Ações Tipos de recursos Chaves de condição

Ações, recursos e chaves de condição para Amazon CloudWatch Logs

O Amazon CloudWatch Logs (prefixo do serviço:logs) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.

Referências:

Saiba como configurar este serviço.
Visualize uma lista das operações de API disponíveis para este serviço.
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.

Tópicos

Ações definidas pelo Amazon CloudWatch Logs
Tipos de recursos definidos pelo Amazon CloudWatch Logs
Chaves de condição para Amazon CloudWatch Logs

Ações definidas pelo Amazon CloudWatch Logs

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações	Descrição	Nível de acesso	Tipos de recursos (*necessários)	Chaves de condição	Ações dependentes
AssociateKmsKey	Concede permissão para associar a AWS chave mestra de cliente (CMK) do Serviço de Gerenciamento de Chaves (AWS KMS) especificada ao grupo de registros especificado	Escrever	log-group*
CancelExportTask	Concede permissão para cancelar uma tarefa de exportação se ela estiver no estado PENDING (PENDENTE) ou RUNNING (EM EXECUÇÃO)	Escrever
CreateDelivery	Concede permissão para criar uma entrega conectando uma fonte de entrega a um destino de entrega	Escrever	delivery*
			delivery-destination*
			delivery-source*
				aws:TagKeys aws:RequestTag/${TagKey}
CreateExportTask	Concede permissão para criar um ExportTask que permite exportar com eficiência dados de um grupo de registros para o seu bucket do Amazon S3	Escrever	log-group*
CreateLogAnomalyDetector	Concede permissão para criar um detector de anomalias de logs	Escrever	log-group*
CreateLogAnomalyDetector		Escrever		aws:TagKeys aws:RequestTag/${TagKey}
CreateLogDelivery [somente permissão]	Concede permissão para criar a entrega de logs	Escrever
CreateLogGroup	Concede permissão para criar um novo grupo de logs com o nome especificado	Escrever	log-group*
CreateLogGroup		Escrever		aws:TagKeys aws:RequestTag/${TagKey}
CreateLogStream	Concede permissões para criar um novo fluxo de logs com o nome especificado	Escrever	log-stream*
DeleteAccountPolicy	Concede permissão para excluir uma política de conta	Escrever
DeleteDataProtectionPolicy	Concede permissão para excluir uma política de proteção de dados anexada a um grupo de logs	Escrever	log-group*
DeleteDelivery	Concede permissão para excluir uma entrega	Escrever	delivery*
DeleteDeliveryDestination	Concede permissão para excluir um destino de entrega depois que todas as entregas associadas forem excluídas	Escrever	delivery-destination*
DeleteDeliveryDestinationPolicy	Concede permissão para excluir uma política de destino de entrega associada a um destino de entrega	Escrever	delivery-destination*
DeleteDeliverySource	Concede permissão para excluir uma origem de entrega depois que todas as entregas associadas forem excluídas	Escrever	delivery-destination*
DeleteDestination	Concede permissão para excluir o destino com o nome especificado	Escrever	destination*
DeleteIndexPolicy	Concede permissão para excluir uma política de índice anexada a um grupo de registros	Escrever
DeleteIntegration	Concede permissão para excluir a integração	Escrever
DeleteLogAnomalyDetector	Concede permissão para excluir um detector de anomalias de logs	Escrever	anomaly-detector*
DeleteLogDelivery [somente permissão]	Concede permissão para excluir as informações de entrega de log para a entrega de log especificada	Escrever
DeleteLogGroup	Concede permissão para excluir o grupo de logs com o nome especificado	Escrever	log-group*
DeleteLogStream	Concede permissão para excluir um fluxo de logs	Escrever	log-stream*
DeleteMetricFilter	Concede permissão para excluir um filtro de métricas associado ao grupo de logs especificado	Escrever	log-group*
DeleteQueryDefinition	Concede permissão para excluir uma definição de consulta salva do CloudWatch Logs Insights	Escrever
DeleteResourcePolicy	Concede permissão para excluir uma política de recursos desta conta	Gerenciamento de permissões
DeleteRetentionPolicy	Concede permissão para excluir a política de retenção do grupo de logs especificado	Escrever	log-group*
DeleteSubscriptionFilter	Concede permissão para excluir um filtro de assinaturas associado ao grupo de logs especificado	Escrever	log-group*
DeleteTransformer	Concede permissão para excluir um transformador associado ao grupo de registros especificado	Escrever	log-group*
DescribeAccountPolicies	Concede permissão para recuperar as políticas da conta	Lista
DescribeConfigurationTemplates	Concede permissão para recuperar uma lista de modelos de configuração dos tipos de log disponíveis	Lista
DescribeDeliveries	Concede permissão para recuperar uma lista de entregas em uma conta	Lista
DescribeDeliveryDestinations	Concede permissão para recuperar uma lista de destinos de entregas em uma conta	Lista
