWS KMS) del grupo de registros especificado Write

log-group*

FilterLogEvents Otorga permisos para recuperar los eventos de registro, que se filtran de forma opcional por un patrón de filtro del grupo de registro especificado Read

log-group*

GetLogDelivery [solo permiso] Otorga permisos para obtener la información de entrega de registros de la entrega de registros especificada Read
GetLogEvents Otorga permisos para recuperar los eventos de registro del flujo de registro especificado Read

log-stream*

GetLogGroupFields Otorga permisos para devolver una lista de los campos que se incluyen en los eventos de registro en el grupo de registros especificado, junto con el porcentaje de eventos de registro que contiene cada campo Read

log-group*

GetLogRecord Otorga permisos para recuperar todos los campos y valores de un único evento de registro Read
GetQueryResults Otorga permisos para devolver los resultados de la consulta especificada Read
ListLogDeliveries [solo permiso] Otorga permisos para enumerar todas las entregas de registros de la cuenta u origen de registros que se especifica List
ListTagsLogGroup Otorga permisos para enumerar las etiquetas para el grupo de registros especificado List

log-group*

PutDestination Otorga permisos para crear o actualizar un destino Write

iam:PassRole

PutDestinationPolicy Otorga permisos para crear o actualizar una política de acceso asociada a un destino existente Write
PutLogEvents Otorga permisos para cargar un lote de eventos de registro en el flujo de registros especificado Write

log-stream*

PutMetricFilter Otorga permisos para crear o actualizar un filtro de métricas y lo asocia al grupo de registros especificado Write

log-group*

PutQueryDefinition Otorga permisos para crear o actualizar una definición de consulta Write
PutResourcePolicy Otorga permisos para crear o actualizar una política de recursos que permite que otros servicios de AWS coloquen eventos de registro en esta cuenta Permissions management
PutRetentionPolicy Otorga permisos para configurar la retención del grupo de registros especificado Write

log-group*

PutSubscriptionFilter Otorga permisos para crear o actualizar un filtro de suscripciones y lo asocia al grupo de registros especificado Write

log-group*

iam:PassRole

destination

StartQuery Otorga permisos para programar una consulta de un grupo de registros mediante CloudWatch Logs Insights Read

log-group*

StopQuery Otorga permisos para detener una consulta en curso de CloudWatch Logs Insights Read
TagLogGroup Otorga permisos para agregar o actualizar las etiquetas especificadas del grupo de registros especificado Etiquetado

log-group*

TestMetricFilter Otorga permisos para probar el patrón de filtro de un filtro de métricas y compararlo con una muestra de los mensajes de eventos de registro Read
UntagLogGroup Otorga permisos para quitar las etiquetas especificadas del grupo de registros especificado Etiquetado

log-group*

UpdateLogDelivery [solo permiso] Otorga permisos para actualizar la información de entrega de registros de la entrega de registros especificada Write

Tipos de recursos definidos por Amazon CloudWatch Logs

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
log-group arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}

aws:ResourceTag/${TagKey}

log-stream arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
destination arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}

Claves de condición de Amazon CloudWatch Logs

Amazon CloudWatch Logs define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política del IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:ResourceTag/${TagKey} Filtra acciones en función de la etiqueta asociada con el recurso Cadena