Gambaran Umum pengelolaan izin akses untuk sumber dayaCloudWatch Logs Anda - CloudWatch Log Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran Umum pengelolaan izin akses untuk sumber dayaCloudWatch Logs Anda

Setiap sumber daya AWS dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran), serta beberapa layanan (seperti AWS Lambda) juga mendukung kemampuan melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau pengguna IAM administrator) adalah pengguna dengan hak istimewa administrator. Untuk informasi selengkapnya, lihat Praktik terbaik IAM dalam Panduan Pengguna IAM.

Ketika memberikan izin, Anda memutuskan siap yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut.

CloudWatch Sumber daya dan operasi

Di CloudWatch Logs, sumber daya utama adalah grup log, pengaliran log, dan tujuan. CloudWatch Logs tidak mendukung subsumber daya (sumber daya lain untuk digunakan dengan sumber daya utama).

Sumber daya dan sub-sumber daya ini memiliki nama Amazon Resource Name (ARN) yang unik seperti yang ditunjukkan pada tabel berikut.

Jenis sumber daya Format ARN

Grup log

Kedua berikut ini digunakan. Yang kedua, dengan* pada akhirnya, adalah apa yang dikembalikan oleh perintahdescribe-log-groups CLI dan DescribeLogGroupsAPI.

arn:aws:logs:region:account-id:log-group:log_group_name

arn:aws:logs: wilayah: account-id: log-group: log_group_name: *

Pengaliran log

arn:aws:logs: wilayah: account-id: log-group: log_group_name:log-stream: log-stream-name

Tujuan

arn:aws:logs:region:account-id:destination:destination_name

Untuk informasi selengkapnya tentang ARN, lihat ARN dalam Panduan Pengguna IAM. Untuk informasi tentang ARN CloudWatch Logs, lihat Amazon Resource Names (ARN) di Referensi Umum Amazon Web Services. Untuk contoh kebijakan yang mencakupCloudWatch Log, lihatMenggunakan Kebijakan Berbasis Identitas (IAM Policy) untuk CloudWatch Logs.

CloudWatch Logs menyediakan serangkaian operasi untuk bekerja dengan sumber daya CloudWatch Logs. Untuk daftar operasi yang tersedia, lihat CloudWatch Referensi izin Logs.

Memahami kepemilikan sumber daya

Akun AWS memiliki sumber daya yang dibuat dalam akun, terlepas dari orang yang membuat sumber daya tersebut. Secara khusus, pemilik sumber daya adalah akun AWS dari entitas utama (yaitu, akun akar, pengguna IAM, atau IAM role) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan akar kredensi akun dariAWS akun untuk membuat grup log,AWS akun Anda adalah pemilik sumber daya CloudWatch Logs.

  • Jika Anda membuat pengguna IAM diAWS akun Anda dan memberikan izin untuk membuat sumber daya CloudWatch Logs untuk pengguna tersebut, pengguna tersebut dapat membuat sumber daya CloudWatch Logs. Namun,AWS akun Anda tempat pengguna berada, memiliki sumber daya CloudWatch Logs.

  • Jika Anda membuat IAM role diAWS akun Anda dengan izin untuk membuat sumber daya CloudWatch Logs, siapa pun yang dapat mengambil peran tersebut dapat membuat sumber daya CloudWatch Logs. AWSAkun Anda, tempat peran berada, memiliki sumber daya CloudWatch Logs.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan orang yang memiliki akses ke objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks CloudWatch Logs. Bagian ini tidak memberikan informasi detail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM dalam Panduan Pengguna IAM.

Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM) dan kebijakan yang terlampir pada sumber daya disebut sebagai kebijakan berbasis sumber daya. CloudWatch Log mendukung kebijakan berbasis identitas, dan kebijakan berbasis sumber daya untuk tujuan, yang digunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat Berbagi data log lintas akun dengan langganan.

Izin grup log dan Wawasan Kontributor

Wawasan Kontributor adalah fitur CloudWatch yang memungkinkan Anda menganalisis data dari grup log dan membuat deret waktu yang menampilkan data kontributor. Anda dapat melihat metrik tentang kontributor N teratas, total kontributor unik, dan penggunaannya. Untuk informasi selengkapnya, lihat Menggunakan Wawasan Kontributor untuk Menganalisis Data Berkardinalitas Tinggi.

Saat Anda memberikan izin kepada penggunacloudwatch:PutInsightRule dancloudwatch:GetInsightRuleReport izin, pengguna tersebut dapat membuat aturan yang mengevaluasi setiap grup CloudWatch log di Logs dan melihat hasilnya. Hasil dapat memuat data kontributor untuk grup log tersebut. Pastikan untuk memberikan izin ini hanya kepada pengguna yang harus dapat melihat data ini.

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup dalam akun Anda — Untuk memberikan izin kepada pengguna guna melihat log di konsol CloudWatch Logs, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut.

  • Lampirkan kebijakan izin untuk peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM role untuk memberikan izin lintas akun. Misalnya, administrator di Akun A dapat membuat peran untuk memberikan izin lintas akun ke akun AWS lain (misalnya, Akun B) atau layanan AWS sebagai berikut:

    1. Administrator akun A membuat IAM role dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di akun A.

    2. Administrator akun A melampirkan kebijakan kepercayaan peran yang mengidentifikasi Akun B sebagai penanggung jawab yang dapat mengambil peran tersebut.

    3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada pengguna mana pun di Akun B. Dengan melakukannya, pengguna di akun B dapat membuat atau mengakses sumber daya di Akun A. Utama dalam kebijakan kepercayaan juga dapat menjadi penanggung jawab layanan AWS jika Anda ingin memberikan izin layanan AWS untuk mengambil peran tersebut.

    Untuk informasi selengkapnya tentang menggunakan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Berikut adalah contoh kebijakan yang memberikan izin untuk tindakan logs:PutLogEvents, logs:CreateLogGroup, dan logs:CreateLogStream di semua sumber daya di us-east-1. Untuk grup CloudWatch log, Logs mendukung identifikasi sumber daya tertentu menggunakan ARN sumber daya (juga disebut sebagai izin tingkat sumber daya) untuk beberapa tindakan API. Jika Anda ingin menyertakan semua grup log, Anda harus menentukan karakter wildcard (*).

{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Action":[ "logs:PutLogEvents", "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource":"arn:aws:logs:us-east-1:*:*" } ] }

Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan CloudWatch Logs, lihatMenggunakan Kebijakan Berbasis Identitas (IAM Policy) untuk CloudWatch Logs. Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) dalam Panduan Pengguna IAM.

Kebijakan berbasis sumber daya

CloudWatch Logs mendukung kebijakan berbasis sumber daya untuk tujuan, yang dapat Anda gunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat Buat Tujuan. Tujuan dapat dibuat menggunakan PutDestinationAPI, dan Anda dapat menambahkan kebijakan sumber daya ke tujuan menggunakan PutDestinationAPI. Contoh berikut mengizinkan akun lain dengan ID akun AWS 111122223333 untuk melanggankan grup lognya ke tujuan arn:aws:logs:us-east-1:123456789012:destination:testDestination.

{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : { "AWS" : "111122223333" }, "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination" } ] }

Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab

Untuk setiap sumber daya CloudWatch Logs, layanan menentukan serangkaian operasi API. Untuk memberikan izin bagi operasi API ini, CloudWatch Logs menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa operasi API dapat memerlukan izin untuk lebih dari satu tindakan untuk melakukan operasi API. Untuk informasi selengkapnya tentang sumber daya dan operasi API, lihat CloudWatch Sumber daya dan operasi dan CloudWatch Referensi izin Logs.

Berikut ini adalah elemen-elemen kebijakan dasar:

  • Sumber daya – Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat CloudWatch Sumber daya dan operasi.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin logs.DescribeLogGroups memungkinkan pengguna untuk melakukan DescribeLogGroups operasi.

  • Pengaruh – Anda menetapkan pengaruh, baik memperbolehkan atau menolak, ketika pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.

  • Principal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin diterima izinnya (hanya berlaku untuk kebijakan berbasis sumber daya). CloudWatch Logs mendukung kebijakan berbasis sumber daya untuk tujuan.

Untuk mempelajari selengkapnya tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Untuk tabel yang menampilkan semua tindakan API CloudWatch Logs dan sumber daya yang diterapkan, lihatCloudWatch Referensi izin Logs.

Menetapkan ketentuan dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan syarat ketika kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan syarat dalam bahasa kebijakan, lihat Syarat dalam Panduan Pengguna IAM.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi yang telah ditentukan sebelumnya. Untuk daftar kunci konteks yang didukung oleh setiap layanan AWS dan daftar kunci kebijakan di seluruh AWS, lihat Tindakan, sumber daya, dan kunci syarat untuk layanan AWS dan Kunci konteks syarat global AWS.

catatan

Anda dapat menggunakan tanda untuk mengontrol akses ke sumber daya CloudWatch Logs, termasuk grup log dan tujuan. Akses ke aliran log dikendalikan pada tingkat grup log, karena hubungan hirarkis antara grup log dan aliran log. Untuk informasi selengkapnya tentang penggunaan tanda untuk mengendalikan akses, lihat Mengendalikan akses ke sumber daya Amazon Web Services menggunakan tanda.