Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon CloudWatch Logs
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für gelten WorkSpaces, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon CloudWatch Logs anwenden können. Es zeigt Ihnen, wie Sie Amazon CloudWatch Logs konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer CloudWatch Logs-Ressourcen helfen.
**Topics**
+ [Datenschutz in Amazon CloudWatch Logs](data-protection.md)
+ [Identitäts- und Zugriffsmanagement für Amazon CloudWatch Logs](auth-and-access-control-cwl.md)
+ [Konformitätsprüfung für Amazon CloudWatch Logs](compliance-validation.md)
+ [Resilienz in Amazon CloudWatch Logs](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon CloudWatch Logs](infrastructure-security.md)
+ [Verwenden von CloudWatch Protokollen mit VPC-Endpunkten der Schnittstelle](cloudwatch-logs-and-interface-VPC.md)
# Datenschutz in Amazon CloudWatch Logs
**Anmerkung**
Zusätzlich zu den folgenden Informationen zum allgemeinen Datenschutz in AWS können Sie mit CloudWatch Logs auch sensible Daten in Protokollereignissen schützen, indem Sie sie maskieren. Weitere Informationen finden Sie unter [Den Schutz vertraulicher Protokolldaten mit Maskierung unterstützen](mask-sensitive-log-data.md).
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in Amazon CloudWatch Logs. Wie in diesem Modell beschrieben, AWS ist es verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit CloudWatch Logs oder auf andere Weise AWS-Services über die Konsole, API oder arbeiten. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Verschlüsselung im Ruhezustand
CloudWatch Logs schützt Daten im Ruhezustand mithilfe von Verschlüsselung. Alle Protokollgruppen sind verschlüsselt. Standardmäßig verwaltet der CloudWatch Logs-Dienst die serverseitige Verschlüsselung und verwendet serverseitige Verschlüsselung mit 256-Bit-AES-GCM (Advanced Encryption Standard Galois/Counter Mode), um Protokolldaten im Ruhezustand zu verschlüsseln.
Wenn Sie die Schlüssel verwalten möchten, die zum Verschlüsseln und Entschlüsseln Ihrer Protokolle verwendet werden, verwenden Sie Schlüssel. AWS KMS Weitere Informationen finden Sie unter [Verschlüsseln Sie Protokolldaten in CloudWatch Logs mit AWS Key Management Service](encrypt-log-data-kms.md).
## Verschlüsselung während der Übertragung
CloudWatch Logs verwendet die end-to-end Verschlüsselung von Daten während der Übertragung. Der CloudWatch Logs-Dienst verwaltet die serverseitigen Verschlüsselungsschlüssel.
# Identitäts- und Zugriffsmanagement für Amazon CloudWatch Logs
Für den Zugriff auf Amazon CloudWatch Logs sind Anmeldeinformationen erforderlich, mit denen Sie Ihre Anfragen authentifizieren AWS können. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen verfügen, z. B. zum Abrufen von CloudWatch Logs-Daten über Ihre Cloud-Ressourcen. In den folgenden Abschnitten finden Sie Einzelheiten dazu, wie Sie [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) und CloudWatch Logs verwenden können, um Ihre Ressourcen zu schützen, indem Sie kontrollieren, wer darauf zugreifen kann:
+ [Authentifizierung](#authentication-cwl)
+ [Zugriffskontrolle](#access-control-cwl)
## Authentifizierung
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Zugriffskontrolle
Sie können über gültige Anmeldeinformationen verfügen, um Ihre Anfragen zu authentifizieren, aber ohne die entsprechenden Berechtigungen können Sie keine CloudWatch Logs-Ressourcen erstellen oder darauf zugreifen. Sie müssen beispielsweise über Berechtigungen verfügen, um Protokoll-Streams, Protokollgruppen und so weiter zu erstellen.
In den folgenden Abschnitten wird beschrieben, wie Sie die Berechtigungen für CloudWatch Logs verwalten. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.
+ [Überblick über die Verwaltung der Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen](iam-access-control-overview-cwl.md)
+ [Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für Protokolle CloudWatch](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Referenz zu Protokollberechtigungen](permissions-reference-cwl.md)
# Überblick über die Verwaltung der Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
**Topics**
+ [CloudWatch Protokolliert Ressourcen und Operationen](#CWL_ARN_Format)
+ [Grundlegendes zum Eigentum an Ressourcen](#understanding-resource-ownership-cwl)
+ [Verwaltung des Zugriffs auf -Ressourcen](#managing-access-resources-cwl)
+ [Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale](#actions-effects-principals-cwl)
+ [Angeben von Bedingungen in einer Richtlinie](#policy-conditions-cwl)
## CloudWatch Protokolliert Ressourcen und Operationen
In CloudWatch Logs sind die Hauptressourcen Protokollgruppen, Log-Streams und Ziele. CloudWatch Logs unterstützt keine Unterressourcen (andere Ressourcen zur Verwendung mit der primären Ressource).
Diesen Ressourcen und Unterressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.
| Ressourcentyp | ARN-Format |
| --- | --- |
| Gruppe protokollieren | Die folgenden beiden werden verwendet. Die zweite, mit dem `:*` am Ende, wird vom `describe-log-groups` CLI-Befehl und der **DescribeLogGroups**API zurückgegeben. arn:aws:logs: ::log-group: *region* *account-id* *log\$1group\$1name* arn:aws:logs: *region* ::log-group*account-id*:: \$1 *log\$1group\$1name* Verwenden Sie die erste Version ohne das Ende in den folgenden Situationen: `:*` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) Verwenden Sie die zweite Version mit dem Ende`:*`, um bei der Angabe von Berechtigungen in IAM-Richtlinien für alle anderen API-Aktionen auf den ARN zu verweisen. |
| Protokoll-Stream | arn:aws:logs: ::log-group ::log-stream: *region* *account-id* *log\$1group\$1name* *log-stream-name* |
| Ziel | arn:aws:logs: *region* ::Ziel: *account-id* *destination\$1name* |
*Weitere Informationen ARNs zu finden Sie im IAM-Benutzerhandbuch. [ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)* Informationen zu CloudWatch Protokollen ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs) unter *Allgemeine Amazon Web Services-Referenz*. Ein Beispiel für eine Richtlinie, die CloudWatch Logs abdeckt, finden Sie unter[Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für Protokolle CloudWatch](iam-identity-based-access-control-cwl.md).
