Referencia de permisos de Registros de CloudWatch

Puede usar la siguiente tabla como referencia cuando configure Control de acceso y escriba políticas de permisos que vaya a asociar a una identidad de IAM (políticas basadas en identidad). La tabla enumera cada operación de la API de Registros de CloudWatch y las acciones correspondientes para las que puede conceder permisos a fin de realizar la acción. Las acciones se especifican en el campo Action de la política. Para el campo Resource, puede especificar el ARN de un grupo de registro o flujo de registro, o especificar * a fin de representar todos los recursos de Registros de CloudWatch.

Para expresar condiciones, puede utilizar claves de condición generales de AWS en las políticas de Registros de CloudWatch. Para ver una lista completa de claves generales de AWS, consulte Claves de contexto de condición de IAM y globales de AWS en la Guía del usuario de IAM.

nota

Para especificar una acción, use el prefijo logs: seguido del nombre de operación de API. Por ejemplo: logs:CreateLogGroup, logs:CreateLogStream o logs:* (para todas las acciones de Registros de CloudWatch).

Operaciones de la API de Registros de CloudWatch y permisos necesarios para las acciones
Operaciones de la API de Registros de CloudWatch	Permisos necesarios (acciones de API)
CancelExportTask	`logs:CancelExportTask` Necesario para cancelar una tarea de exportación en ejecución o pendiente.
CreateExportTask	`logs:CreateExportTask` Necesario para exportar datos desde un grupo de registro a un bucket de Amazon S3.
CreateLogGroup	`logs:CreateLogGroup` Necesario para crear un nuevo grupo de registro.
CreateLogStream	`logs:CreateLogStream` Necesario para crear un nuevo flujo de registros en un grupo de registro.
DeleteDestination	`logs:DeleteDestination` Necesario para eliminar un destino de registro y deshabilita los filtros de suscripción al mismo.
DeleteLogGroup	`logs:DeleteLogGroup` Necesario para eliminar un grupo de registro y todos los eventos de registro asociados.
DeleteLogStream	`logs:DeleteLogStream` Necesario para eliminar un flujo de registros y todos los eventos de registro asociados.
DeleteMetricFilter	`logs:DeleteMetricFilter` Necesario para eliminar un filtro de métricas asociado con un grupo de registro.
DeleteQueryDefinition	`logs:DeleteQueryDefinition` Necesario para eliminar una definición de consulta guardada en Información de registros de CloudWatch.
DeleteResourcePolicy	`logs:DeleteResourcePolicy` Necesario para eliminar una política de recursos de Registros de CloudWatch.
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` Necesario para eliminar la política de retención de un grupo de registro.
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` Necesario para eliminar el filtro de suscripción asociado a un grupo de registro.
DescribeDestinations	`logs:DescribeDestinations` Necesario para ver todos los destinos asociados a la cuenta.
DescribeExportTasks	`logs:DescribeExportTasks` Necesario para ver todas las tareas de exportación asociadas a la cuenta.
DescribeLogGroups	`logs:DescribeLogGroups` Necesario para ver todos los grupos de registro asociados a la cuenta.
DescribeLogStreams	`logs:DescribeLogStreams` Necesario para ver todos los flujos de registro asociados a un grupo de registro.
DescribeMetricFilters	`logs:DescribeMetricFilters` Necesario para ver todas las métricas asociadas a un grupo de registro.
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` Necesario para ver la lista de definiciones de consulta guardadas en Información de registros de CloudWatch.
DescribeQueries	`logs:DescribeQueries` Necesario para ver la lista de consultas de Información de registros de CloudWatch programadas, en proceso de ejecución o ejecutadas recientemente.
DescribeResourcePolicies	`logs:DescribeResourcePolicies` Necesario para ver una lista de políticas de recursos de Registros de CloudWatch.
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` Necesario para ver todos los filtros de suscripción asociados con un grupo de registro.
FilterLogEvents	`logs:FilterLogEvents` Necesario para ordenar los eventos de registros por patrón de filtro de grupo de registro.
GetLogEvents	`logs:GetLogEvents` Necesario para recuperar eventos de registro de un flujo de registros.
GetLogGroupFields	`logs:GetLogGroupFields` Necesario para recuperar la lista de campos que se incluyen en los eventos de registro de un grupo de registro.
GetLogRecord	`logs:GetLogRecord` Necesario para recuperar los detalles de un único evento de registro.
GetLogObject	`logs:GetLogRecord` Necesario para obtener el contenido de partes grandes de los eventos de registro que se han ingerido a través de la API PutOpenTelemetryLogs.
GetQueryResults	`logs:GetQueryResults` Necesario para recuperar los resultados de las consultas de Información de registros de CloudWatch.
ListEntitiesForLogGroup (Permiso exclusivo para la consola de CloudWatch)	`logs:ListEntitiesForLogGroup` Obligatorio para buscar las entidades asociadas a un grupo de registro. Obligatorio para explorar los registros relacionados en la consola de CloudWatch.
ListLogGroupsForEntity (Permiso exclusivo para la consola de CloudWatch)	`logs:ListLogGroupsForEntity` Obligatorio para buscar los grupos de registros asociados a una entidad. Obligatorio para explorar los registros relacionados en la consola de CloudWatch.
ListTagsLogGroup	`logs:ListTagsLogGroup` Necesario para ver las etiquetas asociadas a un grupo de registro.
ListLogGroups	`logs:DescribeLogGroups` Necesario para ver todos los grupos de registro asociados a la cuenta.
PutDestination	`logs:PutDestination` Necesario para crear o actualizar un flujo de registros de destino (como, por ejemplo, un flujo de Kinesis).
PutDestinationPolicy	`logs:PutDestinationPolicy` Necesario para crear o actualizar una política de acceso asociada a un destino de registro existente.
PutLogEvents	`logs:PutLogEvents` Necesario para cargar un lote de eventos de registro en un flujo de registros.
PutMetricFilter	`logs:PutMetricFilter` Necesario para crear o actualizar un filtro de métricas y asociarlo a un grupo de registro.
PutQueryDefinition	`logs:PutQueryDefinition` Necesario para guardar una consulta en Información de registros de CloudWatch.
PutResourcePolicy	`logs:PutResourcePolicy` Necesario para crear una política de recursos de Registros de CloudWatch.
PutRetentionPolicy	`logs:PutRetentionPolicy` Necesario para establecer el número de días que conservar los eventos de registro (retención) en un grupo de registro.
PutSubscriptionFilter	`logs:PutSubscriptionFilter` Necesario para crear o actualizar un filtro de suscripción y asociarlo a un grupo de registro.
StartQuery	`logs:StartQuery` Necesario para comenzar consultas de Información de registros de CloudWatch.
StopQuery	`logs:StopQuery` Necesario para detener una consulta en curso de Información de registros de CloudWatch.
TagLogGroup	`logs:TagLogGroup` Necesario para añadir o actualizar etiquetas de grupo de registro.
TestMetricFilter	`logs:TestMetricFilter` Necesario para probar un patrón de filtro con respecto a una muestra de mensajes de evento de registro.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de políticas basadas en identidades (políticas de IAM)

Cómo utilizar roles vinculados a servicios