Utilisation de politiques basées sur l'identité (politiques IAM) pour les journaux CloudWatch - Amazon CloudWatch Logs
Autorisations requises pour utiliser la console CloudWatchAWS politiques gérées (prédéfinies) pour les CloudWatch journaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques basées sur l'identité (politiques IAM) pour les journaux CloudWatch

Cette rubrique fournit des exemples de politiques basées sur une identité dans lesquelles un administrateur de compte peut attacher des politiques d’autorisation aux identités IAM (c’est-à-dire aux utilisateurs, groupes et rôles).

Important

Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos ressources CloudWatch Logs. Pour de plus amples informations, veuillez consulter Vue d'ensemble de la gestion des autorisations d'accès à vos ressources CloudWatch Logs.

Cette rubrique aborde les points suivants :

Un exemple de stratégie d'autorisation est exposé ci-dessous :

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

Cette stratégie comporte une instruction qui accorde des autorisations pour créer des groupes et des flux de journaux, pour télécharger des événements de journaux et pour répertorier des détails sur les flux de journaux.

Le caractère générique (*) à la fin de la valeur Resource signifie que l'instruction permet l'autorisation des actions logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents et logs:DescribeLogStreams sur tout groupe de journaux. Pour limiter cette autorisation à un groupe de journaux spécifique, remplacez le caractère générique (*) de l'ARN de la ressource par l'ARN du groupe de journaux spécifique. Pour plus d'informations sur les éléments d'une déclaration de politique IAM, consultez Références des éléments de politique IAM dans le Guide de l'utilisateur IAM. Pour obtenir la liste de toutes les actions de CloudWatch journalisation, consultezCloudWatch Référence des autorisations de journalisation.

Autorisations requises pour utiliser la console CloudWatch

Pour qu'un utilisateur puisse utiliser les CloudWatch journaux dans la CloudWatch console, il doit disposer d'un ensemble minimal d'autorisations lui permettant de décrire les autres AWS ressources de son AWS compte. Pour utiliser les CloudWatch journaux dans la CloudWatch console, vous devez disposer des autorisations des services suivants :

  • CloudWatch

  • CloudWatch Journaux

  • OpenSearch Service

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour garantir que ces utilisateurs peuvent toujours utiliser la CloudWatch console, attachez également la politique CloudWatchReadOnlyAccess gérée à l'utilisateur, comme décrit dansAWS politiques gérées (prédéfinies) pour les CloudWatch journaux.

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API Logs AWS CLI ou l'API CloudWatch Logs.

L'ensemble complet des autorisations requises pour utiliser la CloudWatch console pour un utilisateur qui n'utilise pas la console pour gérer les abonnements aux journaux est le suivant :

  • surveillance des nuages : GetMetricData

  • surveillance des nuages : ListMetrics

  • journaux : CancelExportTask

  • journaux : CreateExportTask

  • journaux : CreateLogGroup

  • journaux : CreateLogStream

  • journaux : DeleteLogGroup

  • journaux : DeleteLogStream

  • journaux : DeleteMetricFilter

  • journaux : DeleteQueryDefinition

  • journaux : DeleteRetentionPolicy

  • journaux : DeleteSubscriptionFilter

  • journaux : DescribeExportTasks

  • journaux : DescribeLogGroups

  • journaux : DescribeLogStreams

  • journaux : DescribeMetricFilters

  • journaux : DescribeQueryDefinitions

  • journaux : DescribeQueries

  • journaux : DescribeSubscriptionFilters

  • journaux : FilterLogEvents

  • journaux : GetLogEvents

  • journaux : GetLogGroupFields

  • journaux : GetLogRecord

  • journaux : GetQueryResults

  • journaux : PutMetricFilter

  • journaux : PutQueryDefinition

  • journaux : PutRetentionPolicy

  • journaux : StartQuery

  • journaux : StopQuery

  • journaux : PutSubscriptionFilter

  • journaux : TestMetricFilter

Pour un utilisateur qui se servira également de la console pour gérer les abonnements aux journaux, les autorisations suivantes sont requises :