CloudWatch Logs bietet eine Reihe von Vorgängen für die Arbeit mit den CloudWatch Logs-Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter [CloudWatch Referenz zu Protokollberechtigungen](permissions-reference-cwl.md).
## Grundlegendes zum Eigentum an Ressourcen
Das AWS Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer das AWS Konto der [Prinzipalentität](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (d. h. das Root-Konto, ein Benutzer oder eine IAM-Rolle), das die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie die Root-Kontoanmeldeinformationen Ihres AWS Kontos verwenden, um eine Protokollgruppe zu erstellen, ist Ihr AWS Konto der Eigentümer der CloudWatch Logs-Ressource.
+ Wenn Sie in Ihrem AWS Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen von CloudWatch Logs-Ressourcen gewähren, kann der Benutzer CloudWatch Logs-Ressourcen erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die CloudWatch Logs-Ressourcen.
+ Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von CloudWatch Logs-Ressourcen erstellen, kann jeder, der diese Rolle übernehmen kann, CloudWatch Logs-Ressourcen erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die CloudWatch Logs-Ressourcen.
## Verwaltung des Zugriffs auf -Ressourcen
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
In diesem Abschnitt wird die Verwendung von IAM im Kontext von CloudWatch Protokollen beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der [-IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Richtlinien, die mit einer IAM-Identität verknüpft sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, und Richtlinien, die einer Ressource zugeordnet sind, werden als ressourcenbasierte Richtlinien bezeichnet. CloudWatch Logs unterstützt identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien für Ziele, die verwendet werden, um kontoübergreifende Abonnements zu ermöglichen. Weitere Informationen finden Sie unter [Kontoübergreifende, regionsübergreifende Abonnements](CrossAccountSubscriptions.md).
**Topics**
+ [Protokollgruppen-Berechtigungen und Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [Ressourcenbasierte Richtlinien](#resource-based-policies-cwl)
### Protokollgruppen-Berechtigungen und Contributor Insights
Contributor Insights ist eine Funktion von CloudWatch , mit der Sie Daten aus Protokollgruppen analysieren und Zeitreihen erstellen können, in denen Daten von Mitwirkenden angezeigt werden. Sie können Metriken über die Top-N-Contributors, die Gesamtzahl der eindeutigen Contributors und deren Nutzung anzeigen. Weitere Informationen finden Sie unter [Verwenden von Contributor Insights zum Analysieren von Daten mit hoher Kardinalität](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html).
Wenn Sie einem Benutzer die `cloudwatch:GetInsightRuleReport` Berechtigungen `cloudwatch:PutInsightRule` und gewähren, kann dieser Benutzer eine Regel erstellen, die jede Protokollgruppe in CloudWatch Logs auswertet und dann die Ergebnisse anzeigt. Die Ergebnisse können Contributor-Daten für diese Protokollgruppen enthalten. Gewähren Sie diese Berechtigungen nur Benutzern, die diese Daten anzeigen können sollten.
### Ressourcenbasierte Richtlinien
CloudWatch Logs unterstützt ressourcenbasierte Richtlinien für Ziele, mit denen Sie kontoübergreifende Abonnements aktivieren können. Weitere Informationen finden Sie unter [Schritt 1: Erstellen eines Ziels](CreateDestination.md). Ziele können mithilfe der [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API erstellt werden, und Sie können dem Ziel mithilfe der [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)API eine Ressourcenrichtlinie hinzufügen. Beim folgenden Beispiel wird es einem anderen AWS -Konto mit der Konto-ID 111122223333 ermöglicht, dass seine Protokollgruppen das Ziel `arn:aws:logs:us-east-1:123456789012:destination:testDestination` abonnieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Für jede CloudWatch Logs-Ressource definiert der Dienst eine Reihe von API-Vorgängen. Um Berechtigungen für diese API-Operationen zu gewähren, definiert CloudWatch Logs eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Einige API-Operationen erfordern möglicherweise Berechtigungen für mehr als eine Aktion, um die API-Operation auszuführen. Weitere Informationen zu Ressourcen und API-Operationen finden Sie unter [CloudWatch Protokolliert Ressourcen und Operationen](#CWL_ARN_Format) und [CloudWatch Referenz zu Protokollberechtigungen](permissions-reference-cwl.md).
Grundlegende Richtlinienelemente:
+ **Ressource** – Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter [CloudWatch Protokolliert Ressourcen und Operationen](#CWL_ARN_Format).
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die `logs.DescribeLogGroups`-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der `DescribeLogGroups`-Operation.
+ **Effekt** – Die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer die jeweilige Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). CloudWatch Logs unterstützt ressourcenbasierte Richtlinien für Ziele.
Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der [AWS -IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Eine Tabelle mit allen CloudWatch Logs-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter. [CloudWatch Referenz zu Protokollberechtigungen](permissions-reference-cwl.md)
## Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM Benutzerhandbuch*.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Eine Liste der von den einzelnen AWS Diensten unterstützten Kontextschlüssel und eine Liste der allgemeinen AWS Richtlinienschlüssel finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) und [AWS globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
**Anmerkung**
Sie können Tags verwenden, um den Zugriff auf CloudWatch Logs-Ressourcen, einschließlich Protokollgruppen und -ziele, zu kontrollieren. Der Zugriff auf Protokollstreams wird aufgrund der hierarchischen Beziehung zwischen Protokollgruppen und Protokollstreams auf der Ebene der Protokollgruppen gesteuert. Informationen über die Verwendung von Tags zum Steuern des Zugriffs finden Sie unter [Steuern des Zugriffs auf Amazon-Web-Services-Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
# Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für Protokolle CloudWatch
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
**Wichtig**
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, die Ihnen zur Verwaltung des Zugriffs auf Ihre CloudWatch Logs-Ressourcen zur Verfügung stehen. Weitere Informationen finden Sie unter [Überblick über die Verwaltung der Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen](iam-access-control-overview-cwl.md).
