Référence des autorisations CloudWatch Logs - Amazon CloudWatch Logs

Référence des autorisations CloudWatch Logs

Lorsque vous configurez des politiques d'autorisation d'écriture et de Contrôle d'accès que vous pouvez attacher à une entité IAM (politiques basées sur une identité), vous pouvez utiliser le tableau ci-dessous comme référence. Ce tableau répertorie chaque opération d'API CloudWatch Logs et les actions correspondantes pour lesquelles vous pouvez accorder des autorisations. Vous spécifiez les actions dans le champ Action de la politique. Pour le champ Resource, vous pouvez spécifier l'ARN d'un groupe de journaux ou d'un flux de journaux, ou spécifier * pour représenter toutes les ressources CloudWatch Logs.

Vous pouvez utiliser des clés de condition à l'échelle d'AWS dans vos politiques CloudWatch Logs pour exprimer des conditions. Pour une liste complète des clés à l'échelle d'AWS, consultez Clés de contexte de condition globales AWS dans le Guide de l'utilisateur IAM.

Note

Pour spécifier une action, utilisez le préfixe logs: suivi du nom de l'opération d'API. Par exemple : logs:CreateLogGroup, logs:CreateLogStream, ou logs:* (pour toutes les actions de CloudWatch Logs).

Opérations d'API CloudWatch Logs et autorisations requises pour les actions
Opérations d'API CloudWatch Logs Autorisations requises (Action d'API) :

CancelExportTask

logs:CancelExportTask

Exigé pour annuler une tâche d'exportation en attente ou en cours d'exécution.

CreateExportTask

logs:CreateExportTask

Exigé pour exporter des données d'un groupe de journaux vers un compartiment Amazon S3.

CreateLogGroup

logs:CreateLogGroup

Exigé pour créer un nouveau groupe de journaux.

CreateLogStream

logs:CreateLogStream

Exigé pour créer un nouveau flux de journaux dans un groupe de journaux.

DeleteDestination

logs:DeleteDestination

Exigé pour supprimer une destination de journal et désactive tous les filtres d'abonnement connexes.

DeleteLogGroup

logs:DeleteLogGroup

Exigé pour supprimer un groupe de journaux et tous les événements du journal archivés associés.

DeleteLogStream

logs:DeleteLogStream

Exigé pour supprimer un flux de journaux et tous les événements du journal archivés associés.

DeleteMetricFilter

logs:DeleteMetricFilter

Exigé pour supprimer un filtre de métrique associé à un groupe de journaux.

DeleteQueryDefinition

logs:DeleteQueryDefinition

Obligatoire pour supprimer une définition de requête enregistrée dans CloudWatch Logs Insights.

DeleteResourcePolicy

logs:DeleteResourcePolicy

Obligatoire pour supprimer une politique de ressource CloudWatch Logs.

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

Exigé pour supprimer la politique de rétention d'un groupe de journaux.

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

Exigé pour supprimer le filtre d'abonnement associé à un groupe de journaux.

DescribeDestinations

logs:DescribeDestinations

Exigé pour afficher toutes les destinations associées au compte.

DescribeExportTasks

logs:DescribeExportTasks

Exigé pour afficher toutes les tâches d'exportation associées au compte.

DescribeLogGroups

logs:DescribeLogGroups

Exigé pour afficher tous les groupes de journaux associés au compte.

DescribeLogStreams

logs:DescribeLogStreams

Exigé pour afficher tous les flux de journaux associés à un groupe de journaux.

DescribeMetricFilters

logs:DescribeMetricFilters

Exigé pour afficher toutes les métriques associées à un groupe de journaux.

DescribeQueryDefinitions

logs:DescribeQueryDefinitions

Obligatoire pour afficher la liste des définitions de requêtes enregistrées dans CloudWatch Logs Insights.

DescribeQueries

logs:DescribeQueries

Obligatoire pour afficher la liste des requêtes CloudWatch Logs Insights qui sont planifiées, en cours d'exécution ou qui ont récemment été exécutées.

DescribeResourcePolicies

logs:DescribeResourcePolicies

Obligatoire pour afficher la liste des politiques de ressource CloudWatch Logs.

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

Exigé pour afficher tous les filtres d'abonnement associés à un groupe de journaux.

FilterLogEvents

logs:FilterLogEvents

Exigé pour trier les événements du journal par modèle de filtres de groupes de journaux.

GetLogEvents

logs:GetLogEvents

Exigé pour récupérer les événements du journal à partir d'un flux de journaux.

GetLogGroupFields

logs:GetLogGroupFields

Obligatoire pour récupérer la liste des champs qui sont inclus dans les événements du journal d'un groupe de journaux.

GetLogRecord

logs:GetLogRecord

Obligatoire pour récupérer des informations à partir d'un seul événement du journal.

GetQueryResults

logs:GetQueryResults

Obligatoire pour récupérer les résultats des requêtes CloudWatch Logs Insights.

ListTagsLogGroup

logs:ListTagsLogGroup

Exigé pour afficher toutes les étiquettes associées à un groupe de journaux.

PutDestination

logs:PutDestination

Exigé pour créer ou mettre à jour un flux de journaux de destination (comme un flux Kinesis).

PutDestinationPolicy

logs:PutDestinationPolicy

Exigé pour créer ou mettre à jour une politique d'accès associée à une destination de journal existante.

PutLogEvents

logs:PutLogEvents

Exigé pour charger un lot d'événements du journal dans un flux de journaux.

PutMetricFilter

logs:PutMetricFilter

Exigé pour créer ou mettre à jour un filtre de métrique et l'associer à un groupe de journaux.

PutQueryDefinition

logs:PutQueryDefinition

Obligatoire pour enregistrer une requête dans CloudWatch Logs Insights.

PutResourcePolicy

logs:PutResourcePolicy

Obligatoire pour créer une politique de ressource CloudWatch Logs.

PutRetentionPolicy

logs:PutRetentionPolicy

Exigé pour définir le nombre de jours de conservation des événements du journal (rétention) dans un groupe de journaux.

PutSubscriptionFilter

logs:PutSubscriptionFilter

Exigé pour créer ou mettre à jour un filtre d'abonnement et l'associer à un groupe de journaux.

StartQuery

logs:StartQuery

Obligatoire pour démarrer les requêtes CloudWatch Logs Insights.

StopQuery

logs:StopQuery

Obligatoire pour arrêter une requête CloudWatch Logs Insights en cours.

TagLogGroup

logs:TagLogGroup

Exigé pour ajouter ou mettre à jour des étiquettes de groupe de journaux.

TestMetricFilter

logs:TestMetricFilter

Exigé pour tester un modèle de filtre par rapport à un échantillonnage de messages d'événements du journal.