  • Oui : DescribeElasticsearchDomain

  • Oui : ListDomainNames

  • iam : AttachRolePolicy

  • iam : CreateRole

  • iam : GetPolicy

  • iam : GetPolicyVersion

  • iam : GetRole

  • iam : ListAttachedRolePolicies

  • iam : ListRoles

  • kinésie : DescribeStreams

  • kinésie : ListStreams

  • lambda : AddPermission

  • lambda : CreateFunction

  • lambda : GetFunctionConfiguration

  • lambda : ListAliases

  • lambda : ListFunctions

  • lambda : ListVersionsByFunction

  • lambda : RemovePermission

  • s3 : ListBuckets

AWS politiques gérées (prédéfinies) pour les CloudWatch journaux

AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez Politiques gérées par AWS dans le Guide de l'utilisateur IAM.

Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs et aux rôles de votre compte, sont spécifiques aux CloudWatch journaux :

  • CloudWatchLogsFullAccess— Accorde un accès complet aux CloudWatch journaux.

  • CloudWatchLogsReadOnlyAccess— Accorde un accès en lecture seule aux journaux. CloudWatch

CloudWatchLogsFullAccess

La CloudWatchLogsFullAccesspolitique accorde un accès complet aux CloudWatch journaux. La politique inclut les cloudwatch:GenerateQueryResultsSummary autorisations cloudwatch:GenerateQuery et, de sorte que les utilisateurs dotés de cette politique peuvent générer une chaîne de requête CloudWatch Logs Insights à partir d'une invite en langage naturel. Pour consulter le contenu complet de la politique, consultez CloudWatchLogsFullAccessle Guide de référence des politiques AWS gérées.

CloudWatchLogsReadOnlyAccess

La CloudWatchLogsReadOnlyAccesspolitique accorde un accès en lecture seule aux journaux. CloudWatch Elle inclut les cloudwatch:GenerateQueryResultsSummary autorisations cloudwatch:GenerateQuery et, de sorte que les utilisateurs soumis à cette politique peuvent générer une chaîne de requête CloudWatch Logs Insights à partir d'une invite en langage naturel. Pour consulter le contenu complet de la politique, consultez CloudWatchLogsReadOnlyAccessle Guide de référence des politiques AWS gérées.

CloudWatchOpenSearchDashboardsFullAccess

La CloudWatchOpenSearchDashboardsFullAccesspolitique accorde l'accès pour créer, gérer et supprimer des intégrations avec OpenSearch Service, ainsi que pour créer, supprimer et gérer des tableaux de bord de journaux vendus dans ces intégrations. Pour de plus amples informations, veuillez consulter Analyser avec Amazon OpenSearch Service.

Pour consulter le contenu complet de la politique, consultez CloudWatchOpenSearchDashboardsFullAccessle Guide de référence des politiques AWS gérées.

CloudWatchOpenSearchDashboardAccess

La CloudWatchOpenSearchDashboardAccesspolitique autorise l'accès aux tableaux de bord des journaux vendus créés à l'aide Amazon OpenSearch Service d'analyses. Pour de plus amples informations, veuillez consulter Analyser avec Amazon OpenSearch Service.

Important

Outre l'octroi de cette politique, pour permettre à un rôle ou à un utilisateur de consulter les tableaux de bord des journaux vendus, vous devez également les spécifier lors de la création de l'intégration avec OpenSearch Service. Pour de plus amples informations, veuillez consulter Étape 1 : Création de l'intégration avec le OpenSearch service.

Pour consulter le contenu complet de la politique, consultez CloudWatchOpenSearchDashboardAccessle Guide de référence des politiques AWS gérées.

CloudWatchLogsCrossAccountSharingConfiguration

La CloudWatchLogsCrossAccountSharingConfigurationpolitique accorde l'accès à la création, à la gestion et à l'affichage des liens d'Observability Access Manager pour partager les ressources CloudWatch des journaux entre les comptes. Pour plus d'informations, consultez la section Observabilité inter-comptes de CloudWatch (français non garanti).

