Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de politiques basées sur l'identité (politiques IAM) pour les journaux CloudWatch
Cette rubrique fournit des exemples de politiques basées sur une identité dans lesquelles un administrateur de compte peut attacher des politiques d’autorisation aux identités IAM (c’est-à-dire aux utilisateurs, groupes et rôles).
**Important**
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos ressources CloudWatch Logs. Pour de plus amples informations, veuillez consulter [Vue d'ensemble de la gestion des autorisations d'accès à vos ressources CloudWatch Logs](iam-access-control-overview-cwl.md).
Cette rubrique aborde les points suivants :
+ [Autorisations requises pour utiliser la CloudWatch console](#console-permissions-cwl)
+ [AWS politiques gérées (prédéfinies) pour les CloudWatch journaux](#managed-policies-cwl)
+ [Exemples de politiques gérées par le client](#customer-managed-policies-cwl)
Un exemple de stratégie d'autorisation est exposé ci-dessous :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Cette stratégie comporte une instruction qui accorde des autorisations pour créer des groupes et des flux de journaux, pour télécharger des événements de journaux et pour répertorier des détails sur les flux de journaux.
Le caractère générique (\*) à la fin de la valeur `Resource` signifie que l'instruction permet l'autorisation des actions `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents` et `logs:DescribeLogStreams` sur tout groupe de journaux. Pour limiter cette autorisation à un groupe de journaux spécifique, remplacez le caractère générique (\*) de l'ARN de la ressource par l'ARN du groupe de journaux spécifique. Pour plus d'informations sur les éléments d'une déclaration de politique IAM, consultez [Références des éléments de politique IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) dans le *Guide de l'utilisateur IAM*. Pour obtenir la liste de toutes les actions de CloudWatch journalisation, consultez[CloudWatch Référence des autorisations de journalisation](permissions-reference-cwl.md).
## Autorisations requises pour utiliser la CloudWatch console
Pour qu'un utilisateur puisse utiliser les CloudWatch journaux dans la CloudWatch console, il doit disposer d'un ensemble minimal d'autorisations lui permettant de décrire les autres AWS ressources de son AWS compte. Pour utiliser les CloudWatch journaux dans la CloudWatch console, vous devez disposer des autorisations des services suivants :
+ CloudWatch
+ CloudWatch Journaux
+ OpenSearch Service
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour garantir que ces utilisateurs peuvent toujours utiliser la CloudWatch console, attachez également la politique `CloudWatchReadOnlyAccess` gérée à l'utilisateur, comme décrit dans[AWS politiques gérées (prédéfinies) pour les CloudWatch journaux](#managed-policies-cwl).
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API Logs AWS CLI ou l'API CloudWatch Logs.
L'ensemble complet des autorisations requises pour utiliser la CloudWatch console pour un utilisateur qui n'utilise pas la console pour gérer les abonnements aux journaux est le suivant :
+ surveillance des nuages : GetMetricData
+ surveillance des nuages : ListMetrics
+ journaux : CancelExportTask
+ journaux : CreateExportTask
+ journaux : CreateLogGroup
+ journaux : CreateLogStream
+ journaux : DeleteLogGroup
+ journaux : DeleteLogStream
+ journaux : DeleteMetricFilter
+ journaux : DeleteQueryDefinition
+ journaux : DeleteRetentionPolicy
+ journaux : DeleteSubscriptionFilter
+ journaux : DescribeExportTasks
+ journaux : DescribeLogGroups
+ journaux : DescribeLogStreams
+ journaux : DescribeMetricFilters
+ journaux : DescribeQueryDefinitions
+ journaux : DescribeQueries
+ journaux : DescribeSubscriptionFilters
+ journaux : FilterLogEvents
+ journaux : GetLogEvents
+ journaux : GetLogGroupFields
+ journaux : GetLogRecord
+ journaux : GetQueryResults
+ journaux : PutMetricFilter
+ journaux : PutQueryDefinition
+ journaux : PutRetentionPolicy
+ journaux : StartQuery
+ journaux : StopQuery
+ journaux : PutSubscriptionFilter
+ journaux : TestMetricFilter
Pour un utilisateur qui se servira également de la console pour gérer les abonnements aux journaux, les autorisations suivantes sont requises :
+ Oui : DescribeElasticsearchDomain
+ Oui : ListDomainNames
+ iam : AttachRolePolicy
+ iam : CreateRole
+ iam : GetPolicy
+ iam : GetPolicyVersion
+ iam : GetRole
+ iam : ListAttachedRolePolicies
+ iam : ListRoles
+ kinésie : DescribeStreams
+ kinésie : ListStreams
+ lambda : AddPermission
+ lambda : CreateFunction
+ lambda : GetFunctionConfiguration
+ lambda : ListAliases
+ lambda : ListFunctions
+ lambda : ListVersionsByFunction
+ lambda : RemovePermission
+ s3 : ListBuckets
## AWS politiques gérées (prédéfinies) pour les CloudWatch journaux
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez [ Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l'utilisateur IAM*.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs et aux rôles de votre compte, sont spécifiques aux CloudWatch journaux :
+ **CloudWatchLogsFullAccess**— Accorde un accès complet aux CloudWatch journaux.
+ **CloudWatchLogsReadOnlyAccess**— Accorde un accès en lecture seule aux journaux. CloudWatch
### CloudWatchLogsFullAccess
La **CloudWatchLogsFullAccess**politique accorde un accès complet aux CloudWatch journaux. La politique inclut les `cloudwatch:GenerateQueryResultsSummary` autorisations `cloudwatch:GenerateQuery` et, de sorte que les utilisateurs dotés de cette politique peuvent générer une chaîne de requête [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) à partir d'une invite en langage naturel. Pour consulter le contenu complet de la politique, consultez [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)le *Guide de référence des politiques AWS gérées*.
### CloudWatchLogsReadOnlyAccess
La **CloudWatchLogsReadOnlyAccess**politique accorde un accès en lecture seule aux journaux. CloudWatch Elle inclut les `cloudwatch:GenerateQueryResultsSummary` autorisations `cloudwatch:GenerateQuery` et, de sorte que les utilisateurs soumis à cette politique peuvent générer une chaîne de requête [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) à partir d'une invite en langage naturel. Pour consulter le contenu complet de la politique, consultez [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.
### CloudWatchOpenSearchDashboardsFullAccess
La **CloudWatchOpenSearchDashboardsFullAccess**politique accorde l'accès pour créer, gérer et supprimer des intégrations avec OpenSearch Service, ainsi que pour créer, supprimer et gérer des tableaux de bord de journaux vendus dans ces intégrations. Pour de plus amples informations, veuillez consulter [Analyser avec Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
Pour consulter le contenu complet de la politique, consultez [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)le *Guide de référence des politiques AWS gérées*.
### CloudWatchOpenSearchDashboardAccess
La **CloudWatchOpenSearchDashboardAccess**politique autorise l'accès aux tableaux de bord des journaux vendus créés à l'aide Amazon OpenSearch Service d'analyses. Pour de plus amples informations, veuillez consulter [Analyser avec Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**Important**
Outre l'octroi de cette politique, pour permettre à un rôle ou à un utilisateur de consulter les tableaux de bord des journaux vendus, vous devez également les spécifier lors de la création de l'intégration avec OpenSearch Service. Pour de plus amples informations, veuillez consulter [Étape 1 : Création de l'intégration avec le OpenSearch service](OpenSearch-Dashboards-Integrate.md).
Pour consulter le contenu complet de la politique, consultez [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)le *Guide de référence des politiques AWS gérées*.
#### CloudWatchLogsCrossAccountSharingConfiguration
La **CloudWatchLogsCrossAccountSharingConfiguration**politique accorde l'accès à la création, à la gestion et à l'affichage des liens d'Observability Access Manager pour partager les ressources CloudWatch des journaux entre les comptes. Pour plus d'informations, consultez la section [Observabilité inter-comptes de CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) (français non garanti).
Pour consulter le contenu complet de la politique, consultez [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)le *Guide de référence des politiques AWS gérées*.
#### CloudWatchLogsAPIKeyAccès
La politique **CloudWatchLogsAPIKeyd'accès** permet l'authentification par clé de l'API CloudWatch Logs et l'ingestion cryptée des journaux. Cette politique accorde des autorisations pour s'authentifier à l'aide de jetons porteurs et pour écrire les événements du journal dans les CloudWatch journaux, avec des AWS KMS autorisations supplémentaires pour le déchiffrement et la génération de clés de données lorsque les journaux sont chiffrés.
