Menu
Logs do Amazon CloudWatch
Guia do usuário

Visão geral do gerenciamento de permissões para seus recursos do CloudWatch Logs

Cada recurso da AWS é de propriedade de uma conta da AWS e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções), e alguns serviços (como AWS Lambda) também dão suporte à anexação de políticas de permissões a recursos.

nota

Um administrador da conta (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte Melhores práticas do IAM no Guia do usuário do IAM.

Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações específicas que deseja permitir nesses recursos.

Recursos e operações do CloudWatch Logs

No CloudWatch Logs os principais recursos são grupos de logs, streams de log e destinos. O CloudWatch Logs não oferece suporte a sub-recursos (outros recursos para uso com o recurso principal).

Esses recursos e sub-recursos têm Nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.

Tipo de recurso Formato de Nome de região da Amazon (ARN)

Grupo de logs

arn:aws:logs:region:account-id:log-group:log_group_name

Stream de log

arn:aws:logs:region:account-id:log-group:log_group_name:log-stream:log-stream-name

Destino

arn:aws:logs:region:account-id:destination:destination_name

Para obter mais informações sobre ARNs, consulte ARNs no Guia do usuário do IAM. Para obter mais informações sobre ARNs do CloudWatch Logs, consulte Nomes de recursos da Amazon (ARNs) e Namespaces de serviços da AWS no Referência geral do Amazon Web Services. Para obter um exemplo de uma política que abranja o CloudWatch Logs, consulte Como usar políticas com base em identidade (políticas IAM) para CloudWatch Logs.

O CloudWatch Logs fornece um conjunto de operações para trabalhar com recursos do CloudWatch Logs. Para ver uma lista das operações disponíveis, consulte Referência de permissões do CloudWatch Logs.

Entender a propriedade de recursos

A conta da AWS tem os recursos criados na conta, independentemente de quem os criou. Mais especificamente, o proprietário do recurso é a conta da AWS da entidade principal (ou seja, a conta-raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação de recursos. Os exemplos a seguir ilustram como isso funciona:

  • Se você usar as credenciais da conta-raiz da sua conta da AWS para criar um grupo de logs, sua conta da AWS será a proprietária do recurso do CloudWatch Logs.

  • Se você criar um usuário do IAM na sua conta da AWS e conceder permissões para criar recursos do CloudWatch Logs para esse usuário, o usuário poderá criar recursos do CloudWatch Logs. No entanto, sua conta da AWS à qual o usuário pertence é proprietária dos recursos do CloudWatch Logs.

  • Se você criar uma função do IAM na sua conta da AWS com permissões para criar recursos do CloudWatch Logs, qualquer pessoa que puder assumir a função poderá criar recursos do CloudWatch Logs. Sua conta da AWS à qual pertence a função é proprietária dos recursos do CloudWatch Logs.

Gerenciar o acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção aborda como usar o IAM no contexto de CloudWatch Logs. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM consulte O que é IAM? no Guia do usuário do IAM. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte Referência de política do IAM no Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas com base em identidade (políticas do IAM) e as políticas anexadas a um recurso são conhecidas como políticas com base em recurso. O CloudWatch Logs é compatível com políticas baseadas em identidades e políticas com base em recursos para destinos, que são usadas para ativar assinaturas entre contas. Para obter mais informações, consulte Compartilhamento de dados de log entre contas com assinaturas.

Políticas com base em identidade (políticas do IAM)

Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

  • Associar uma política de permissões a um usuário ou um grupo na sua conta – para conceder a um usuário permissões para visualizar logs no console do CloudWatch Logs, você pode associar uma política de permissões a um usuário ou a um grupo a que o usuário pertence.

  • Associar uma política de permissões a uma função (conceder permissões entre contas) – Você pode associar uma política de permissões baseada em identidade a uma função do IAM para conceder permissões entre contas. Por exemplo, o administrador na Conta A pode criar uma função para conceder permissões entre contas a outra conta da AWS (por exemplo, Conta B) ou um serviço da AWS da seguinte forma:

    1. Um administrador da Conta A cria uma função do IAM e associa uma política de permissões à função que concede permissões em recursos da Conta A.

