Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch
Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran).
**penting**
Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya CloudWatch Log Anda. Untuk informasi selengkapnya, lihat [Ikhtisar mengelola izin akses ke sumber daya CloudWatch Log Anda](iam-access-control-overview-cwl.md).
Topik ini mencakup hal-hal berikut:
+ [Izin yang diperlukan untuk menggunakan konsol CloudWatch](#console-permissions-cwl)
+ [AWS kebijakan terkelola (standar) untuk CloudWatch Log](#managed-policies-cwl)
+ [Contoh kebijakan yang dikelola pelanggan](#customer-managed-policies-cwl)
Berikut ini adalah contoh kebijakan izin:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Kebijakan ini memiliki satu pernyataan yang memberikan izin untuk membuat grup log dan pengaliran log, untuk mengunggah log acara ke pengaliran log, dan daftar detail tentang pengaliran log.
Karakter wildcard (\*) dalam `Resource` nilai memberikan izin untuk tindakan yang terdaftar pada sumber CloudWatch Log apa pun.
+ **Untuk membatasi izin pada tindakan grup log tertentu** (misalnya,`CreateLogGroup`,`DescribeLogStreams`), ganti wildcard dengan grup log ARN— `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}`
+ **Untuk membatasi izin ke tindakan aliran log tertentu** (misalnya,,`PutLogEvents`)`CreateLogStream`, ganti wildcard dengan ARN aliran log— `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}:*` (cocok dengan semua aliran) atau (aliran tertentu) `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}:log-stream:{{MyStream}}`
Lihat [referensi otorisasi layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html) untuk jenis sumber daya yang dibutuhkan setiap API.
## Izin yang diperlukan untuk menggunakan konsol CloudWatch
Agar pengguna dapat bekerja dengan CloudWatch Log di CloudWatch konsol, pengguna tersebut harus memiliki seperangkat izin minimum yang memungkinkan pengguna mendeskripsikan AWS sumber daya lain di AWS akun mereka. Untuk menggunakan CloudWatch Log di CloudWatch konsol, Anda harus memiliki izin dari layanan berikut:
+ CloudWatch
+ CloudWatch Log
+ OpenSearch Layanan
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
Jika Anda membuat kebijakan IAM yang lebih ketat dari izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksudkan untuk pengguna dengan kebijakan IAM tersebut. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan CloudWatch konsol, lampirkan juga kebijakan `CloudWatchReadOnlyAccess` terkelola ke pengguna, seperti yang dijelaskan dalam[AWS kebijakan terkelola (standar) untuk CloudWatch Log](#managed-policies-cwl).
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau API CloudWatch Log.
Set lengkap izin yang diperlukan untuk bekerja dengan CloudWatch konsol untuk pengguna yang tidak menggunakan konsol untuk mengelola langganan log adalah:
+ jam tangan awan: GetMetricData
+ jam tangan awan: ListMetrics
+ log: CancelExportTask
+ log: CreateExportTask
+ log: CreateLogGroup
+ log: CreateLogStream
+ log: DeleteLogGroup
+ log: DeleteLogStream
+ log: DeleteMetricFilter
+ log: DeleteQueryDefinition
+ log: DeleteRetentionPolicy
+ log: DeleteSubscriptionFilter
+ log: DescribeExportTasks
+ log: DescribeLogGroups
+ log: DescribeLogStreams
+ log: DescribeMetricFilters
+ log: DescribeQueryDefinitions
+ log: DescribeQueries
+ log: DescribeSubscriptionFilters
+ log: FilterLogEvents
+ log: GetLogEvents
+ log: GetLogGroupFields
+ log: GetLogRecord
+ log: GetQueryResults
+ log: PutMetricFilter
+ log: PutQueryDefinition
+ log: PutRetentionPolicy
+ log: StartQuery
+ log: StopQuery
+ log: PutSubscriptionFilter
+ log: TestMetricFilter
Untuk pengguna yang juga akan menggunakan konsol untuk mengelola langganan log, izin berikut juga diperlukan:
+ es: DescribeElasticsearchDomain
+ es: ListDomainNames
+ saya: AttachRolePolicy
+ saya: CreateRole
+ saya: GetPolicy
+ saya: GetPolicyVersion
+ saya: GetRole
+ saya: ListAttachedRolePolicies
+ saya: ListRoles
+ kinesis: DescribeStreams
+ kinesis: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3: ListBuckets
## AWS kebijakan terkelola (standar) untuk CloudWatch Log
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna dan peran di akun Anda, khusus untuk CloudWatch Log:
+ **CloudWatchLogsFullAccess**— Memberikan akses penuh ke CloudWatch Log.
