Ressourcen und Operationen Grundlegendes zum Eigentum an Ressourcen Verwaltung des Zugriffs auf -Ressourcen Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale Angeben von Bedingungen in einer Richtlinie

Überblick über die Verwaltung der Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
IAM-Benutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Themen

CloudWatch Protokolliert Ressourcen und Operationen
Grundlegendes zum Eigentum an Ressourcen
Verwaltung des Zugriffs auf -Ressourcen
Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Angeben von Bedingungen in einer Richtlinie

CloudWatch Protokolliert Ressourcen und Operationen

In CloudWatch Logs sind die Hauptressourcen Protokollgruppen, Log-Streams und Ziele. CloudWatch Logs unterstützt keine Unterressourcen (andere Ressourcen zur Verwendung mit der primären Ressource).

Diesen Ressourcen und Unterressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.

Ressourcentyp ARN-Format

Ressourcentyp	ARN-Format
Protokollgruppe	Die folgenden beiden werden verwendet. Die zweite, mit dem `:` am Ende, wird vom `describe-log-groups` CLI-Befehl und der DescribeLogGroupsAPI zurückgegeben. arn:aws:logs: ::log-group: `region` `account-id` `log_group_name` arn:aws:logs: `region` ::log-group`account-id`:: `log_group_name` Verwenden Sie die erste Version ohne das Ende in den folgenden Situationen: `:` In vielen `logGroupIdentifier` CloudWatch Logs APIs Fällen im Eingabefeld. Im `resourceArn` Feld beim Tagging APIs In IAM Richtlinien, wenn Berechtigungen für TagResource UntagResource, und ListTagsForResourceangegeben werden. Verwenden Sie die zweite Version mit dem Ende`:`, um bei der Angabe von Berechtigungen in IAM-Richtlinien für alle anderen API-Aktionen auf den ARN zu verweisen.
Protokoll-Stream	arn:aws:logs: ::log-group ::log-stream: `region` `account-id` `log_group_name` `log-stream-name`
Bestimmungsort	arn:aws:logs: `region` ::Ziel: `account-id` `destination_name`

Protokollgruppe

Die folgenden beiden werden verwendet. Die zweite, mit dem :* am Ende, wird vom describe-log-groups CLI-Befehl und der DescribeLogGroupsAPI zurückgegeben.

arn:aws:logs: ::log-group: region account-id log_group_name

arn:aws:logs: region ::log-groupaccount-id:: * log_group_name

Verwenden Sie die erste Version ohne das Ende in den folgenden Situationen: :*

In vielen logGroupIdentifier CloudWatch Logs APIs Fällen im Eingabefeld.
Im resourceArn Feld beim Tagging APIs
In IAM Richtlinien, wenn Berechtigungen für TagResource UntagResource, und ListTagsForResourceangegeben werden.

Verwenden Sie die zweite Version mit dem Ende:*, um bei der Angabe von Berechtigungen in IAM-Richtlinien für alle anderen API-Aktionen auf den ARN zu verweisen.

Protokoll-Stream

arn:aws:logs: ::log-group ::log-stream: region account-id log_group_name log-stream-name

Bestimmungsort

arn:aws:logs: region ::Ziel: account-id destination_name

Weitere Informationen ARNs zu finden Sie im IAM-Benutzerhandbuch. ARNs Informationen zu CloudWatch Protokollen ARNs finden Sie unter Amazon Resource Names (ARNs) unter Allgemeine Amazon Web Services-Referenz. Ein Beispiel für eine Richtlinie, die CloudWatch Logs abdeckt, finden Sie unterVerwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für Protokolle CloudWatch .

CloudWatch Logs bietet eine Reihe von Vorgängen für die Arbeit mit den CloudWatch Logs-Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter CloudWatch Referenz zu Protokollberechtigungen.

Grundlegendes zum Eigentum an Ressourcen

Das AWS Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer das AWS Konto der Prinzipalentität (d. h. das Root-Konto, ein Benutzer oder eine IAM-Rolle), das die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

Wenn Sie die Root-Kontoanmeldeinformationen Ihres AWS Kontos verwenden, um eine Protokollgruppe zu erstellen, ist Ihr AWS Konto der Eigentümer der CloudWatch Logs-Ressource.
Wenn Sie in Ihrem AWS Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen von CloudWatch Logs-Ressourcen gewähren, kann der Benutzer CloudWatch Logs-Ressourcen erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die CloudWatch Logs-Ressourcen.
Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von CloudWatch Logs-Ressourcen erstellen, kann jeder, der diese Rolle übernehmen kann, CloudWatch Logs-Ressourcen erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die CloudWatch Logs-Ressourcen.