    2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a principal, que pode assumir a função.

    3. O administrador da Conta B poderá delegar permissões para assumir a função para todos os usuários na Conta B. Isso permite que os usuários na Conta B criem ou acessem os recursos na Conta A. O principal na política de confiança também poderá ser um serviço da AWS principal se você quiser conceder a um serviço da AWS permissões para assumir a função.

    Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento do acesso no Guia do usuário do IAM.

Veja a seguir um exemplo de política que concede permissões para as ações logs:PutLogEvents, logs:CreateLogGroupe logs:CreateLogStream em todos os recursos em us-east-1. Para grupos de logs, o CloudWatch Logs oferece suporte à identificação de recursos específicos usando ARNs de recursos (também chamados de permissões de recursos) para algumas das ações de API. Se você deseja incluir todos os grupos de log, especifique o caractere curinga (*).

{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "AWS":"234567890123" }, "Action":[ "logs:PutLogEvents", "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource":"arn:aws:logs:us-east-1:*:*" } ] }

Para obter mais informações sobre políticas baseadas em identidade com o CloudWatch Logs, consulte Como usar políticas com base em identidade (políticas IAM) para CloudWatch Logs. Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Políticas com base em recurso

O CloudWatch Logs é compatível com políticas baseadas em recursos para destinos, que você pode usar para ativar assinaturas entre contas. Para obter mais informações, consulte Criar um destino. É possível criar destinos usando a API PutDestination, e você pode adicionar uma política de recursos ao destino usando a API PutDestination. O exemplo a seguir permite que outra conta da AWS com o ID da conta 111122223333 assine seus grupos de logs no destino arn:aws:logs:us-east-1:123456789012:destination:testDestination.

{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "", "Effect" : "Allow", "Principal" : { "AWS" : "111122223333" }, "Action" : "logs:PutSubscriptionFilter", "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination" } ] }

Especificação de elementos da política: ações, efeitos e principais

Para cada recurso do CloudWatch Logs, o serviço define um conjunto de operações de API. Para conceder permissões a essas operações de API, o CloudWatch Logs define um conjunto de ações que podem ser especificados em uma política. Algumas operações da API podem exigir permissões para mais de uma ação a fim de realizar a operação da API. Para obter mais informações sobre os recursos e operações da API, consulte Recursos e operações do CloudWatch Logs e Referência de permissões do CloudWatch Logs.

Estes são os elementos de política básicos:

  • Recurso – Você usa um ARN para identificar o recurso a que a política se aplica. Para obter mais informações, consulte Recursos e operações do CloudWatch Logs.

  • Ação — Você usa palavras-chave de ação para identificar as operações de recurso que deseja permitir ou negar. Por exemplo, a permissão logs.DescribeLogGroups permite que o usuário execute a operação DescribeLogGroups.

  • Efeito — Você especifica o efeito, permitir ou negar, quando o usuário solicita a ação específica. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, o que pode fazer para ter a certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal — Em políticas baseadas em identidade (políticas IAM), o usuário ao qual a política está anexada é o principal implícito. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (aplica-se somente a políticas baseadas em recursos). O CloudWatch Logs é compatível com políticas baseadas em recursos para destinos.

Para saber mais sobre a sintaxe da política do IAM e as descrições, consulte Referência de política do IAM da AWS em Guia do usuário do IAM.

Para ver uma tabela que exibe todas as ações de API do CloudWatch Logs e os recursos a que se aplicam, consulte Referência de permissões do CloudWatch Logs.

Especificação de condições em uma política

Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, convém que uma política só seja aplicada após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condição no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Para obter uma lista de chaves de contexto aceitas pelos serviços da AWS e uma lista de chaves de política gerais da AWS, consulte Ações de serviços e Chaves de contexto de condição da AWS e Chaves de contexto de condição do IAM e globais no Guia do usuário do IAM.