DescribeDeliverySources	Concede permissão para recuperar uma lista de origens de entregas em uma conta	Lista
DescribeDestinations	Concede permissão para retornar todos os destinos associados Conta da AWS à solicitação	Lista
DescribeExportTasks	Concede permissão para retornar todas as tarefas de exportação Conta da AWS associadas à solicitação	Lista
DescribeFieldIndexes	Concede permissão para retornar todos os atributos de indexação anexados aos grupos de registros	Lista
DescribeIndexPolicies	Concede permissão para retornar todas as políticas de índice que estão anexadas aos grupos de registros	Lista
DescribeLogGroups	Concede permissão para retornar todos os grupos de registros Conta da AWS associados à solicitação	Lista
DescribeLogStreams	Concede permissão para retornar todos os fluxos de logs associados ao grupo de logs especificado	Lista	log-group*
DescribeMetricFilters	Concede permissão para retornar todos os filtros de métricas associados ao grupo de logs especificado	Lista	log-group*
DescribeQueries	Concede permissão para retornar uma lista de consultas do CloudWatch Logs Insights que estão agendadas, em execução ou que foram executadas recentemente nesta conta	Lista
DescribeQueryDefinitions	Concede permissão para retornar uma lista paginada de suas definições de consulta salvas do CloudWatch Logs Insights	Lista
DescribeResourcePolicies	Concede permissão para retornar todas as políticas de recursos nesta conta	Lista
DescribeSubscriptionFilters	Concede permissão para retornar todos os filtros de assinaturas associados ao grupo de logs especificado	Lista	log-group*
DisassociateKmsKey	Concede permissão para desassociar a AWS chave mestra de cliente (CMK) do Key Management Service (AWS KMS) associada do grupo de registros especificado	Escrever	log-group*
FilterLogEvents	Concede permissão para recuperar os eventos de logs, opcionalmente filtrados por um padrão de filtro do grupo de logs especificado	Leitura	log-group*
GetDataProtectionPolicy	Concede permissão para recuperar uma política de proteção de dados anexada a um grupo de logs	Leitura	log-group*
GetDelivery	Concede permissão para recuperar uma única entrega	Leitura	delivery*
GetDeliveryDestination	Concede permissão para recuperar um único destino de entrega	Leitura	delivery-destination*
GetDeliveryDestinationPolicy	Concede permissão para recuperar uma política de destino de entrega anexada a um destino de entrega	Leitura	delivery-destination*
GetDeliverySource	Concede permissão para recuperar a origem de uma única entrega	Leitura	delivery-source*
GetIntegration	Concede permissão para recuperar uma única integração	Leitura
GetLogAnomalyDetector	Concede permissão para obter um detector de anomalias de logs	Leitura	anomaly-detector*
GetLogDelivery [somente permissão]	Concede permissão para obter as informações de entrega de log para a entrega de log especificada	Leitura
GetLogEvents	Concede permissão para recuperar os eventos de logs do fluxo de logs especificado	Leitura	log-stream*
GetLogGroupFields	Concede permissão para retornar uma lista dos campos que estão incluídos em eventos de logs no grupo de logs especificado, junto com a porcentagem de eventos de logs que contêm cada campo	Leitura	log-group*
GetLogRecord	Concede permissão para recuperar todos os campos e valores de um único evento de logs	Leitura	log-group*
GetQueryResults	Concede permissão para retornar os resultados da consulta especificada	Leitura	log-group*
GetTransformer	Concede permissão para retornar o transformador associado ao grupo de log especificado	Leitura	log-group*
Link [somente permissão]	Concede permissão para compartilhar CloudWatch recursos com uma conta de monitoramento	Escrever
ListAnomalies	Concede permissão para listar todas as anomalias detectadas ao Conta da AWS fazer a solicitação	Lista	anomaly-detector
ListEntitiesForLogGroup [somente permissão]	Concede permissão para recuperar todas as entidades associadas ao grupo de registros	Lista
ListIntegrations	Concede permissão para listar todas as integrações associadas Conta da AWS à solicitação	Lista
ListLogAnomalyDetectors	Concede permissão para retornar todos os detectores de anomalias associados à Conta da AWS solicitação	Lista	anomaly-detector
ListLogDeliveries [somente permissão]	Concede permissão para listar todas as entregas de log para a conta especificada e/ou origem de log	Lista
ListLogGroupsForEntity [somente permissão]	Concede permissão para recuperar todos os grupos de registros associados à entidade	Lista
ListLogGroupsForQuery	Concede permissão para retornar todos os grupos de registros associados à consulta especificada	Lista
ListTagsForResource	Concede permissão para listar as etiquetas para o recurso especificado	Lista	anomaly-detector
			delivery
			delivery-destination
			delivery-source
			destination
			log-group
ListTagsLogGroup	Concede permissão para listar as etiquetas para o grupo de logs especificado	Lista	log-group*