In diesem Thema wird Folgendes behandelt:
+ [Für die Verwendung der CloudWatch Konsole sind Berechtigungen erforderlich](#console-permissions-cwl)
+ [AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Protokolle](#managed-policies-cwl)
+ [Beispiele für vom Kunden verwaltete Richtlinien](#customer-managed-policies-cwl)
Nachstehend finden Sie ein Beispiel für eine Berechtigungsrichtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
In dieser Richtlinie gibt es eine Anweisung, die Berechtigungen erteilt, um Protokollgruppen und Protokoll-Streams zu erstellen, Protokollereignisse hochzuladen und Details zu Protokoll-Streams aufzuführen.
Das Platzhalterzeichen (\$1) am Ende des `Resource`-Werts bedeutet, dass die Anweisung Berechtigungen für die `logs:CreateLogGroup`-, `logs:CreateLogStream`-, `logs:PutLogEvents`- und `logs:DescribeLogStreams`-Aktionen einer Protokollgruppe zulässt. Um diese Berechtigungen auf eine bestimmte Protokollgruppe zu beschränken, ersetzen Sie das Platzhalterzeichen (\$1) im ARN der Ressource durch den spezifischen ARN der Protokollgruppe. Weitere Informationen über die Abschnitte in einer IAM-Richtlinienanweisung finden Sie in der [Referenz zu IAM-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) im *IAM-Benutzerhandbuch*. Eine Liste mit allen CloudWatch Logs-Aktionen finden Sie unter[CloudWatch Referenz zu Protokollberechtigungen](permissions-reference-cwl.md).
## Für die Verwendung der CloudWatch Konsole sind Berechtigungen erforderlich
Damit ein Benutzer mit CloudWatch Logs in der CloudWatch Konsole arbeiten kann, muss er über Mindestberechtigungen verfügen, die es dem Benutzer ermöglichen, andere AWS Ressourcen in seinem AWS Konto zu beschreiben. Um CloudWatch Logs in der CloudWatch Konsole verwenden zu können, benötigen Sie Berechtigungen für die folgenden Dienste:
+ CloudWatch
+ CloudWatch Logs
+ OpenSearch Bedienung
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die CloudWatch Konsole weiterhin verwenden können, fügen Sie dem Benutzer auch die `CloudWatchReadOnlyAccess` verwaltete Richtlinie bei, wie unter beschrieben[AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Protokolle](#managed-policies-cwl).
Sie müssen Benutzern, die nur die Logs-API AWS CLI oder die CloudWatch Logs-API aufrufen, keine Mindestberechtigungen für die Konsole gewähren.
Für einen Benutzer, der die CloudWatch Konsole nicht zur Verwaltung von Protokollabonnements verwendet, sind die folgenden Berechtigungen erforderlich, um mit der Konsole zu arbeiten:
+ Cloudwatch: GetMetricData
+ Cloudwatch: ListMetrics
+ Logs: CancelExportTask
+ Protokolle: CreateExportTask
+ Protokolle: CreateLogGroup
+ Protokolle: CreateLogStream
+ Protokolle: DeleteLogGroup
+ Protokolle: DeleteLogStream
+ Protokolle: DeleteMetricFilter
+ Protokolle: DeleteQueryDefinition
+ Protokolle: DeleteRetentionPolicy
+ Protokolle: DeleteSubscriptionFilter
+ Protokolle: DescribeExportTasks
+ Protokolle: DescribeLogGroups
+ Protokolle: DescribeLogStreams
+ Protokolle: DescribeMetricFilters
+ Protokolle: DescribeQueryDefinitions
+ Protokolle: DescribeQueries
+ Protokolle: DescribeSubscriptionFilters
+ Protokolle: FilterLogEvents
+ Protokolle: GetLogEvents
+ Protokolle: GetLogGroupFields
+ Protokolle: GetLogRecord
+ Protokolle: GetQueryResults
+ Protokolle: PutMetricFilter
+ Protokolle: PutQueryDefinition
+ Protokolle: PutRetentionPolicy
+ Protokolle: StartQuery
+ Protokolle: StopQuery
+ Protokolle: PutSubscriptionFilter
+ Protokolle: TestMetricFilter
Ein Benutzer, der die Konsole auch zum Verwalten von Protokoll-Abonnements verwendet, benötigt die folgenden Berechtigungen:
+ ja: DescribeElasticsearchDomain
+ ja: ListDomainNames
+ ich bin: AttachRolePolicy
+ ich bin: CreateRole
+ ich bin: GetPolicy
+ ich bin: GetPolicyVersion
+ ich bin: GetRole
+ ich bin: ListAttachedRolePolicies
+ ich bin: ListRoles
+ Kinese: DescribeStreams
+ Kinese: ListStreams
+ Lambda: AddPermission
+ Lambda: CreateFunction
+ Lambda: GetFunctionConfiguration
+ Lambda: ListAliases
+ Lambda: ListFunctions
+ Lambda: ListVersionsByFunction
+ Lambda: RemovePermission
+ s3: ListBuckets
## AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Protokolle
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet werden. AWS Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern und Rollen in Ihrem Konto zuordnen können, gelten nur für CloudWatch Logs:
+ **CloudWatchLogsFullAccess**— Gewährt vollen Zugriff auf CloudWatch Protokolle.
+ **CloudWatchLogsReadOnlyAccess**— Gewährt schreibgeschützten Zugriff auf Logs. CloudWatch
### CloudWatchLogsFullAccess
Die **CloudWatchLogsFullAccess**Richtlinie gewährt vollen Zugriff auf CloudWatch Protokolle. Die Richtlinie umfasst die `cloudwatch:GenerateQueryResultsSummary` Berechtigungen `cloudwatch:GenerateQuery` und, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine [CloudWatch Logs Insights-Abfragezeichenfolge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) generieren können. Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
### CloudWatchLogsReadOnlyAccess
Die **CloudWatchLogsReadOnlyAccess**Richtlinie gewährt nur Lesezugriff auf Protokolle. CloudWatch Sie umfasst die `cloudwatch:GenerateQueryResultsSummary` Berechtigungen `cloudwatch:GenerateQuery` und, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine [CloudWatch Logs Insights-Abfragezeichenfolge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) generieren können. Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
### CloudWatchOpenSearchDashboardsFullAccess
Die **CloudWatchOpenSearchDashboardsFullAccess**Richtlinie gewährt Zugriff auf das Erstellen, Verwalten und Löschen von Integrationen mit OpenSearch Service sowie auf die Erstellung von Löschprotokoll-Dashboards in diesen Integrationen. Weitere Informationen finden Sie unter [Analysieren Sie mit Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)im Referenzhandbuch für *AWS verwaltete* Richtlinien.
### CloudWatchOpenSearchDashboardAccess
Die **CloudWatchOpenSearchDashboardAccess**Richtlinie gewährt Zugriff auf Dashboards mit verkauften Protokollen, die mithilfe von Analysen erstellt wurden. Amazon OpenSearch Service Weitere Informationen finden Sie unter [Analysieren Sie mit Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**Wichtig**
Damit eine Rolle oder ein Benutzer nicht nur diese Richtlinie gewähren kann, müssen Sie diese Dashboards auch angeben, wenn Sie die Integration mit Service erstellen. OpenSearch Weitere Informationen finden Sie unter [Schritt 1: Erstellen Sie die Integration mit Service OpenSearch](OpenSearch-Dashboards-Integrate.md).
Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
#### CloudWatchLogsCrossAccountSharingConfiguration
Die **CloudWatchLogsCrossAccountSharingConfiguration**Richtlinie gewährt Zugriff auf die Erstellung, Verwaltung und Anzeige von Observability Access Manager-Links zur gemeinsamen Nutzung von CloudWatch Logs-Ressourcen zwischen Konten. Weitere Informationen finden Sie unter [Kontoübergreifende Beobachtbarkeit von CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
#### CloudWatchLogsAPIKeyZugriff
Die **CloudWatchLogsAPIKeyZugriffsrichtlinie** ermöglicht die CloudWatch Logs-API-Schlüsselauthentifizierung und die verschlüsselte Protokollaufnahme. Diese Richtlinie gewährt Berechtigungen zur Authentifizierung mithilfe von Bearer-Token und zum Schreiben von Protokollereignissen in Logs sowie zusätzliche AWS KMS Berechtigungen zum Entschlüsseln und Generieren von Datenschlüsseln, wenn CloudWatch Protokolle verschlüsselt werden.
Durch diese Richtlinie werden die folgenden Berechtigungen gewährt:
+ `logs`— Ermöglicht Prinzipalen, sich über API-Schlüsselträgertoken zu authentifizieren und Protokollereignisse in Logs-Streams zu schreiben. CloudWatch
+ `kms`— Ermöglicht Prinzipalen das Lesen von AWS KMS Schlüsselmetadaten, das Generieren von Datenschlüsseln für die Verschlüsselung und das Entschlüsseln von Daten. Diese Berechtigungen unterstützen verschlüsselte CloudWatch Protokolle, indem sie es dem Dienst ermöglichen, Protokolldaten mit vom Kunden verwalteten Schlüsseln zu verschlüsseln. AWS KMS Der Zugriff ist auf Vorgänge beschränkt, die über den CloudWatch Logs-Dienst aufgerufen werden.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
### CloudWatch Protokolliert Aktualisierungen AWS verwalteter Richtlinien
Details zu Aktualisierungen der AWS verwalteten Richtlinien für CloudWatch Logs anzeigen, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem Verlauf der CloudWatch Protokolldokumente.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyZugriff](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) — Neue Richtlinie. | CloudWatch Logs hat eine neue verwaltete Richtlinie hinzugefügt. **CloudWatchLogsAPIKeyAccess**. Diese Richtlinie ermöglicht die CloudWatch Logs-API-Schlüsselauthentifizierung und die verschlüsselte Protokollaufnahme und gewährt Berechtigungen zur Authentifizierung mithilfe von Bearer-Token und zum Schreiben von Protokollereignissen in Logs. CloudWatch | 17. Februar 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – Aktualisierung auf eine bestehende Richtlinie. | CloudWatch Logs, denen Berechtigungen hinzugefügt **CloudWatchLogsFullAccess**wurden. Berechtigungen für Aktionen zur Observability-Verwaltung wurden hinzugefügt, um einen schreibgeschützten Zugriff auf Telemetrie-Pipelines und S3-Tabellenintegrationen zu ermöglichen. | 02. Dezember 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie. | CloudWatch Logs, denen Berechtigungen hinzugefügt wurden **CloudWatchLogsReadOnlyAccess**. Berechtigungen für Aktionen zur Observability-Verwaltung wurden hinzugefügt, um einen schreibgeschützten Zugriff auf Telemetrie-Pipelines und S3-Tabellenintegrationen zu ermöglichen. | 02. Dezember 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – Aktualisierung auf eine bestehende Richtlinie. | CloudWatch Logs, denen Berechtigungen hinzugefügt wurden **CloudWatchLogsFullAccess**. Berechtigungen für `cloudwatch:GenerateQueryResultsSummary` wurden hinzugefügt, um die Generierung einer Zusammenfassung der Abfrageergebnisse in natürlicher Sprache zu ermöglichen. | 20. Mai 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie. | CloudWatch Protokolliert hinzugefügte Berechtigungen für **CloudWatchLogsReadOnlyAccess**. Berechtigungen für `cloudwatch:GenerateQueryResultsSummary` wurden hinzugefügt, um die Generierung einer Zusammenfassung der Abfrageergebnisse in natürlicher Sprache zu ermöglichen. | 20. Mai 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – Aktualisierung auf eine bestehende Richtlinie. | CloudWatch Protokolliert hinzugefügte Berechtigungen für **CloudWatchLogsFullAccess**. Es wurden Berechtigungen für Amazon OpenSearch Service und IAM hinzugefügt, um die Integration von CloudWatch Logs in den OpenSearch Service für einige Funktionen zu ermöglichen. | 01. Dezember 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Neue IAM-Richtlinie. | CloudWatch Logs hat eine neue IAM-Richtlinie hinzugefügt, **CloudWatchOpenSearchDashboardsFullAccess**.