Pour consulter le contenu complet de la politique, consultez CloudWatchLogsCrossAccountSharingConfigurationle Guide de référence des politiques AWS gérées.

CloudWatch Enregistre les mises à jour des politiques AWS gérées

Consultez les détails des mises à jour apportées aux politiques AWS gérées pour CloudWatch les journaux depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document CloudWatch Logs.

Modification Description Date

CloudWatchLogsFullAccess - Mettre à jour vers une politique existante.

CloudWatch Les journaux ont ajouté des autorisations à CloudWatchLogsFullAccess.

Des autorisations pour cloudwatch:GenerateQueryResultsSummary ont été ajoutées pour permettre la génération d'un résumé en langage naturel des résultats de la requête.

20 mai 2025

CloudWatchLogsReadOnlyAccess - Mettre à jour vers une politique existante.

CloudWatch Les journaux ont ajouté des autorisations à CloudWatchLogsReadOnlyAccess.

Des autorisations pour cloudwatch:GenerateQueryResultsSummary ont été ajoutées pour permettre la génération d'un résumé en langage naturel des résultats de la requête.

20 mai 2025

CloudWatchLogsFullAccess - Mettre à jour vers une politique existante.

CloudWatch Les journaux ont ajouté des autorisations à CloudWatchLogsFullAccess.

Des autorisations pour Amazon OpenSearch Service et IAM ont été ajoutées, afin de permettre l'intégration CloudWatch des journaux au OpenSearch service pour certaines fonctionnalités.

1er décembre 2024

CloudWatchOpenSearchDashboardsFullAccess— Nouvelle politique IAM.

CloudWatch Logs a ajouté une nouvelle politique IAM, CloudWatchOpenSearchDashboardsFullAccess.- Cette politique accorde l'accès pour créer, gérer et supprimer des intégrations avec OpenSearch Service, ainsi que pour créer, gérer et supprimer des tableaux de bord de journaux vendus dans ces intégrations. Pour de plus amples informations, veuillez consulter Analyser avec Amazon OpenSearch Service.

1er décembre 2024

CloudWatchOpenSearchDashboardAccess— Nouvelle politique IAM.

CloudWatch Logs a ajouté une nouvelle politique IAM, CloudWatchOpenSearchDashboardAccess.- Cette politique permet d'accéder aux tableaux de bord des journaux vendus alimentés par. Amazon OpenSearch Service Pour de plus amples informations, veuillez consulter Analyser avec Amazon OpenSearch Service.

1er décembre 2024

CloudWatchLogsFullAccess - Mettre à jour vers une politique existante.

CloudWatch Logs a ajouté une autorisation à CloudWatchLogsFullAccess.

L'cloudwatch:GenerateQueryautorisation a été ajoutée afin que les utilisateurs soumis à cette politique puissent générer une chaîne de requête CloudWatch Logs Insights à partir d'une invite en langage naturel.

27 novembre 2023

CloudWatchLogsReadOnlyAccess - Mettre à jour vers une politique existante.

CloudWatch a ajouté une autorisation à CloudWatchLogsReadOnlyAccess.

L'cloudwatch:GenerateQueryautorisation a été ajoutée afin que les utilisateurs soumis à cette politique puissent générer une chaîne de requête CloudWatch Logs Insights à partir d'une invite en langage naturel.

27 novembre 2023

CloudWatchLogsReadOnlyAccess – Mise à jour d’une politique existante

CloudWatch Les journaux ont ajouté des autorisations à CloudWatchLogsReadOnlyAccess.

Les logs:StopLiveTail autorisations logs:StartLiveTail et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour démarrer et arrêter CloudWatch les sessions Logs Live Tail. Pour plus d'informations, veuillez consulter Utilisation de Live Tail pour visualiser les journaux en temps quasi réel.

 6 juin 2023

CloudWatchLogsCrossAccountSharingConfiguration : nouvelle politique

CloudWatch Logs a ajouté une nouvelle politique pour vous permettre de gérer les liens d'observabilité CloudWatch entre comptes qui partagent des groupes de CloudWatch journaux Logs.

Pour plus d'informations, consultez la CloudWatch section Observabilité entre comptes

 27 novembre 2022

CloudWatchLogsReadOnlyAccess – Mise à jour d’une politique existante

CloudWatch Les journaux ont ajouté des autorisations à CloudWatchLogsReadOnlyAccess.

Les oam:ListAttachedLinks autorisations oam:ListSinks et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes.

 27 novembre 2022

Exemples de politiques gérées par le client

Vous pouvez créer vos propres politiques IAM personnalisées pour autoriser les actions et les ressources des CloudWatch journaux. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui nécessitent ces autorisations.

Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions de CloudWatch journalisation. Ces politiques fonctionnent lorsque vous utilisez l'API CloudWatch Logs AWS SDKs, ou le AWS CLI.

Exemple 1 : Autoriser l'accès complet aux CloudWatch journaux

La politique suivante permet à un utilisateur d'accéder à toutes les actions CloudWatch des journaux.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Exemple 2 : Autoriser l'accès en lecture seule aux journaux CloudWatch

AWS fournit une CloudWatchLogsReadOnlyAccesspolitique qui permet l'accès en lecture seule aux CloudWatch données des journaux. Cette politique inclut les autorisations suivantes.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Exemple 3 : Autoriser l'accès à un groupe de journaux

La stratégie suivante permet à un utilisateur de lire et d'écrire des événements de journaux dans un groupe de journaux spécifié.

Important

Le :* à la fin du nom du groupe de journaux dans la ligne Resource est obligatoire pour indiquer que la stratégie s'applique à tous les flux de journaux de ce groupe de journaux. Si vous omettez :*, la politique ne sera pas appliquée.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

Utilisation de l'étiquetage, et des politiques IAM pour le contrôle au niveau du groupe de journaux

Vous pouvez accorder aux utilisateurs l'accès à certains groupes de journaux tout en leur empêchant d'accéder à d'autres groupes de journaux. Pour ce faire, étiquetez vos groupes de journaux et utilisez les politiques IAM qui font référence à ces identifications. Pour appliquer des balises à un groupe de journaux, vous devez disposer de l'autorisation logs:TagResource ou logs:TagLogGroup. Cela s'applique à la fois si vous attribuez des balises au groupe de journaux lorsque vous le créez ou si vous les attribuez ultérieurement.

Pour plus d'informations sur le balisage des groupes de journaux, consultez Étiqueter les groupes de journaux dans Amazon CloudWatch Logs.

Lorsque vous étiquetez les groupes de journaux, vous pouvez ensuite accorder une politique IAM à un utilisateur pour autoriser l'accès uniquement aux groupes de journaux associés à une identification particulière. Par exemple, la déclaration de stratégie suivante accorde l'accès uniquement aux groupes de journaux avec la valeur de Green pour la clé de balise Team.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

Les opérations StopQueryet StopLiveTailAPI n'interagissent pas avec les AWS ressources au sens traditionnel du terme. Elles ne renvoient aucune donnée, ne mettent aucune donnée et ne modifient aucune ressource de quelque façon que ce soit. Au lieu de cela, ils ne fonctionnent que sur une session de live tail donnée ou une requête CloudWatch Logs Insights donnée, qui ne sont pas classées dans la catégorie des ressources. Par conséquent, lorsque vous spécifiez le champ Resource dans les politiques IAM pour ces opérations, vous devez définir la valeur du champ Resource en tant que *, comme dans l'exemple de commande suivant.

JSON
{
    "Version": "2012-10-17", 
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}

Pour plus d'informations sur l'utilisation des instructions de politique IAM, consultez Contrôle de l'accès à l'aide des politiques dans le Guide de l'utilisateur IAM.