Ressources et opérations Présentation de la propriété des ressources Gestion de l’accès aux ressources Spécification des éléments d'une politique : actions, effets et mandataires Spécification de conditions dans une politique

Vue d'ensemble de la gestion des autorisations d'accès à vos ressources CloudWatch Logs

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Utilisateurs et groupes dans AWS IAM Identity Center :

Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateurAWS IAM Identity Center .
Utilisateurs gérés dans IAM par un fournisseur d'identité :

Créez un rôle pour la fédération d’identité. Pour plus d’informations, voir la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) du Guide de l’utilisateur IAM.
Utilisateurs IAM :
- Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM du Guide de l’utilisateur IAM.
- (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.

Rubriques

CloudWatch Enregistre les ressources et les opérations
Présentation de la propriété des ressources
Gestion de l’accès aux ressources
Spécification des éléments d'une politique : actions, effets et mandataires
Spécification de conditions dans une politique

CloudWatch Enregistre les ressources et les opérations

Dans CloudWatch Logs, les principales ressources sont les groupes de journaux, les flux de journaux et les destinations. CloudWatch Les journaux ne prennent pas en charge les sous-ressources (autres ressources à utiliser avec la ressource principale).

Ces ressources et sous-ressources ont des noms Amazon Resource Names (ARNs) uniques associés, comme cela est illustré dans le tableau suivant.

Type de ressource Format ARN

Type de ressource	Format ARN
Groupe de journaux	Les deux éléments suivants sont utilisés. Le second, avec le `` à la fin, est ce qui est renvoyé par la commande `describe-log-groups` CLI et l'DescribeLogGroupsAPI. arn:aws:logs:`region`:`account-id`:log-group:`log_group_name` arn:aws:logs:`region` :`account-id :`log-group :`log_group_name` :
Flux de journaux	`arn:aws:logs : region : account-id:log-group : log_group_name:log-stream : log-stream-name`
Destination	arn:aws:logs:`region`:`account-id`:destination:`destination_name`

Groupe de journaux

Les deux éléments suivants sont utilisés. Le second, avec le * à la fin, est ce qui est renvoyé par la commande describe-log-groups CLI et l'DescribeLogGroupsAPI.

arn:aws:logs:region:account-id:log-group:log_group_name

arn:aws:logs:region :account-id :log-group :log_group_name :*

Flux de journaux

arn:aws:logs : region : account-id:log-group : log_group_name:log-stream : log-stream-name

Destination

arn:aws:logs:region:account-id:destination:destination_name

Pour plus d'informations sur les ARN, consultez ARN dans le manuel Guide de l'utilisateur IAM. Pour plus d'informations sur CloudWatch les ARN des journaux, consultez Amazon Resource Names (ARN) dans. Référence générale d'Amazon Web Services Pour un exemple de politique couvrant les CloudWatch journaux, consultezUtilisation de politiques basées sur l'identité (politiques IAM) pour les journaux CloudWatch .

CloudWatch Logs fournit un ensemble d'opérations permettant d'utiliser les ressources CloudWatch Logs. Pour obtenir la liste des opérations disponibles, consultez CloudWatch Référence des autorisations de journalisation.

Présentation de la propriété des ressources

Le AWS compte possède les ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'entité principale (c'est-à-dire le compte root, un utilisateur ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

Si vous utilisez les informations d'identification du compte root de votre AWS compte pour créer un groupe de journaux, votre AWS compte est le propriétaire de la ressource CloudWatch Logs.
Si vous créez un utilisateur dans votre AWS compte et que vous accordez l'autorisation de créer CloudWatch des ressources Logs à cet utilisateur, celui-ci peut créer des ressources CloudWatch Logs. Toutefois, votre AWS compte, auquel appartient l'utilisateur, possède les ressources CloudWatch Logs.
Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour créer des ressources de CloudWatch journaux, toute personne pouvant assumer ce rôle peut créer des ressources de CloudWatch journaux. Votre AWS compte, auquel appartient le rôle, possède les ressources CloudWatch Logs.

Gestion de l’accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section décrit l'utilisation d'IAM dans le contexte des CloudWatch journaux. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez la rubrique Qu'est-ce que IAM ? dans le Guide de l'utilisateur IAM. Pour plus d’informations sur la syntaxe et les descriptions des politiques IAM, consultez la Référence des politiques IAM dans le Guide de l’utilisateur IAM.

