Uso de políticas basadas en la identidad (políticas de IAM) para los registros CloudWatch - Amazon CloudWatch Logs
Permisos necesarios para usar la consola de CloudWatchAWS políticas gestionadas (predefinidas) para CloudWatch los registros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de políticas basadas en la identidad (políticas de IAM) para los registros CloudWatch

Este tema contiene ejemplos de políticas basadas en identidades, donde los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, a usuarios, grupos y funciones).

importante

Le recomendamos que consulte primero los temas introductorios en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus CloudWatch recursos de Logs. Para obtener más información, consulte Descripción general de la administración de los permisos de acceso a los recursos CloudWatch de Logs.

Este tema cubre lo siguiente:

A continuación se muestra un ejemplo de una política de permisos:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

Esta política tiene una declaración que concede permisos para crear grupos de registro y flujos de registro para cargar eventos de registro a flujos de registro y para mostrar un listado de detalles acerca de los flujos de registro.

El carácter comodín (*) que aparece al final del valor Resource significa que la declaración concede permiso para las acciones logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents y logs:DescribeLogStreams en cualquier grupo de registro. Para limitar este permiso a un grupo de registro específico, sustituya el carácter comodín (*) en el ARN del recurso con el ARN de grupo de registro específico. Para obtener más información acerca de las secciones dentro de una declaración de política de IAM, consulte Referencia de los elementos de la política de IAM en la Guía del usuario de IAM. Para ver una lista de todas las acciones de CloudWatch Logs, consulteCloudWatch Referencia de permisos de registro.

Permisos necesarios para usar la consola de CloudWatch

Para que un usuario pueda trabajar con los CloudWatch registros de la CloudWatch consola, debe tener un conjunto mínimo de permisos que le permita describir otros AWS recursos de su AWS cuenta. Para usar CloudWatch los registros en la CloudWatch consola, debe tener permisos de los siguientes servicios:

  • CloudWatch

  • CloudWatch Registros

  • OpenSearch Servicio

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para garantizar que esos usuarios puedan seguir utilizando la CloudWatch consola, adjunte también la política CloudWatchReadOnlyAccess administrada al usuario, tal y como se describe enAWS políticas gestionadas (predefinidas) para CloudWatch los registros.

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API CloudWatch Logs AWS CLI o a la misma.

El conjunto completo de permisos necesarios para que un usuario que no utilice la CloudWatch consola para gestionar las suscripciones de registros funcione con la consola es el siguiente:

  • Cloudwatch: GetMetricData

  • vigilancia en la nube: ListMetrics

  • registros: CancelExportTask

  • registros: CreateExportTask

  • registros: CreateLogGroup

  • registros: CreateLogStream

  • registros: DeleteLogGroup

  • registros: DeleteLogStream

  • registros: DeleteMetricFilter

  • registros: DeleteQueryDefinition

  • registros: DeleteRetentionPolicy

  • registros: DeleteSubscriptionFilter

  • registros: DescribeExportTasks

  • registros: DescribeLogGroups

  • registros: DescribeLogStreams

  • registros: DescribeMetricFilters

  • registros: DescribeQueryDefinitions

  • registros: DescribeQueries

  • registros: DescribeSubscriptionFilters

  • registros: FilterLogEvents

  • registros: GetLogEvents

  • registros: GetLogGroupFields

  • registros: GetLogRecord

  • registros: GetQueryResults

  • registros: PutMetricFilter

  • registros: PutQueryDefinition

  • registros: PutRetentionPolicy

  • registros: StartQuery

  • registros: StopQuery

  • registros: PutSubscriptionFilter

  • registros: TestMetricFilter

Para un usuario que también utilice la consola para administrar las suscripciones de registro, los siguientes permisos son igualmente necesarios:

  • Sí: DescribeElasticsearchDomain

  • Sí: ListDomainNames

  • objetivo: AttachRolePolicy

  • objetivo: CreateRole

  • objetivo: GetPolicy

  • objetivo: GetPolicyVersion

  • objetivo: GetRole

  • objetivo: ListAttachedRolePolicies

  • objetivo: ListRoles

  • cinesia: DescribeStreams

  • cinesia: ListStreams

  • lambda: AddPermission

  • lambda: CreateFunction

  • lambda: GetFunctionConfiguration

  • lambda: ListAliases

  • lambda: ListFunctions

  • lambda: ListVersionsByFunction

  • lambda: RemovePermission

  • s3: ListBuckets

AWS políticas gestionadas (predefinidas) para CloudWatch los registros

AWS aborda muchos casos de uso comunes al proporcionar políticas de IAM independientes que son creadas y administradas por. AWS Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios y roles de su cuenta, son específicas de los CloudWatch registros:

  • CloudWatchLogsFullAccess— Otorga acceso completo a CloudWatch los registros.