PutAccountPolicy	Concede permissão para anexar uma política de conta	Escrever
PutDataProtectionPolicy	Concede permissão para anexar uma política de proteção de dados para detectar e editar informações confidenciais de eventos de logs	Escrever	log-group*
PutDeliveryDestination	Concede permissão para criar/atualizar um destino de entrega	Escrever	delivery-destination*
PutDeliveryDestination		Escrever		aws:TagKeys aws:RequestTag/${TagKey} logs:DeliveryDestinationResourceArn
PutDeliveryDestinationPolicy	Concede permissão para anexar uma política de destino de entrega a um destino de entrega	Escrever	delivery-destination*
PutDeliverySource	Concede permissão para criar/atualizar a origem de uma entrega	Escrever	delivery-source*
PutDeliverySource		Escrever		aws:TagKeys aws:RequestTag/${TagKey} logs:LogGeneratingResourceArns
PutDestination	Concede permissão para criar ou atualizar um destino	Escrever	destination*		iam:PassRole
PutDestination	Concede permissão para criar ou atualizar um destino	Escrever		aws:TagKeys aws:RequestTag/${TagKey}
PutDestinationPolicy	Concede permissão para criar ou atualizar uma política de acesso associada a um destino existente	Escrever	destination*
PutIndexPolicy	Concede permissão para anexar uma política de índice no nível do grupo de registros para otimizar a pesquisa e a consulta	Escrever
PutIntegration	Concede permissão para criar integração entre o cloudwatch logs e o opensearch	Escrever
PutLogEvents	Concede permissão para fazer upload de lotes de eventos de logs no fluxo de logs especificado	Escrever	log-stream*
PutMetricFilter	Concede permissão para criar ou atualizar um filtro de métricas e associá-lo ao grupo de logs especificado	Escrever	log-group*
PutQueryDefinition	Concede permissão para criar ou atualizar uma definição de consulta	Escrever
PutResourcePolicy	Concede permissão para criar ou atualizar uma política de recursos, permitindo que outros AWS serviços coloquem eventos de log nessa conta	Gerenciamento de permissões
PutRetentionPolicy	Concede permissão para definir a retenção do grupo de logs especificado	Escrever	log-group*
PutSubscriptionFilter	Concede permissão para criar ou atualizar um filtro de assinaturas e associá-o ao grupo de logs especificado	Escrever	log-group*		iam:PassRole
PutSubscriptionFilter		Escrever	destination
PutTransformer	Concede permissão para criar ou atualizar um transformador e o associa ao grupo de registros especificado	Escrever	log-group*
StartLiveTail	Concede permissão para iniciar uma sessão do Live Tail no CloudWatch Logs	Leitura	log-group*
StartQuery	Concede permissão para agendar uma consulta de um grupo de CloudWatch registros usando o Logs Insights	Leitura	log-group*
StopLiveTail [somente permissão]	Concede permissão para interromper uma sessão Live Tail em andamento	Leitura
StopQuery	Concede permissão para interromper uma consulta do CloudWatch Logs Insights que está em andamento	Leitura
TagLogGroup	Concede permissão para adicionar ou atualizar as etiquetas especificadas para o grupo de logs especificado	Tags	log-group*
TagLogGroup		Tags		aws:TagKeys aws:RequestTag/${TagKey}
TagResource	Concede permissão para adicionar ou atualizar as etiquetas especificadas no recurso especificado	Tags	anomaly-detector
			delivery
			delivery-destination
			delivery-source
			destination
			log-group
				aws:TagKeys aws:RequestTag/${TagKey}
TestMetricFilter	Concede permissão para testar o padrão de filtro de um filtro de métricas em relação a um exemplo de mensagens de eventos de log	Leitura
TestTransformer	Concede permissão para testar o transformador em relação a uma amostra de mensagens de eventos de log	Leitura
Unmask [somente permissão]	Concede permissão para buscar eventos de logs não mascarados que foram editados com uma política de proteção de dados	Leitura	log-group*
UntagLogGroup	Concede permissão para remover as etiquetas especificadas do grupo de logs especificado	Tags	log-group*
UntagLogGroup		Tags		aws:TagKeys
UntagResource	Concede permissão para remover as etiquetas especificadas do recurso especificado	Tags	anomaly-detector
			delivery
			delivery-destination
			delivery-source
			destination
			log-group
				aws:TagKeys
UpdateAnomaly	Concede permissão para atualizar uma anomalia relatada por um detector de anomalias de logs	Escrever	anomaly-detector*
UpdateDeliveryConfiguration	Concede permissão para atualizar a configuração relacionada a uma entrega	Escrever	delivery*
			delivery-destination*
			delivery-source*
				aws:TagKeys aws:RequestTag/${TagKey}
UpdateLogAnomalyDetector	Concede permissão para atualizar um detector de anomalias de logs	Escrever	anomaly-detector*
UpdateLogDelivery [somente permissão]	Concede permissão para atualizar as informações de entrega de log para a entrega de log especificada	Escrever