Cette stratégie accorde les autorisations suivantes :
+ `logs`— Permet aux principaux de s'authentifier via des jetons porteurs de clés de l'API et d'écrire les événements du journal dans les flux de CloudWatch journaux.
+ `kms`— Permet aux principaux de lire les métadonnées des AWS KMS clés, de générer des clés de données pour le chiffrement et de déchiffrer les données. Ces autorisations prennent en charge le chiffrement CloudWatch des journaux en permettant au service de chiffrer les données des journaux à l'aide de clés gérées par le client AWS KMS . L'accès est limité aux opérations appelées via le service CloudWatch Logs.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) dans le *guide de référence des politiques AWS gérées*.
### CloudWatch Enregistre les mises à jour des politiques AWS gérées
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour CloudWatch les journaux depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document CloudWatch Logs.
| Modifier | Description | Date |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccès](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) — Nouvelle politique. | CloudWatch Les journaux ont ajouté une nouvelle politique gérée **CloudWatchLogsAPIKeyAccess**.
Cette politique permet l'authentification par clé de l'API CloudWatch Logs et l'ingestion cryptée des journaux, en accordant les autorisations d'authentification à l'aide de jetons porteurs et d'écriture des événements de journal dans Logs. CloudWatch | 17 février 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsFullAccess**.
Des autorisations pour les actions d'administration de l'observabilité ont été ajoutées pour permettre l'accès en lecture seule aux pipelines de télémétrie et aux intégrations de tables S3. | 2 décembre 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsReadOnlyAccess**.
Des autorisations pour les actions d'administration de l'observabilité ont été ajoutées pour permettre l'accès en lecture seule aux pipelines de télémétrie et aux intégrations de tables S3. | 2 décembre 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsFullAccess**.
Des autorisations pour `cloudwatch:GenerateQueryResultsSummary` ont été ajoutées pour permettre la génération d'un résumé en langage naturel des résultats de la requête. | 20 mai 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsReadOnlyAccess**.
Des autorisations pour `cloudwatch:GenerateQueryResultsSummary` ont été ajoutées pour permettre la génération d'un résumé en langage naturel des résultats de la requête. | 20 mai 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsFullAccess**.
Des autorisations pour Amazon OpenSearch Service et IAM ont été ajoutées, afin de permettre l'intégration CloudWatch des journaux au OpenSearch service pour certaines fonctionnalités. | 1er décembre 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Nouvelle politique IAM. | CloudWatch Logs a ajouté une nouvelle politique IAM, **CloudWatchOpenSearchDashboardsFullAccess**.- Cette politique accorde l'accès pour créer, gérer et supprimer des intégrations avec OpenSearch Service, et pour créer, gérer et supprimer des tableaux de bord de journaux vendus dans ces intégrations. Pour de plus amples informations, veuillez consulter [Analyser avec Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1er décembre 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Nouvelle politique IAM. | CloudWatch Logs a ajouté une nouvelle politique IAM, **CloudWatchOpenSearchDashboardAccess**.- Cette politique permet d'accéder aux tableaux de bord des journaux vendus alimentés par. Amazon OpenSearch Service Pour de plus amples informations, veuillez consulter [Analyser avec Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1er décembre 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - Mettre à jour vers une politique existante. | CloudWatch Logs a ajouté une autorisation à **CloudWatchLogsFullAccess**.
L'`cloudwatch:GenerateQuery`autorisation a été ajoutée afin que les utilisateurs soumis à cette politique puissent générer une chaîne de requête [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) à partir d'une invite en langage naturel. | 27 novembre 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - Mettre à jour vers une politique existante. | CloudWatch a ajouté une autorisation à **CloudWatchLogsReadOnlyAccess**.
L'`cloudwatch:GenerateQuery`autorisation a été ajoutée afin que les utilisateurs soumis à cette politique puissent générer une chaîne de requête [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) à partir d'une invite en langage naturel. | 27 novembre 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) : mise à jour d’une politique existante | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsReadOnlyAccess**.