- Diese Richtlinie gewährt Zugriff auf das Erstellen, Verwalten und Löschen von Integrationen mit OpenSearch Service sowie auf das Erstellen, Verwalten und Löschen von Dashboards für verkaufte Protokolle in diesen Integrationen. Weitere Informationen finden Sie unter [Analysieren Sie mit Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 01. Dezember 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Neue IAM-Richtlinie. | CloudWatch Logs hat eine neue IAM-Richtlinie hinzugefügt, **CloudWatchOpenSearchDashboardAccess**.- Diese Richtlinie gewährt Zugriff auf Dashboards für verkaufte Logs, die von bereitgestellt werden. Amazon OpenSearch Service Weitere Informationen finden Sie unter [Analysieren Sie mit Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 01. Dezember 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – Aktualisierung auf eine bestehende Richtlinie. | CloudWatch Für Logs wurde eine Berechtigung hinzugefügt. **CloudWatchLogsFullAccess** Die `cloudwatch:GenerateQuery` Berechtigung wurde hinzugefügt, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine [CloudWatch Logs Insights-Abfragezeichenfolge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) generieren können. | 27. November 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie. | CloudWatch hat eine Berechtigung zu hinzugefügt **CloudWatchLogsReadOnlyAccess**. Die `cloudwatch:GenerateQuery` Berechtigung wurde hinzugefügt, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine [CloudWatch Logs Insights-Abfragezeichenfolge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) generieren können. | 27. November 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | CloudWatch Logs haben Berechtigungen für hinzugefügt **CloudWatchLogsReadOnlyAccess**. Die `logs:StopLiveTail` Berechtigungen `logs:StartLiveTail` und wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um CloudWatch Logs-Live-Tail-Sitzungen zu starten und zu beenden. Weitere Informationen finden Sie unter [Use live tail to view logs in near real time](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6. Juni 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – Neue Richtlinie | CloudWatch Logs hat eine neue Richtlinie hinzugefügt, mit der Sie CloudWatch kontoübergreifende Observability-Links verwalten können, die CloudWatch Log-Protokollgruppen gemeinsam nutzen. [Weitere Informationen finden Sie unter kontoübergreifende Beobachtbarkeit CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27. November 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | CloudWatch Protokolliert hinzugefügte Berechtigungen für. **CloudWatchLogsReadOnlyAccess** Die `oam:ListAttachedLinks` Berechtigungen `oam:ListSinks` und wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten, die von Quellkonten gemeinsam genutzt wurden, CloudWatch kontenübergreifend anzusehen. | 27. November 2022 |
### Beispiele für vom Kunden verwaltete Richtlinien
Sie können Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für CloudWatch Logs-Aktionen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene CloudWatch Logs-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie die CloudWatch Logs-API oder die verwenden AWS CLI. AWS SDKs
**Topics**
+ [Beispiel 1: Vollzugriff auf CloudWatch Logs zulassen](#w2aac59c15c15c23c19b9)
+ [Beispiel 2: Erlauben Sie den schreibgeschützten Zugriff auf Protokolle CloudWatch](#w2aac59c15c15c23c19c11)
+ [Beispiel 3: Zugriff auf eine einzelne Protokollgruppe erlauben](#w2aac59c15c15c23c19c13)
#### Beispiel 1: Vollzugriff auf CloudWatch Logs zulassen
Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf alle CloudWatch Logs-Aktionen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Beispiel 2: Erlauben Sie den schreibgeschützten Zugriff auf Protokolle CloudWatch
AWS stellt eine **CloudWatchLogsReadOnlyAccess**Richtlinie bereit, die den schreibgeschützten Zugriff auf Protokolldaten ermöglicht. CloudWatch Diese Richtlinie umfasst die folgenden Berechtigungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Beispiel 3: Zugriff auf eine einzelne Protokollgruppe erlauben
Mit der folgenden Richtlinie kann ein Benutzer Protokollereignisse in einer bestimmten Protokollgruppe lesen und schreiben.
**Wichtig**
Das `:*` am Ende des Protokollgruppennamens in der `Resource`-Zeile ist erforderlich, um anzuzeigen, dass die Richtlinie für alle Protokollabläufe in dieser Protokollgruppe gilt. Wenn Sie `:*` weglassen, wird die Richtlinie nicht durchgesetzt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### Markierung und IAM-Richtlinien für die Steuerung auf der Protokollgruppenebene verwenden
Sie können Benutzern Zugriff auf bestimmte Protokollgruppen gewähren und sie gleichzeitig daran hindern, auf andere Protokollgruppen zuzugreifen. Hierzu markieren Sie Ihre Protokollgruppen und verwenden IAM-Richtlinien, die auf diese Tags verweisen. Um Tags auf eine Protokollgruppe anzuwenden, benötigen Sie entweder die `logs:TagResource`- oder `logs:TagLogGroup`-Berechtigung. Dies gilt sowohl, wenn Sie der Protokollgruppe bei der Erstellung Tags zuweisen, als auch, wenn Sie die Tags später zuweisen.