  • CloudWatchLogsReadOnlyAccess— Otorga acceso de solo lectura a los CloudWatch registros.

CloudWatchLogsFullAccess

La CloudWatchLogsFullAccesspolítica otorga acceso total a CloudWatch los registros. La política incluye los cloudwatch:GenerateQueryResultsSummary permisos cloudwatch:GenerateQuery y, por lo tanto, los usuarios con esta política pueden generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural. Para ver el contenido completo de la política, consulte la Guía CloudWatchLogsFullAccessde referencia de políticas AWS gestionadas.

CloudWatchLogsReadOnlyAccess

La CloudWatchLogsReadOnlyAccesspolítica otorga acceso de solo lectura a los CloudWatch registros. Incluye los cloudwatch:GenerateQueryResultsSummary permisos cloudwatch:GenerateQuery y, de este modo, los usuarios con esta política pueden generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural. Para ver el contenido completo de la política, consulte la Guía CloudWatchLogsReadOnlyAccessde referencia de políticas AWS gestionadas.

CloudWatchOpenSearchDashboardsFullAccess

La CloudWatchOpenSearchDashboardsFullAccesspolítica otorga acceso para crear, administrar y eliminar integraciones con el OpenSearch Servicio, y para crear paneles de control de registros vendidos en esas integraciones. Para obtener más información, consulte Analice con Amazon OpenSearch Service.

Para ver el contenido completo de la política, consulte la Guía de referencia de políticas CloudWatchOpenSearchDashboardsFullAccess AWSgestionadas.

CloudWatchOpenSearchDashboardAccess

La CloudWatchOpenSearchDashboardAccesspolítica otorga acceso para ver los paneles de control de registros vendidos que se crean con Amazon OpenSearch Service análisis. Para obtener más información, consulte Analice con Amazon OpenSearch Service.

importante

Además de conceder esta política, para permitir que un rol o un usuario puedan ver los paneles de registros vendidos, también debe especificarlos al crear la integración con el Servicio. OpenSearch Para obtener más información, consulte Paso 1: Crear la integración con Service OpenSearch .

Para ver el contenido completo de la política, consulte la Guía CloudWatchOpenSearchDashboardAccessde referencia de políticas AWS gestionadas.

CloudWatchLogsCrossAccountSharingConfiguration

La CloudWatchLogsCrossAccountSharingConfigurationpolítica permite crear, administrar y ver los enlaces de Observability Access Manager para compartir los recursos de CloudWatch Logs entre cuentas. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch .

Para ver el contenido completo de la política, consulta la Guía CloudWatchLogsCrossAccountSharingConfigurationde referencia de políticas AWS gestionadas.

CloudWatch Registra las actualizaciones de las políticas AWS gestionadas

Consulta los detalles sobre las actualizaciones de las políticas AWS administradas para CloudWatch los registros desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de CloudWatch registro.

Cambio Descripción Fecha

CloudWatchLogsFullAccess: actualización de una política existente.

CloudWatch Registra los permisos añadidos a CloudWatchLogsFullAccess.

Se cloudwatch:GenerateQueryResultsSummary agregaron permisos para permitir la generación de un resumen en lenguaje natural de los resultados de la consulta.

20 de mayo de 2025

CloudWatchLogsReadOnlyAccess: actualización de una política existente.

CloudWatch Los registros agregaron permisos a CloudWatchLogsReadOnlyAccess.

Se cloudwatch:GenerateQueryResultsSummary agregaron permisos para permitir la generación de un resumen en lenguaje natural de los resultados de la consulta.

20 de mayo de 2025

CloudWatchLogsFullAccess: actualización de una política existente.

CloudWatch Los registros agregaron permisos a CloudWatchLogsFullAccess.

Se agregaron permisos para el IAM Amazon OpenSearch Service y para permitir la integración de CloudWatch Logs con el OpenSearch servicio para algunas funciones.

1 de diciembre de 2024

CloudWatchOpenSearchDashboardsFullAccess— Nueva política de IAM.

CloudWatch Logs agregó una nueva política de IAM, CloudWatchOpenSearchDashboardsFullAccess.- Esta política otorga acceso para crear, administrar y eliminar integraciones con el OpenSearch Servicio, y para crear, administrar y eliminar paneles de registros vendidos en esas integraciones. Para obtener más información, consulte Analice con Amazon OpenSearch Service.

1 de diciembre de 2024

CloudWatchOpenSearchDashboardAccess— Nueva política de IAM.

CloudWatch Logs agregó una nueva política de IAM, CloudWatchOpenSearchDashboardAccess.- Esta política otorga acceso a los paneles de control de registros vendidos con la tecnología de. Amazon OpenSearch Service Para obtener más información, consulte Analice con Amazon OpenSearch Service.

1 de diciembre de 2024

CloudWatchLogsFullAccess: actualización de una política existente.