Verwaltung des Zugriffs auf -Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung von IAM im Kontext von CloudWatch Protokollen beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Richtlinien, die mit einer IAM-Identität verknüpft sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, und Richtlinien, die einer Ressource zugeordnet sind, werden als ressourcenbasierte Richtlinien bezeichnet. CloudWatch Logs unterstützt identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien für Ziele, die verwendet werden, um kontoübergreifende Abonnements zu ermöglichen. Weitere Informationen finden Sie unter Kontoübergreifende, regionsübergreifende Abonnements.

Themen

Protokollgruppen-Berechtigungen und Contributor Insights
Ressourcenbasierte Richtlinien

Protokollgruppen-Berechtigungen und Contributor Insights

Contributor Insights ist eine Funktion von CloudWatch , mit der Sie Daten aus Protokollgruppen analysieren und Zeitreihen erstellen können, in denen Daten von Mitwirkenden angezeigt werden. Sie können Metriken über die Top-N-Contributors, die Gesamtzahl der eindeutigen Contributors und deren Nutzung anzeigen. Weitere Informationen finden Sie unter Verwenden von Contributor Insights zum Analysieren von Daten mit hoher Kardinalität.

Wenn Sie einem Benutzer die cloudwatch:GetInsightRuleReport Berechtigungen cloudwatch:PutInsightRule und gewähren, kann dieser Benutzer eine Regel erstellen, die jede Protokollgruppe in CloudWatch Logs auswertet und dann die Ergebnisse anzeigt. Die Ergebnisse können Contributor-Daten für diese Protokollgruppen enthalten. Gewähren Sie diese Berechtigungen nur Benutzern, die diese Daten anzeigen können sollten.

Ressourcenbasierte Richtlinien

CloudWatch Logs unterstützt ressourcenbasierte Richtlinien für Ziele, mit denen Sie kontoübergreifende Abonnements aktivieren können. Weitere Informationen finden Sie unter Schritt 1: Erstellen eines Ziels. Ziele können mithilfe der PutDestinationAPI erstellt werden, und Sie können dem Ziel mithilfe der PutDestinationPolicyAPI eine Ressourcenrichtlinie hinzufügen. Beim folgenden Beispiel wird es einem anderen AWS -Konto mit der Konto-ID 111122223333 ermöglicht, dass seine Protokollgruppen das Ziel arn:aws:logs:us-east-1:123456789012:destination:testDestination abonnieren.


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale

Für jede CloudWatch Logs-Ressource definiert der Dienst eine Reihe von API-Vorgängen. Um Berechtigungen für diese API-Operationen zu gewähren, definiert CloudWatch Logs eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Einige API-Operationen erfordern möglicherweise Berechtigungen für mehr als eine Aktion, um die API-Operation auszuführen. Weitere Informationen zu Ressourcen und API-Operationen finden Sie unter CloudWatch Protokolliert Ressourcen und Operationen und CloudWatch Referenz zu Protokollberechtigungen.

Grundlegende Richtlinienelemente:

Ressource – Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter CloudWatch Protokolliert Ressourcen und Operationen.
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die logs.DescribeLogGroups-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der DescribeLogGroups-Operation.
Effekt – Die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer die jeweilige Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). CloudWatch Logs unterstützt ressourcenbasierte Richtlinien für Ziele.

Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der AWS -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Eine Tabelle mit allen CloudWatch Logs-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter. CloudWatch Referenz zu Protokollberechtigungen

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Eine Liste der von den einzelnen AWS Diensten unterstützten Kontextschlüssel und eine Liste der allgemeinen AWS Richtlinienschlüssel finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste und AWS globale Bedingungskontextschlüssel.

Anmerkung

Sie können Tags verwenden, um den Zugriff auf CloudWatch Logs-Ressourcen, einschließlich Protokollgruppen und -ziele, zu kontrollieren. Der Zugriff auf Protokollstreams wird aufgrund der hierarchischen Beziehung zwischen Protokollgruppen und Protokollstreams auf der Ebene der Protokollgruppen gesteuert. Informationen über die Verwendung von Tags zum Steuern des Zugriffs finden Sie unter Steuern des Zugriffs auf Amazon-Web-Services-Ressourcen mithilfe von Tags.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien)