CloudWatch Referencia de permisos de registro

Puede usar la siguiente tabla como referencia cuando configure Control de acceso y escriba políticas de permisos que vaya a asociar a una identidad de IAM (políticas basadas en identidad). En la tabla se muestra cada operación de la API de CloudWatch Logs y las acciones correspondientes para las que puede conceder permisos para realizar la acción. Las acciones se especifican en el campo Action de la política. Para el Resource campo, puede especificar el ARN de un grupo de registros o un flujo de registros, o especificar que represente todos los * recursos de CloudWatch registros.

Puede utilizar claves AWS de condición completas en sus políticas de CloudWatch registros para expresar las condiciones. Para obtener una lista completa de las claves AWS generales, consulte las claves de contexto de condición AWS globales y de IAM en la Guía del usuario de IAM.

nota

Para especificar una acción, use el prefijo logs: seguido del nombre de operación de API. Por ejemplo:logs:CreateLogGroup,logs:CreateLogStream, o logs:* (para todas las acciones de los CloudWatch registros).

CloudWatch Registra las operaciones de la API y los permisos necesarios para las acciones
CloudWatch Registra las operaciones de la API	Permisos necesarios (acciones de API)
CancelExportTask	`logs:CancelExportTask` Necesario para cancelar una tarea de exportación en ejecución o pendiente.
CreateExportTask	`logs:CreateExportTask` Necesario para exportar datos desde un grupo de registro a un bucket de Amazon S3.
CreateLogGroup	`logs:CreateLogGroup` Necesario para crear un nuevo grupo de registro.
CreateLogStream	`logs:CreateLogStream` Necesario para crear un nuevo flujo de registros en un grupo de registro.
DeleteDestination	`logs:DeleteDestination` Necesario para eliminar un destino de registro y deshabilita los filtros de suscripción al mismo.
DeleteLogGroup	`logs:DeleteLogGroup` Necesario para eliminar un grupo de registro y todos los eventos de registro asociados.
DeleteLogStream	`logs:DeleteLogStream` Necesario para eliminar un flujo de registros y todos los eventos de registro asociados.
DeleteMetricFilter	`logs:DeleteMetricFilter` Necesario para eliminar un filtro de métricas asociado con un grupo de registro.
DeleteQueryDefinition	`logs:DeleteQueryDefinition` Necesario para eliminar una definición de consulta guardada en CloudWatch Logs Insights.
DeleteResourcePolicy	`logs:DeleteResourcePolicy` Necesario para eliminar una política CloudWatch de recursos de Logs.
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` Necesario para eliminar la política de retención de un grupo de registro.
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` Necesario para eliminar el filtro de suscripción asociado a un grupo de registro.
DescribeDestinations	`logs:DescribeDestinations` Necesario para ver todos los destinos asociados a la cuenta.
DescribeExportTasks	`logs:DescribeExportTasks` Necesario para ver todas las tareas de exportación asociadas a la cuenta.
DescribeLogGroups	`logs:DescribeLogGroups` Necesario para ver todos los grupos de registro asociados a la cuenta.
DescribeLogStreams	`logs:DescribeLogStreams` Necesario para ver todos los flujos de registro asociados a un grupo de registro.
DescribeMetricFilters	`logs:DescribeMetricFilters` Necesario para ver todas las métricas asociadas a un grupo de registro.
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` Necesario para ver la lista de definiciones de consultas guardadas en CloudWatch Logs Insights.
DescribeQueries	`logs:DescribeQueries` Necesario para ver la lista de consultas de CloudWatch Logs Insights que están programadas, en ejecución o que se han ejecutado recientemente.
DescribeResourcePolicies	`logs:DescribeResourcePolicies` Necesario para ver una lista de políticas de recursos de CloudWatch Logs.
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` Necesario para ver todos los filtros de suscripción asociados con un grupo de registro.
FilterLogEvents	`logs:FilterLogEvents` Necesario para ordenar los eventos de registros por patrón de filtro de grupo de registro.
GetLogEvents	`logs:GetLogEvents` Necesario para recuperar eventos de registro de un flujo de registros.
GetLogGroupFields	`logs:GetLogGroupFields` Necesario para recuperar la lista de campos que se incluyen en los eventos de registro de un grupo de registro.
GetLogRecord	`logs:GetLogRecord` Necesario para recuperar los detalles de un único evento de registro.
GetQueryResults	`logs:GetQueryResults` Necesario para recuperar los resultados de las consultas de CloudWatch Logs Insights.
ListEntitiesForLogGroup (permiso CloudWatch solo para consola)	`logs:ListEntitiesForLogGroup` Necesario para buscar las entidades asociadas a un grupo de registros. Necesario para explorar los registros relacionados en la CloudWatch consola.
ListLogGroupsForEntity (permiso CloudWatch solo para consola)	`logs:ListLogGroupsForEntity` Necesario para buscar los grupos de registros asociados a una entidad. Necesario para explorar los registros relacionados en la CloudWatch consola.
ListTagsLogGroup	`logs:ListTagsLogGroup` Necesario para ver las etiquetas asociadas a un grupo de registro.
PutDestination	`logs:PutDestination` Necesario para crear o actualizar un flujo de registros de destino (como, por ejemplo, un flujo de Kinesis).
PutDestinationPolicy	`logs:PutDestinationPolicy` Necesario para crear o actualizar una política de acceso asociada a un destino de registro existente.
PutLogEvents	`logs:PutLogEvents` Necesario para cargar un lote de eventos de registro en un flujo de registros.
PutMetricFilter	`logs:PutMetricFilter` Necesario para crear o actualizar un filtro de métricas y asociarlo a un grupo de registro.
PutQueryDefinition	`logs:PutQueryDefinition` Necesario para guardar una consulta en CloudWatch Logs Insights.
PutResourcePolicy	`logs:PutResourcePolicy` Necesario para crear una política CloudWatch de recursos de Logs.
PutRetentionPolicy	`logs:PutRetentionPolicy` Necesario para establecer el número de días que conservar los eventos de registro (retención) en un grupo de registro.
PutSubscriptionFilter	`logs:PutSubscriptionFilter` Necesario para crear o actualizar un filtro de suscripción y asociarlo a un grupo de registro.
StartQuery	`logs:StartQuery` Necesario para iniciar las consultas CloudWatch de Logs Insights.
StopQuery	`logs:StopQuery` Necesario para detener una consulta de CloudWatch Logs Insights que está en curso.
TagLogGroup	`logs:TagLogGroup` Necesario para añadir o actualizar etiquetas de grupo de registro.
TestMetricFilter	`logs:TestMetricFilter` Necesario para probar un patrón de filtro con respecto a una muestra de mensajes de evento de registro.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de políticas basadas en identidades (políticas de IAM)

Cómo utilizar roles vinculados a servicios