Weitere Informationen zum Taggen von Protokollgruppen finden Sie unter [Taggen Sie Protokollgruppen in Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Wenn Sie Protokollgruppen markieren, können Sie einem Benutzer eine IAM-Richtlinie erteilen, um nur Zugriff auf die Protokollgruppen mit einem bestimmten Tag zu gewähren. Beispiel: Die folgende Richtlinienanweisung gewährt nur den Zugriff auf Regeln mit dem Wert `Green` für den Tag-Schlüssel `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
Die Operationen **StopQuery**und die **StopLiveTail**API interagieren nicht mit AWS Ressourcen im herkömmlichen Sinne. Sie geben keine Daten zurück, legen keine Daten ab und ändern keine Ressource in irgendeiner Weise. Stattdessen funktionieren sie nur bei einer bestimmten Live-Tail-Sitzung oder einer bestimmten CloudWatch Logs Insights-Abfrage, die nicht als Ressourcen kategorisiert sind. Wenn Sie das Feld `Resource` in den IAM-Richtlinien für diese Operationen angeben, müssen Sie daher den Wert des Felds `Resource` wie im folgenden Beispiel auf `*` festlegen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen zur Verwendung von IAM-Richtlinienanweisungen finden Sie unter [Steuern des Zugriffs mithilfe von Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) im *IAM-Benutzerhandbuch*.
# CloudWatch Referenz zu Protokollberechtigungen
Wenn Sie die [Zugriffskontrolle](auth-and-access-control-cwl.md#access-control-cwl) einrichten und Berechtigungsrichtlinien für eine IAM-Identität (identitätsbasierte Richtlinie) verfassen, können Sie die folgende Tabelle als Referenz verwenden. In der Tabelle sind die einzelnen CloudWatch Logs-API-Operationen und die entsprechenden Aktionen aufgeführt, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können. Sie geben die Aktionen im Feld `Action` der Richtlinie an. Für das `Resource` Feld können Sie den ARN einer Protokollgruppe oder eines Protokolldatenstroms angeben oder angeben, `*` dass er für alle CloudWatch Logs-Ressourcen steht.
Sie können in Ihren AWS CloudWatch Logs-Richtlinien Bedingungsschlüssel für alle Bereiche verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS Schlüssel für alle Bedingungen finden Sie unter [AWS Globale Schlüssel und IAM-Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Um eine Aktion anzugeben, verwenden Sie das Präfix `logs:` gefolgt vom Namen der API-Operation. Zum Beispiel:`logs:CreateLogGroup`,`logs:CreateLogStream`, oder `logs:*` (für alle CloudWatch Logs-Aktionen).
**CloudWatch Protokolliert API-Operationen und die erforderlichen Berechtigungen für Aktionen**
| CloudWatch Protokolliert API-Operationen | Erforderliche Berechtigungen (API-Aktionen) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` Erforderlich zum Abbrechen einer ausstehenden oder laufenden Exportaufgabe. |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` Erforderlich zum Exportieren von Daten aus einer Protokollgruppe in einen Amazon-S3-Bucket. |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` Erforderlich zum Erstellen einer neuen Protokollgruppe. |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` Erforderlich zum Erstellen eines neuen Protokoll-Stream in eine Protokollgruppe. |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` Erforderlich zum Löschen eines Protokollziels und Aktivieren von Abonnementfiltern für das Ziel. |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` Erforderlich zum Löschen einer Protokollgruppe und der jeweiligen archivierten Protokollereignisse. |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` Erforderlich zum Löschen eines Protokoll-Stream und der jeweiligen archivierten Protokollereignisse. |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` Erforderlich zum Löschen eines Metrikfilters für eine Protokollgruppe. |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` Erforderlich, um eine gespeicherte Abfragedefinition in CloudWatch Logs Insights zu löschen. |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` Erforderlich, um eine CloudWatch Logs-Ressourcenrichtlinie zu löschen. |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` Erforderlich zum Löschen der Aufbewahrungsrichtlinie einer Protokollgruppe. |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` Erforderlich zum Löschen des Abonnementfilters für eine Protokollgruppe. |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` Erforderlich zum Anzeigen aller Ziele für ein Konto. |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` Erforderlich zum Anzeigen aller Exportaufgaben für das Konto. |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` Erforderlich zum Anzeigen aller Protokollgruppen für ein Konto. |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` Erforderlich zum Anzeigen aller Protokoll-Streams für eine Protokollgruppe. |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` Erforderlich zum Anzeigen aller Metriken für eine Protokollgruppe. |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` Erforderlich, um die Liste der gespeicherten Abfragedefinitionen in CloudWatch Logs Insights zu sehen. |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` Erforderlich, um die Liste der CloudWatch Logs Insights-Abfragen zu sehen, die geplant sind, ausgeführt werden oder kürzlich ausgeführt wurden. |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` Erforderlich, um eine Liste der CloudWatch Logs-Ressourcenrichtlinien anzuzeigen. |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` Erforderlich zum Anzeigen aller Abonnementfilter für eine Protokollgruppe. |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` Erforderlich zum Sortieren von Protokollereignissen nach Gruppenfiltermuster. |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` Erforderlich zum Abrufen von Protokollereignissen aus einem Protokoll-Stream. |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` Erforderlich, um die Liste der Felder abzurufen, die in den Protokollereignissen in einer Protokollgruppe enthalten sind. |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` Erforderlich, um die Details aus einem einzelnen Protokollereignis abzurufen. |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` Erforderlich, um den Inhalt großer Teile von Protokollereignissen abzurufen, die über die PutOpenTelemetryLogs API aufgenommen wurden. |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` Erforderlich, um die Ergebnisse von CloudWatch Logs Insights-Abfragen abzurufen. |
| ListEntitiesForLogGroup (Berechtigung CloudWatch nur für Konsolen) | `logs:ListEntitiesForLogGroup` Erforderlich, um die Entitäten zu finden, die einer Protokollgruppe zugeordnet sind. Erforderlich, um verwandte Logs in der CloudWatch Konsole zu durchsuchen. |
| ListLogGroupsForEntity (Erlaubnis CloudWatch nur für die Konsole) | `logs:ListLogGroupsForEntity` Erforderlich, um die mit einer Entität verknüpften Protokollgruppen zu finden. Erforderlich, um verwandte Protokolle in der CloudWatch Konsole zu durchsuchen. |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` Erforderlich zum Auflisten der mit einer Protokollgruppe verbundenen Tags. |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` Erforderlich zum Anzeigen aller Protokollgruppen für ein Konto. |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` Erforderlich zum Erstellen oder Aktualisieren eines Ziel-Protokoll-Streams (z. B. ein Kinesis-Stream). |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` Erforderlich zum Erstellen oder Aktualisieren einer Zugriffsrichtlinie im Zusammenhang mit einem vorhandenen Protokollziel. |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` Erforderlich für den Upload eines Batches von Protokollereignissen in einen Protokoll-Stream. |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` Erforderlich zum Erstellen oder Aktualisieren eines Metrikfilters, der einer Protokollgruppe zugeordnet wird. |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` Erforderlich, um eine Abfrage in CloudWatch Logs Insights zu speichern, einschließlich gespeicherter Abfragen mit Parametern. |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` Erforderlich, um eine CloudWatch Logs-Ressourcenrichtlinie zu erstellen. |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` Erforderlich zum Festlegen der Anzahl der Tage, die Protokollereignisse (Aufbewahrung) in einer Protokollgruppe aufbewahrt werden sollen. |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` Erforderlich zum Erstellen oder Aktualisieren eines Abonnementfilters, der einer Protokollgruppe zugeordnet wird. |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` Erforderlich, um CloudWatch Logs Insights-Abfragen zu starten. Um eine gespeicherte Abfrage mit Parametern auszuführen, benötigen Sie außerdem`logs:DescribeQueryDefinitions`. |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` Erforderlich, um eine laufende CloudWatch Logs Insights-Abfrage zu beenden. |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` Erforderlich zum Hinzufügen oder Aktualisieren von Protokollgruppen-Tags. |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` Erforderlich zum Testen eines Filtermusters anhand einer Stichprobe von Protokollereignis-Nachrichten. |
# Verwenden von serviceverknüpften Rollen für Logs CloudWatch
Amazon CloudWatch Logs verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html). Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Logs verknüpft ist. CloudWatch Dienstbezogene Rollen sind in CloudWatch Logs vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle macht die Einrichtung von CloudWatch Logs effizienter, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. CloudWatch Logs definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, können nur CloudWatch Logs diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.
Weitere Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Yes (Ja) **in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Dienstbezogene Rollenberechtigungen für Logs CloudWatch
CloudWatch Logs verwendet die angegebene dienstverknüpfte Rolle. **AWSServiceRoleForLogDelivery** CloudWatch Logs verwendet diese dienstbezogene Rolle, um Protokolle direkt in Firehose zu schreiben. Weitere Informationen finden Sie unter [Protokollierung von AWS Diensten aktivieren](AWS-logs-and-resource-policy.md).
Die serviceverknüpfte Rolle **AWSServiceRoleForLogDelivery** vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `logs.amazonaws.com`
Die Richtlinie für Rollenberechtigungen ermöglicht es CloudWatch Logs, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen:
+ Aktion: `firehose:PutRecord` und `firehose:PutRecordBatch` auf allen Firehose-Streams, die ein Tag mit einem `LogDeliveryEnabled` Schlüssel mit einem Wert von `True` haben. Dieses Tag wird automatisch an einen Firehose-Stream angehängt, wenn Sie ein Abonnement für die Übermittlung der Protokolle an Firehose erstellen.
Sie müssen Berechtigungen konfigurieren, die es einer IAM-Entität erlaubt, eine serviceverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Diese Entität kann ein Benutzer, eine Gruppe oder eine Rolle sein. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Logs erstellen CloudWatch
Sie brauchen keine serviceverknüpfte Rolle manuell erstellen. Wenn Sie Protokolle so einrichten, dass sie direkt an einen Firehose-Stream in der AWS-Managementkonsole, der oder der AWS CLI AWS API gesendet werden, erstellt CloudWatch Logs die dienstbezogene Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie erneut Protokolle so einrichten, dass sie direkt an einen Firehose-Stream gesendet werden, erstellt CloudWatch Logs die dienstverknüpfte Rolle erneut für Sie.
## Bearbeitung einer serviceverknüpften Rolle für Logs CloudWatch
CloudWatch Logs ermöglicht es Ihnen nicht **AWSServiceRoleForLogDelivery**, diese oder jede andere dienstbezogene Rolle zu bearbeiten, nachdem Sie sie erstellt haben. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für Logs CloudWatch
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der CloudWatch Logs-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um CloudWatch Logs-Ressourcen zu löschen, die von der mit dem **AWSServiceRoleForLogDelivery**Dienst verknüpften Rolle verwendet werden**
+ Beenden Sie das direkte Senden von Protokollen an Firehose-Streams.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForLogDelivery**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
### Unterstützte Regionen für Rollen, die mit dem CloudWatch Logs-Dienst verknüpft sind
CloudWatch Logs unterstützt die Verwendung von dienstbezogenen Rollen in allen AWS Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [CloudWatch Logs, Regionen und Endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region).
# CloudWatch Protokolliert Aktualisierungen von AWS dienstverknüpften Rollen
Hier finden Sie Informationen zu Aktualisierungen der Rolle „ AWS Dienstverknüpfter Dienste“ für CloudWatch Logs, seit dieser Dienst mit der Erfassung dieser Änderungen begonnen hat. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem Verlauf der CloudWatch Protokolldokumente.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSServiceRoleForLogDelivery Richtlinie für dienstbezogene Rollen](AWS-logs-infrastructure-Firehose.md) — Aktualisierung einer bestehenden Richtlinie | CloudWatch Logs haben die Berechtigungen in der IAM-Richtlinie geändert, die der **AWSServiceRoleForLogDelivery**dienstbezogenen Rolle zugeordnet sind. Die folgende Änderung wurde vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 15. Juli 2021 |
| CloudWatch Logs haben begonnen, Änderungen nachzuverfolgen | CloudWatch Logs begann, Änderungen für die AWS verwalteten Richtlinien nachzuverfolgen. | 10. Juni 2021 |
# Konformitätsprüfung für Amazon CloudWatch Logs
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in Amazon CloudWatch Logs
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
# Infrastruktursicherheit in Amazon CloudWatch Logs
Als verwalteter Service ist Amazon CloudWatch Logs durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf CloudWatch Protokolle zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Verwenden von CloudWatch Protokollen mit VPC-Endpunkten der Schnittstelle
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und CloudWatch Logs herstellen. Sie können diese Verbindung verwenden, um Protokolle an Logs zu CloudWatch senden, ohne sie über das Internet zu senden. CloudWatch Logs unterstützt IPv4 VPC-Endpunkte in allen Regionen und unterstützt IPv6 Endpunkte in allen Regionen.
Amazon VPC ist ein AWS Service, mit dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit CloudWatch Logs zu verbinden, definieren Sie einen *VPC-Schnittstellen-Endpunkt* für CloudWatch Logs. Mit dieser Art Endpunkt können Sie Ihre VPC mit AWS -Services verbinden. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu CloudWatch Logs, ohne dass ein Internet-Gateway, eine NAT-Instanz (Network Address Translation) oder eine VPN-Verbindung erforderlich sind. Weitere Informationen finden Sie unter [Was ist Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/) im *Benutzerhandbuch zu Amazon VPC*.
Schnittstelle, auf der VPC-Endpunkte basieren AWS PrivateLink, eine AWS Technologie, die private Kommunikation zwischen AWS Diensten über eine elastic network interface mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie unter [Neu — AWS PrivateLink für AWS Dienste](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).
Die folgenden Schritte sind für Benutzer von Amazon VPC vorgesehen. Weitere Informationen finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) im *Amazon VPC Benutzerhandbuch*.
## Verfügbarkeit
CloudWatch Logs unterstützt derzeit VPC-Endpunkte in allen AWS Regionen, einschließlich der AWS GovCloud (US) Regionen.
## Einen VPC-Endpunkt für CloudWatch Logs erstellen
Um CloudWatch Logs mit Ihrer VPC zu verwenden, erstellen Sie einen VPC-Schnittstellen-Endpunkt für CloudWatch Logs. **Der Service, den Sie wählen können, ist com.amazonaws. *Region*.logs.** Um eine Verbindung mit einem FIPS-Endpunkt herzustellen, steht der Dienst zur Auswahl. `com.amazonaws.Region.logs-fips` Sie müssen keine Einstellungen für CloudWatch Logs ändern. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html) im *Amazon VPC Leitfaden*.
Einige CloudWatch Protokolle APIs, wie StartLiveTail und GetLogObject, werden unter einem anderen Endpunkt und VPC-Endpunkt gehostet:`stream-logs.Region.amazonaws.com`. Um einen VPC-Schnittstellen-Endpunkt für diese zu erstellen APIs, müssen Sie den Dienst **com.amazonaws auswählen. *Region*.stream-logs.** Um eine Verbindung mit einem FIPS-Endpunkt herzustellen, steht der Dienst zur Auswahl. `com.amazonaws.Region.stream-logs-fips`
## Testen der Verbindung zwischen Ihrer VPC und Logs CloudWatch
Nachdem Sie den Endpunkt erstellt haben, können Sie die Verbindung testen.
**Um die Verbindung zwischen Ihrer VPC und Ihrem CloudWatch Logs-Endpunkt zu testen**
1. Stellen Sie eine Verbindung mit einer Amazon EC2-Instance in Ihrer VPC her. Weitere Informationen zum Herstellen einer Verbindung finden Sie unter [Herstellen einer Verbindung mit Ihrer Linux-Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpce-interface.html#create-interface-endpoint.html) or [Herstellen einer Verbindung mit Ihrer Windows-Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) in der Amazon EC2-Dokumentation.
1. Verwenden Sie in der Instance den, AWS CLI um einen Protokolleintrag in einer Ihrer vorhandenen Protokollgruppen zu erstellen.
Zuerst erstellen Sie eine JSON-Datei mit einem Protokollereignis. Der Zeitstempel muss als Millisekunden seit dem 1. Januar 1970 00:00:00 UTC angegeben werden.
```
[
{
"timestamp": 1533854071310,
"message": "VPC Connection Test"
}
]
```
Verwenden Sie anschließend den `put-log-events`-Befehl zum Erstellen des Protokolleintrags:
```
aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName
```
Wenn die Antwort auf den Befehl `nextSequenceToken` enthält, war der Befehl erfolgreich und Ihr VPC-Endpunkt funktioniert.
## Steuern des Zugriffs auf Ihren CloudWatch Logs-VPC-Endpunkt
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, wird ihm eine Standardrichtlinie mit Vollzugriff auf den Service zugeordnet. IAM-Richtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Endpunktrichtlinien müssen im JSON-Format erstellt werden.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC User Guide*.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für CloudWatch Logs. Diese Richtlinie ermöglicht Benutzern, die über die VPC eine Verbindung zu CloudWatch Logs herstellen, Log-Streams zu erstellen und Logs an CloudWatch Logs zu senden, und verhindert, dass sie andere CloudWatch Logs-Aktionen ausführen.
```
{
"Statement": [
{
"Sid": "PutOnly",
"Principal": "*",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**So ändern Sie die VPC-Endpunktrichtlinie für Logs CloudWatch**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wenn Sie den Endpunkt für CloudWatch Logs noch nicht erstellt haben, wählen Sie **Create Endpoint** aus. Wählen Sie dann **com.amazonaws aus. ***Region***.logs und wählen Sie Create Endpoint.**
1. Wählen Sie **com.amazonaws aus. *Region*.logs-Endpunkt** und wählen Sie in der unteren Hälfte des Bildschirms die Registerkarte **Richtlinie** aus.
1. Wählen Sie **Richtlinie bearbeiten** und nehmen Sie die Änderungen an der Richtlinie vor.
## Support für VPC-Kontextschlüssel
CloudWatch Logs unterstützt die Schlüssel `aws:SourceVpc` und die `aws:SourceVpce` Kontextschlüssel, die den Zugriff auf bestimmte VPCs oder spezifische VPC-Endpunkte einschränken können. Diese Schlüssel funktionieren nur, wenn der Benutzer VPC-Endpunkte verwendet. Weitere Informationen finden Sie unter [Schlüssel, die für manche Services verfügbar sind](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-service-available) im *IAM-Benutzerhandbuch*.