+ **CloudWatchLogsReadOnlyAccess**— Memberikan akses hanya-baca ke Log. CloudWatch
### CloudWatchLogsFullAccess
**CloudWatchLogsFullAccess**Kebijakan ini memberikan akses penuh ke CloudWatch Log. Kebijakan ini menyertakan `cloudwatch:GenerateQueryResultsSummary` izin `cloudwatch:GenerateQuery` dan, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [Wawasan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dari prompt bahasa alami. Untuk melihat isi lengkap kebijakan, lihat [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchLogsReadOnlyAccess
**CloudWatchLogsReadOnlyAccess**Kebijakan ini memberikan akses hanya-baca ke Log. CloudWatch Ini menyertakan `cloudwatch:GenerateQuery` dan `cloudwatch:GenerateQueryResultsSummary` izin, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [Wawasan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dari prompt bahasa alami. Untuk melihat isi lengkap kebijakan, lihat [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchOpenSearchDashboardsFullAccess
**CloudWatchOpenSearchDashboardsFullAccess**Kebijakan ini memberikan akses untuk membuat, mengelola, dan menghapus integrasi dengan OpenSearch Layanan, dan untuk membuat hapus dan mengelola dasbor log vended dalam integrasi tersebut. Untuk informasi selengkapnya, lihat [Analisis dengan Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchOpenSearchDashboardAccess
**CloudWatchOpenSearchDashboardAccess**Kebijakan ini memberikan akses untuk melihat dasbor log vended yang dibuat dengan analitik. Amazon OpenSearch Service Untuk informasi selengkapnya, lihat [Analisis dengan Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**penting**
Selain memberikan kebijakan ini, agar peran atau pengguna dapat melihat dasbor log penjual otomatis, Anda juga harus menentukannya saat membuat integrasi dengan Layanan. OpenSearch Untuk informasi selengkapnya, lihat [Langkah 1: Buat integrasi dengan OpenSearch Layanan](OpenSearch-Dashboards-Integrate.md).
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
#### CloudWatchLogsCrossAccountSharingConfiguration
**CloudWatchLogsCrossAccountSharingConfiguration**Kebijakan ini memberikan akses untuk membuat, mengelola, dan melihat tautan Pengelola Akses Observabilitas untuk berbagi sumber CloudWatch Log antar akun. Untuk informasi lebih lanjut, lihat [ CloudWatch observabilitas lintas akun](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
#### CloudWatchLogsAPIKeyAccess
**CloudWatchLogsAPIKeyAccess**Kebijakan ini mengaktifkan otentikasi kunci CloudWatch Logs API dan konsumsi log terenkripsi. Kebijakan ini memberikan izin untuk mengautentikasi menggunakan token pembawa dan menulis peristiwa log ke Log, dengan AWS KMS izin tambahan untuk mendekripsi dan membuat kunci data saat CloudWatch log dienkripsi.
Kebijakan ini memberikan izin berikut:
+ `logs`— Memungkinkan prinsipal untuk mengautentikasi melalui token pembawa kunci API dan menulis peristiwa log ke aliran Log. CloudWatch
+ `kms`— Memungkinkan prinsipal membaca metadata kunci, menghasilkan AWS KMS kunci data untuk enkripsi, dan mendekripsi data. Izin ini mendukung CloudWatch Log terenkripsi dengan memungkinkan layanan mengenkripsi data log menggunakan kunci yang dikelola pelanggan. AWS KMS Akses dibatasi untuk operasi yang dipanggil melalui layanan CloudWatch Log.
Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatch Log pembaruan ke AWS kebijakan terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk CloudWatch Log sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen CloudWatch Log.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccess](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess)— Kebijakan baru. | CloudWatch Log menambahkan kebijakan terkelola baru **CloudWatchLogsAPIKeyAccess**.
Kebijakan ini memungkinkan otentikasi kunci API CloudWatch Log dan konsumsi log terenkripsi, memberikan izin untuk mengautentikasi menggunakan token pembawa dan menulis peristiwa log ke Log. CloudWatch | Februari 17, 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsFullAccess**.
Izin untuk tindakan administrasi observabilitas ditambahkan untuk memungkinkan akses hanya-baca ke pipeline telemetri dan integrasi tabel S3. | Desember 02, 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsReadOnlyAccess**.
Izin untuk tindakan administrasi observabilitas ditambahkan untuk memungkinkan akses hanya-baca ke pipeline telemetri dan integrasi tabel S3. | Desember 02, 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsFullAccess**.
Izin untuk `cloudwatch:GenerateQueryResultsSummary` ditambahkan untuk memungkinkan pembuatan ringkasan bahasa alami dari hasil kueri. | Mei 20, 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsReadOnlyAccess**.
Izin untuk `cloudwatch:GenerateQueryResultsSummary` ditambahkan untuk memungkinkan pembuatan ringkasan bahasa alami dari hasil kueri. | Mei 20, 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsFullAccess**.
Izin untuk Amazon OpenSearch Service dan IAM ditambahkan, untuk mengaktifkan integrasi CloudWatch Log dengan OpenSearch Layanan untuk beberapa fitur. | Desember 1, 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Kebijakan IAM baru. | CloudWatch Log menambahkan kebijakan IAM baru, **CloudWatchOpenSearchDashboardsFullAccess**.- Kebijakan ini memberikan akses untuk membuat, mengelola, dan menghapus integrasi dengan OpenSearch Layanan, dan untuk membuat, mengelola, dan menghapus dasbor log vended dalam integrasi tersebut. Untuk informasi selengkapnya, lihat [Analisis dengan Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | Desember 1, 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Kebijakan IAM baru. | CloudWatch Log menambahkan kebijakan IAM baru, **CloudWatchOpenSearchDashboardAccess**.- Kebijakan ini memberikan akses untuk melihat dasbor log vended yang didukung oleh. Amazon OpenSearch Service Untuk informasi selengkapnya, lihat [Analisis dengan Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | Desember 1, 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsFullAccess**.
`cloudwatch:GenerateQuery`Izin ditambahkan, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [Wawasan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dari prompt bahasa alami. | 27 November 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess)— Perbarui ke kebijakan yang ada. | CloudWatch menambahkan izin untuk **CloudWatchLogsReadOnlyAccess**.
`cloudwatch:GenerateQuery`Izin ditambahkan, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [Wawasan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dari prompt bahasa alami. | 27 November 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch Log menambahkan izin ke **CloudWatchLogsReadOnlyAccess**.
Izin `logs:StartLiveTail` dan `logs:StopLiveTail` izin ditambahkan sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk memulai dan menghentikan sesi ekor langsung CloudWatch Log. Untuk informasi selengkapnya, silakan lihat [ Menggunakan live tail untuk melihat log mendekati waktu nyata](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 Juni 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – Kebijakan baru | CloudWatch Log menambahkan kebijakan baru untuk memungkinkan Anda mengelola tautan pengamatan CloudWatch lintas akun yang berbagi grup CloudWatch log Log.
Untuk informasi lebih lanjut, lihat [ CloudWatch observabilitas lintas akun](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 November 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch Log menambahkan izin ke **CloudWatchLogsReadOnlyAccess**.
Izin `oam:ListSinks` dan `oam:ListAttachedLinks` izin ditambahkan sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. | 27 November 2022 |
### Contoh kebijakan yang dikelola pelanggan
Anda dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber CloudWatch daya Log. Anda dapat menyematkan kebijakan khusus ini untuk pengguna atau grup yang memerlukan izin tersebut.
Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan CloudWatch Log. Kebijakan ini berfungsi saat Anda menggunakan CloudWatch Logs API, AWS SDK, atau file. AWS CLI
**Topics**
+ [Contoh 1: Izinkan akses penuh ke CloudWatch Log](#w2aac61c15c15c27c19b9)
+ [Contoh 2: Izinkan akses hanya-baca ke Log CloudWatch](#w2aac61c15c15c27c19c11)
+ [Contoh 3: Izinkan akses ke satu grup log/aliran log](#w2aac61c15c15c27c19c13)
#### Contoh 1: Izinkan akses penuh ke CloudWatch Log
Kebijakan berikut memungkinkan pengguna mengakses semua tindakan CloudWatch Log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Contoh 2: Izinkan akses hanya-baca ke Log CloudWatch
AWS menyediakan **CloudWatchLogsReadOnlyAccess**kebijakan yang memungkinkan akses hanya-baca ke data CloudWatch Log. Kebijakan ini mencakup izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Contoh 3: Izinkan akses ke satu grup log/aliran log
CloudWatch Log memiliki dua jenis sumber daya dengan format ARN yang berbeda:
+ **Grup log**: `arn:aws:logs:{{region}}:{{account}}:log-group:{{LogGroupName}}`
+ **Aliran log**: `arn:aws:logs:{{region}}:{{account}}:log-group:{{LogGroupName}}:log-stream:{{StreamName}}`
Saat menulis kebijakan IAM, format ARN yang Anda gunakan harus cocok dengan jenis sumber daya yang diotorisasi API. Lihat [referensi otorisasi layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html) untuk jenis sumber daya yang dibutuhkan setiap API.
##### Contoh 3a: Izinkan akses ke tindakan tingkat log-grup pada grup log tertentu
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy",
"logs:PutSubscriptionFilter",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
}
]
}
```
Tindakan ini mengotorisasi pada jenis `log-group` sumber daya. Format ARN standar (tanpa`:*`) didukung.
##### Contoh 3b: Izinkan akses ke tindakan tingkat aliran log pada grup log tertentu
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
Tindakan ini mengotorisasi pada jenis `log-stream` sumber daya. `:*`Akhiran diperlukan untuk mencocokkan semua aliran log dalam grup log, atau menentukan aliran tertentu dengan. `:log-stream:{{StreamName}}`
##### Contoh 3c: Kebijakan gabungan untuk tindakan log-group dan log-stream
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy",
"logs:DescribeLogStreams",
"logs:FilterLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
### Menggunakan penandaan dan kebijakan IAM untuk mengendalikan di tingkat grup log
Anda dapat memberi pengguna akses ke grup log tertentu serta mencegah mereka mengakses grup log lainnya. Untuk melakukannya, beri tanda grup log Anda dan gunakan kebijakan IAM yang merujuk ke tanda tersebut. Untuk menerapkan tag ke grup log, Anda harus memiliki `logs:TagLogGroup` izin `logs:TagResource` atau izin. Ini berlaku baik jika Anda menetapkan tag ke grup log saat Anda membuatnya. atau menetapkannya nanti.
Untuk informasi selengkapnya tentang penandaan grup log, lihat [Tandai grup log di Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Ketika Anda menandai grup log, Anda kemudian dapat memberikan kebijakan IAM kepada pengguna untuk mengizinkan akses hanya ke grup log dengan tanda tertentu. Sebagai contoh, pernyataan kebijakan berikut ini memberikan akses ke hanya grup log dengan nilai `Green` untuk kunci tanda `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
Operasi **StopLiveTail**API **StopQuery**dan tidak berinteraksi dengan AWS sumber daya dalam pengertian tradisional. Mereka tidak mengembalikan data apa pun, memasukkan data apa pun, atau memodifikasi sumber daya dengan cara apa pun. Sebaliknya, mereka hanya beroperasi pada sesi ekor langsung tertentu atau kueri Wawasan CloudWatch Log tertentu, yang tidak dikategorikan sebagai sumber daya. Akibatnya, ketika Anda menentukan `Resource` bidang dalam kebijakan IAM untuk operasi ini, Anda harus menetapkan nilai `Resource` bidang sebagai`*`, seperti pada contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang menggunakan pernyataan kebijakan IAM, lihat [Mengendalikan Akses Menggunakan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) dalam *Panduan Pengguna IAM*.