CloudWatch Los registros agregaron un permiso a. CloudWatchLogsFullAccess

Se agregó el cloudwatch:GenerateQuery permiso para que los usuarios con esta política puedan generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural.

27 de noviembre de 2023

CloudWatchLogsReadOnlyAccess: actualización de una política existente.

CloudWatch agregó un permiso para CloudWatchLogsReadOnlyAccess.

Se agregó el cloudwatch:GenerateQuery permiso para que los usuarios con esta política puedan generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural.

27 de noviembre de 2023

CloudWatchLogsReadOnlyAccess: actualización de una política actual

CloudWatch Los registros agregaron permisos a CloudWatchLogsReadOnlyAccess.

Los logs:StopLiveTail permisos logs:StartLiveTail y se agregaron para que los usuarios con esta política puedan usar la consola para iniciar y detener las sesiones finales de CloudWatch Logs Live. Para obtener más información, consulte Use live tail to view logs in near real time.

 6 de junio de 2023

CloudWatchLogsCrossAccountSharingConfiguration: política nueva

CloudWatch Logs agregó una nueva política que te permite administrar los enlaces de observabilidad CloudWatch entre cuentas que comparten grupos de CloudWatch registros de Logs.

Para obtener más información, consulta CloudWatch la observabilidad multicuenta

 27 de noviembre de 2022

CloudWatchLogsReadOnlyAccess: actualización de una política actual

CloudWatch Registra los permisos añadidos a. CloudWatchLogsReadOnlyAccess

Los oam:ListAttachedLinks permisos oam:ListSinks y se agregaron para que los usuarios con esta política puedan usar la consola para ver los datos compartidos desde las cuentas de origen de CloudWatch forma observable entre cuentas.

 27 de noviembre de 2022

Ejemplos de políticas administradas por el cliente

Puede crear sus propias políticas de IAM personalizadas para permitir permisos para las acciones y los recursos de CloudWatch Logs. Puede asociar estas políticas personalizadas a los usuarios o grupos de que requieran esos permisos.

En esta sección, encontrará ejemplos de políticas de usuario que otorgan permisos para diversas acciones de CloudWatch Logs. Estas políticas funcionan cuando utilizas la API de CloudWatch Logs o la AWS CLI. AWS SDKs

Ejemplo 1: Permitir el acceso total a CloudWatch los registros

La siguiente política permite a un usuario acceder a todas las acciones de los CloudWatch registros.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Ejemplo 2: Permitir el acceso de solo lectura a los registros CloudWatch

AWS proporciona una CloudWatchLogsReadOnlyAccesspolítica que permite el acceso de solo lectura a los datos de los registros. CloudWatch Esta política incluye los siguientes permisos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Ejemplo 3: permitir el acceso a un grupo de registro

La siguiente política permite a un usuario leer y escribir eventos de registro en un grupo de registro especificado.

importante

El :* al final del nombre del grupo de registro en la línea Resource es necesario para indicar que la política aplica a todos los flujos de registro de este grupo de registro. Si omite :*, no se aplicará la política.

{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

Usar el etiquetado y las políticas de IAM para realizar el control en el nivel de grupo de registro

Puede conceder a los usuarios acceso a determinados grupos de registro al mismo tiempo que les impide tener acceso a otros grupos de registro. Para ello, etiquete los grupos de registro y utilice políticas de IAM que hagan referencia a esas etiquetas. Para aplicar etiquetas a un grupo de registro, debe tener el permiso logs:TagResource o logs:TagLogGroup. Esto se aplica si asigna etiquetas al grupo de registro cuando lo crea o si las asigna más adelante.

Para obtener más información sobre el etiquetado de grupos de registro, consulte Etiquetado de grupos de registro en CloudWatch Registros de Amazon.

Al etiquetar grupos de registro, puede conceder una política de IAM a un usuario para permitirle el acceso únicamente a los grupos de registro con una etiqueta determinada. Por ejemplo, la siguiente instrucción de política concede acceso únicamente a los grupos de registro que tienen el valor Team para la clave de etiqueta Green.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

Las operaciones StopQueryy las de la StopLiveTailAPI no interactúan con AWS los recursos en el sentido tradicional. No devuelven ningún dato, no colocan ningún dato ni tampoco modifican ningún recurso de ninguna manera. En cambio, solo funcionan en una sesión de seguimiento en vivo determinada o en una consulta de CloudWatch Logs Insights determinada, que no se clasifican como recursos. Por lo tanto, al especificar el campo Resource en las políticas de IAM para estas operaciones, debe establecer el valor del campo Resource como *, como se muestra en el siguiente ejemplo. 

{
    "Version": "2012-10-17", 
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}

Para obtener más información acerca del uso de instrucciones de política de IAM, consulte Control del acceso mediante las políticas en la Guía del usuario de IAM.