Les politiques associées à une identité IAM sont appelées politiques basées sur l'identité (politiques IAM) et les politiques associées à une ressource sont appelées politiques basées sur les ressources. CloudWatch Logs prend en charge les politiques basées sur l'identité et les politiques basées sur les ressources pour les destinations, qui sont utilisées pour activer les abonnements entre comptes. Pour de plus amples informations, veuillez consulter Partage de données du journal entre comptes avec les abonnements.

Rubriques

Autorisations de groupe de journaux et informations sur Contributor Insights
Politiques basées sur les ressources

Autorisations de groupe de journaux et informations sur Contributor Insights

Contributor Insights est une fonctionnalité CloudWatch qui vous permet d'analyser les données des groupes de journaux et de créer des séries chronologiques qui affichent les données des contributeurs. Vous pouvez voir les mesures concernant les premiers contributeurs, le nombre total de contributeurs uniques et leur utilisation. Pour plus d'informations, consultez Utilisation de Contributor Insights pour analyser des données de cardinalité élevée.

Lorsque vous accordez à un utilisateur les cloudwatch:GetInsightRuleReport autorisations cloudwatch:PutInsightRule et, celui-ci peut créer une règle qui évalue n'importe quel groupe de CloudWatch journaux dans Logs, puis en voir les résultats. Les résultats peuvent contenir des données de contributeur pour ces groupes de journaux. Veillez à n'accorder ces autorisations qu'aux utilisateurs qui doivent pouvoir visualiser ces données.

Politiques basées sur les ressources

CloudWatch Logs prend en charge les politiques basées sur les ressources pour les destinations, que vous pouvez utiliser pour activer les abonnements entre comptes. Pour de plus amples informations, veuillez consulter Étape 1 : créer une destination. Les destinations peuvent être créées à l'aide de l'PutDestinationAPI, et vous pouvez ajouter une politique de ressources à la destination à l'aide de l'PutDestinationAPI. L'exemple suivant permet à un autre AWS compte portant l'ID de compte 111122223333 d'inscrire ses groupes de journaux à la destination. arn:aws:logs:us-east-1:123456789012:destination:testDestination


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

Spécification des éléments d'une politique : actions, effets et mandataires

Pour chaque ressource CloudWatch Logs, le service définit un ensemble d'opérations d'API. Pour accorder des autorisations pour ces opérations d'API, CloudWatch Logs définit un ensemble d'actions que vous pouvez spécifier dans une politique. Certaines opérations d'API peuvent exiger des autorisations pour plusieurs actions afin de réaliser l'opération d'API. Pour plus d'informations sur les ressources et les opérations de l'API, consultez CloudWatch Enregistre les ressources et les opérations et CloudWatch Référence des autorisations de journalisation.

Voici les éléments de base d'une politique :

Ressource : vous utilisez un nom Amazon Resource Name (ARN) pour identifier la ressource à laquelle s'applique la politique. Pour plus d'informations, consultez CloudWatch Enregistre les ressources et les opérations.
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'autorisation logs.DescribeLogGroups permet à l'utilisateur d'effectuer l'opération DescribeLogGroups.
Effet - Vous spécifiez l'effet produit, autorisation ou refus, lorsque l'utilisateur demande l'action spécifique. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). CloudWatch Logs prend en charge les politiques basées sur les ressources pour les destinations.

Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez Référence de stratégie IAMAWS dans le Guide de l'utilisateur IAM.

Pour consulter un tableau présentant toutes les actions de l'API CloudWatch Logs et les ressources auxquelles elles s'appliquent, consultezCloudWatch Référence des autorisations de journalisation.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy pour spécifier les conditions définissant quand une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Pour obtenir la liste des clés de contexte prises en charge par chaque AWS service et une liste des AWSclés de politique générales, consultez les sections Actions, ressources et clés de condition pour les AWS services et clés contextuelles de conditionAWS globale.

Note

Vous pouvez utiliser des balises pour contrôler l'accès aux ressources CloudWatch des journaux, notamment aux groupes de journaux et aux destinations. L'accès aux flux de journaux est contrôlé au niveau du groupe de journaux, en raison de la relation hiérarchique entre les groupes de journaux et les flux de journaux. Pour plus d'informations sur l'utilisation d'identifications pour contrôler l'accès, consultez Contrôle de l'accès aux ressources Amazon Web Services à l'aide de balises.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des identités et des accès

Utilisation des politiques basées sur une identité (politiques IAM)