Sumber daya dan operasi Memahami kepemilikan sumber daya Mengelola akses ke sumber daya Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab Menetapkan ketentuan dalam kebijakan

Ikhtisar mengelola izin akses ke sumber daya CloudWatch Log

Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti petunjuk dalam Buat set izin dalam Panduan PenggunaAWS IAM Identity Center .
Pengguna yang dikelola di IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
Pengguna IAM:
- Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
- (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

Topik

CloudWatch Log sumber daya dan operasi
Memahami kepemilikan sumber daya
Mengelola akses ke sumber daya
Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab
Menetapkan ketentuan dalam kebijakan

CloudWatch Log sumber daya dan operasi

Di CloudWatch Log, sumber daya utama adalah grup log, aliran log, dan tujuan. CloudWatch Log tidak mendukung subsumber daya (sumber daya lain untuk digunakan dengan sumber daya utama).

Sumber daya dan sub-sumber daya ini memiliki nama Amazon Resource Name (ARN) yang unik seperti yang ditunjukkan pada tabel berikut.

Jenis sumber daya Format ARN

Jenis sumber daya	Format ARN
Grup log	Kedua hal berikut ini digunakan. Yang kedua, dengan `` di akhir, adalah apa yang dikembalikan oleh perintah `describe-log-groups` CLI dan API. DescribeLogGroups* arn:aws:logs:`region`:`account-id`:log-group:`log_group_name` `arn:aws:logs: wilayah: account-id:log-group: log_group_name: *`
Pengaliran log	`arn:aws:logs: wilayah: account-id:log-group: log_group_name:log-stream: log-stream-name`
Tujuan	arn:aws:logs:`region`:`account-id`:destination:`destination_name`

Grup log

Kedua hal berikut ini digunakan. Yang kedua, dengan * di akhir, adalah apa yang dikembalikan oleh perintah describe-log-groups CLI dan API. DescribeLogGroups

arn:aws:logs:region:account-id:log-group:log_group_name

arn:aws:logs: wilayah: account-id:log-group: log_group_name: *

Pengaliran log

arn:aws:logs: wilayah: account-id:log-group: log_group_name:log-stream: log-stream-name

Tujuan

arn:aws:logs:region:account-id:destination:destination_name

Untuk informasi selengkapnya tentang ARN, lihat ARN dalam Panduan Pengguna IAM. Untuk informasi tentang ARN CloudWatch Log, lihat Nama Sumber Daya Amazon (ARN) di. Referensi Umum Amazon Web Services Untuk contoh kebijakan yang mencakup CloudWatch Log, lihatMenggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch .

CloudWatch Log menyediakan serangkaian operasi untuk bekerja dengan sumber daya CloudWatch Log. Untuk daftar operasi yang tersedia, lihat CloudWatch Referensi izin log.

Memahami kepemilikan sumber daya

AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun entitas utama (yaitu, akun root, pengguna, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:

Jika Anda menggunakan kredensyal akun root AWS akun Anda untuk membuat grup log, AWS akun Anda adalah pemilik sumber daya CloudWatch Log.
Jika Anda membuat pengguna di AWS akun Anda dan memberikan izin untuk membuat sumber daya CloudWatch Log kepada pengguna tersebut, pengguna dapat membuat sumber daya CloudWatch Log. Namun, AWS akun Anda, yang menjadi milik pengguna, memiliki sumber daya CloudWatch Log.
Jika Anda membuat peran IAM di AWS akun Anda dengan izin untuk membuat sumber daya CloudWatch Log, siapa pun yang dapat mengambil peran tersebut dapat membuat sumber daya CloudWatch Log. AWS Akun Anda, yang menjadi milik peran tersebut, memiliki sumber daya CloudWatch Log.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks Log. CloudWatch Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM dalam Panduan Pengguna IAM.

Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM) dan kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. CloudWatch Log mendukung kebijakan berbasis identitas, dan kebijakan berbasis sumber daya untuk tujuan, yang digunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat Berbagi data log lintas akun dengan langganan.

Izin grup log dan Wawasan Kontributor

Contributor Insights adalah fitur CloudWatch yang memungkinkan Anda menganalisis data dari grup log dan membuat deret waktu yang menampilkan data kontributor. Anda dapat melihat metrik tentang kontributor N teratas, total kontributor unik, dan penggunaannya. Untuk informasi selengkapnya, lihat Menggunakan Wawasan Kontributor untuk Menganalisis Data Berkardinalitas Tinggi.

Saat Anda memberikan izin cloudwatch:PutInsightRule dan cloudwatch:GetInsightRuleReport izin kepada pengguna, pengguna tersebut dapat membuat aturan yang mengevaluasi grup log apa pun di CloudWatch Log dan kemudian melihat hasilnya. Hasil dapat memuat data kontributor untuk grup log tersebut. Pastikan untuk memberikan izin ini hanya kepada pengguna yang harus dapat melihat data ini.

Kebijakan berbasis sumber daya

CloudWatch Log mendukung kebijakan berbasis sumber daya untuk tujuan, yang dapat Anda gunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat Langkah 1: Buat tujuan. Tujuan dapat dibuat menggunakan PutDestinationAPI, dan Anda dapat menambahkan kebijakan sumber daya ke tujuan menggunakan PutDestinationAPI. Contoh berikut memungkinkan AWS akun lain dengan ID akun 111122223333 untuk berlangganan grup log mereka ke tujuan. arn:aws:logs:us-east-1:123456789012:destination:testDestination


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab

Untuk setiap sumber daya CloudWatch Log, layanan mendefinisikan satu set operasi API. Untuk memberikan izin untuk operasi API ini, CloudWatch Log mendefinisikan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa operasi API dapat memerlukan izin untuk lebih dari satu tindakan untuk melakukan operasi API. Untuk informasi selengkapnya tentang sumber daya dan operasi API, lihat CloudWatch Log sumber daya dan operasi dan CloudWatch Referensi izin log.

Berikut ini adalah elemen-elemen kebijakan dasar:

Sumber daya – Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat CloudWatch Log sumber daya dan operasi.
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin logs.DescribeLogGroups memungkinkan pengguna untuk melakukan DescribeLogGroups operasi.
Pengaruh – Anda menetapkan pengaruh, baik memperbolehkan atau menolak, ketika pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.
Principal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). CloudWatch Log mendukung kebijakan berbasis sumber daya untuk tujuan.

Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAMAWS dalam Panduan Pengguna IAM.

Untuk tabel yang menampilkan semua tindakan API CloudWatch Log dan sumber daya yang diterapkan, lihatCloudWatch Referensi izin log.

Menetapkan ketentuan dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan syarat ketika kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi dalam Panduan Pengguna IAM.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Untuk daftar kunci konteks yang didukung oleh setiap AWS layanan dan daftar kunci kebijakan AWS-wide, lihat Kunci tindakan, sumber daya, dan kondisi untuk AWS layanan dan kunci konteks kondisiAWS global.

catatan

Anda dapat menggunakan tag untuk mengontrol akses ke sumber CloudWatch Log, termasuk grup log dan tujuan. Akses ke aliran log dikontrol pada tingkat grup log, karena hubungan hierarkis antara grup log dan aliran log. Untuk informasi selengkapnya tentang penggunaan tanda untuk mengendalikan akses, lihat Mengendalikan akses ke sumber daya Amazon Web Services menggunakan tanda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pengelolaan identitas dan akses

Menggunakan kebijakan berbasis identitas (kebijakan IAM)