Tipos de recursos definidos pelo Amazon CloudWatch Logs

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos	ARN	Chaves de condição
log-group	`arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}`	aws:ResourceTag/${TagKey}
log-stream	`arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}`	aws:ResourceTag/${TagKey}
destination	`arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}`	aws:ResourceTag/${TagKey}
delivery-source	`arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}`	aws:ResourceTag/${TagKey}
delivery	`arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}`	aws:ResourceTag/${TagKey}
delivery-destination	`arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}`	aws:ResourceTag/${TagKey}
anomaly-detector	`arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}`	aws:ResourceTag/${TagKey}

Chaves de condição para Amazon CloudWatch Logs

O Amazon CloudWatch Logs define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição	Descrição	Tipo
aws:RequestTag/${TagKey}	Filtra o acesso pelas etiquetas que são transmitidas na solicitação	Segmento
aws:ResourceTag/${TagKey}	Filtra o acesso pelas etiquetas associadas ao recurso	Segmento
aws:TagKeys	Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação	ArrayOfString
logs:DeliveryDestinationResourceArn	Filtra o acesso pelo ARN de destino do log que é transmitido na solicitação	ARN
logs:LogGeneratingResourceArns	Filtra o acesso pelo recurso gerador de log ARNs passado na solicitação	ArrayOfARN

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Monitor de CloudWatch Internet da Amazon

Monitor CloudWatch de rede Amazon