Les `logs:StopLiveTail` autorisations `logs:StartLiveTail` et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour démarrer et arrêter CloudWatch les sessions Logs Live Tail. Pour plus d'informations, veuillez consulter [Utilisation de Live Tail pour visualiser les journaux en temps quasi réel](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 juin 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) : nouvelle politique | CloudWatch Logs a ajouté une nouvelle politique pour vous permettre de gérer les liens d'observabilité CloudWatch entre comptes qui partagent des groupes de CloudWatch journaux Logs.
Pour plus d'informations, consultez la [ CloudWatch section Observabilité entre comptes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 novembre 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) : mise à jour d’une politique existante | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsReadOnlyAccess**.
Les `oam:ListAttachedLinks` autorisations `oam:ListSinks` et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes. | 27 novembre 2022 |
### Exemples de politiques gérées par le client
Vous pouvez créer vos propres politiques IAM personnalisées pour autoriser les actions et les ressources des CloudWatch journaux. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui nécessitent ces autorisations.
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions de CloudWatch journalisation. Ces politiques fonctionnent lorsque vous utilisez l'API CloudWatch Logs AWS SDKs, ou le AWS CLI.
**Topics**
+ [Exemple 1 : Autoriser l'accès complet aux CloudWatch journaux](#w2aac61c15c15c23c19b9)
+ [Exemple 2 : Autoriser l'accès en lecture seule aux journaux CloudWatch](#w2aac61c15c15c23c19c11)
+ [Exemple 3 : Autoriser l'accès à un groupe de journaux](#w2aac61c15c15c23c19c13)
#### Exemple 1 : Autoriser l'accès complet aux CloudWatch journaux
La politique suivante permet à un utilisateur d'accéder à toutes les actions CloudWatch des journaux.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Exemple 2 : Autoriser l'accès en lecture seule aux journaux CloudWatch
AWS fournit une **CloudWatchLogsReadOnlyAccess**politique qui permet l'accès en lecture seule aux CloudWatch données des journaux. Cette politique inclut les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Exemple 3 : Autoriser l'accès à un groupe de journaux
La stratégie suivante permet à un utilisateur de lire et d'écrire des événements de journaux dans un groupe de journaux spécifié.
**Important**
Le `:*` à la fin du nom du groupe de journaux dans la ligne `Resource` est obligatoire pour indiquer que la stratégie s'applique à tous les flux de journaux de ce groupe de journaux. Si vous omettez `:*`, la politique ne sera pas appliquée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### Utilisation de l'étiquetage, et des politiques IAM pour le contrôle au niveau du groupe de journaux
Vous pouvez accorder aux utilisateurs l'accès à certains groupes de journaux tout en leur empêchant d'accéder à d'autres groupes de journaux. Pour ce faire, étiquetez vos groupes de journaux et utilisez les politiques IAM qui font référence à ces identifications. Pour appliquer des balises à un groupe de journaux, vous devez disposer de l'autorisation `logs:TagResource` ou `logs:TagLogGroup`. Cela s'applique à la fois si vous attribuez des balises au groupe de journaux lorsque vous le créez ou si vous les attribuez ultérieurement.
Pour plus d'informations sur le balisage des groupes de journaux, consultez [Étiqueter les groupes de journaux dans Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Lorsque vous étiquetez les groupes de journaux, vous pouvez ensuite accorder une politique IAM à un utilisateur pour autoriser l'accès uniquement aux groupes de journaux associés à une identification particulière. Par exemple, la déclaration de stratégie suivante accorde l'accès uniquement aux groupes de journaux avec la valeur de `Green` pour la clé de balise `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
Les opérations **StopQuery**et **StopLiveTail**API n'interagissent pas avec les AWS ressources au sens traditionnel du terme. Elles ne renvoient aucune donnée, ne mettent aucune donnée et ne modifient aucune ressource de quelque façon que ce soit. Au lieu de cela, ils ne fonctionnent que sur une session de live tail donnée ou une requête CloudWatch Logs Insights donnée, qui ne sont pas classées dans la catégorie des ressources. Par conséquent, lorsque vous spécifiez le champ `Resource` dans les politiques IAM pour ces opérations, vous devez définir la valeur du champ `Resource` en tant que `*`, comme dans l'exemple de commande suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur l'utilisation des instructions de politique IAM, consultez [Contrôle de l'accès à l'aide des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) dans le *Guide de l'utilisateur IAM*.