Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di Amazon CloudWatch Log
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku WorkSpaces, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup kepekaan data Anda, persyaratan perusahaan, serta peraturan perundangan yang berlaku
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Amazon CloudWatch Logs. Ini menunjukkan kepada Anda cara mengonfigurasi CloudWatch Log Amazon untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya CloudWatch Log Anda.
**Topics**
+ [Perlindungan data di Amazon CloudWatch Logs](data-protection.md)
+ [Manajemen identitas dan akses untuk Amazon CloudWatch Logs](auth-and-access-control-cwl.md)
+ [Validasi kepatuhan untuk Amazon Logs CloudWatch](compliance-validation.md)
+ [Ketahanan di Log Amazon CloudWatch](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di Amazon CloudWatch Logs](infrastructure-security.md)
+ [Menggunakan CloudWatch Log dengan titik akhir VPC antarmuka](cloudwatch-logs-and-interface-VPC.md)
# Perlindungan data di Amazon CloudWatch Logs
**catatan**
Selain informasi berikut tentang perlindungan data umum di AWS, CloudWatch Log juga memungkinkan Anda untuk melindungi data sensitif dalam peristiwa log dengan menutupinya. Untuk informasi selengkapnya, lihat [Membantu melindungi data log sensitif dengan masking](mask-sensitive-log-data.md).
[Model tanggung jawab AWS bersama model tanggung](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon CloudWatch Logs. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan CloudWatch Log atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Enkripsi saat diam
CloudWatch Log melindungi data saat istirahat menggunakan enkripsi. Semua grup log dienkripsi. Secara default, layanan CloudWatch Log mengelola enkripsi sisi server dan menggunakan enkripsi sisi server dengan 256-bit Advanced Encryption Standard Galois/Counter Mode (AES-GCM) untuk mengenkripsi data log saat istirahat.
Jika Anda ingin mengelola kunci yang digunakan untuk mengenkripsi dan mendekripsi log Anda, gunakan kunci. AWS KMS Untuk informasi selengkapnya, lihat [Enkripsi data log di CloudWatch Log menggunakan AWS Key Management Service](encrypt-log-data-kms.md).
## Enkripsi saat bergerak
CloudWatch Log menggunakan end-to-end enkripsi data dalam perjalanan. Layanan CloudWatch Log mengelola kunci enkripsi sisi server.
# Manajemen identitas dan akses untuk Amazon CloudWatch Logs
Akses ke Amazon CloudWatch Log memerlukan kredensyal yang AWS dapat digunakan untuk mengautentikasi permintaan Anda. Kredensi tersebut harus memiliki izin untuk mengakses AWS sumber daya, seperti untuk mengambil data CloudWatch Log tentang sumber daya cloud Anda. Bagian berikut memberikan rincian tentang bagaimana Anda dapat menggunakan [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dan CloudWatch Log untuk membantu mengamankan sumber daya Anda dengan mengontrol siapa yang dapat mengaksesnya:
+ [Autentikasi](#authentication-cwl)
+ [Kontrol akses](#access-control-cwl)
## Autentikasi
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
## Kontrol akses
Anda dapat memiliki kredensi yang valid untuk mengautentikasi permintaan Anda, tetapi kecuali Anda memiliki izin, Anda tidak dapat membuat atau mengakses sumber daya Log. CloudWatch Misalnya, Anda harus memiliki izin untuk membuat pengaliran log, membuat grup log, dan sebagainya.
Bagian berikut menjelaskan cara mengelola izin untuk CloudWatch Log. Anda sebaiknya membaca gambaran umum terlebih dahulu.
+ [Ikhtisar mengelola izin akses ke sumber daya CloudWatch Log Anda](iam-access-control-overview-cwl.md)
+ [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Referensi izin log](permissions-reference-cwl.md)
# Ikhtisar mengelola izin akses ke sumber daya CloudWatch Log Anda
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
**Topics**
+ [CloudWatch Log sumber daya dan operasi](#CWL_ARN_Format)
+ [Memahami kepemilikan sumber daya](#understanding-resource-ownership-cwl)
+ [Mengelola akses ke sumber daya](#managing-access-resources-cwl)
+ [Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab](#actions-effects-principals-cwl)
+ [Menetapkan ketentuan dalam kebijakan](#policy-conditions-cwl)
## CloudWatch Log sumber daya dan operasi
Di CloudWatch Log, sumber daya utama adalah grup log, aliran log, dan tujuan. CloudWatch Log tidak mendukung subsumber daya (sumber daya lain untuk digunakan dengan sumber daya utama).
Sumber daya dan subsumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya seperti yang ditunjukkan pada tabel berikut.
| Tipe sumber daya | Format ARN |
| --- | --- |
| Grup log | Kedua hal berikut ini digunakan. Yang kedua, dengan `:*` di akhir, adalah apa yang dikembalikan oleh perintah `describe-log-groups` CLI dan API. **DescribeLogGroups** arn:aws:logs: ::log-group: *region* *account-id* *log\$1group\$1name* arn:aws:logs: ::log-group:: \$1 *region* *account-id* *log\$1group\$1name* Gunakan versi pertama, tanpa trailing`:*`, dalam situasi berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) Gunakan versi kedua, dengan tambahan`:*`, untuk merujuk ke ARN saat menentukan izin dalam kebijakan IAM untuk semua tindakan API lainnya. |
| Pengaliran log | arn:aws:logs: ::log-group ::log-stream: *region* *account-id* *log\$1group\$1name* *log-stream-name* |
| Tujuan | arn:aws:logs: ::tujuan: *region* *account-id* *destination\$1name* |
Untuk informasi selengkapnya ARNs, lihat [ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)di *Panduan Pengguna IAM*. Untuk informasi tentang CloudWatch Log ARNs, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs) di *Referensi Umum Amazon Web Services*. Untuk contoh kebijakan yang mencakup CloudWatch Log, lihat[Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch](iam-identity-based-access-control-cwl.md).
CloudWatch Log menyediakan serangkaian operasi untuk bekerja dengan sumber daya CloudWatch Log. Untuk daftar operasi yang tersedia, lihat [CloudWatch Referensi izin log](permissions-reference-cwl.md).
## Memahami kepemilikan sumber daya
AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun [entitas utama](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (yaitu, akun root, pengguna, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:
+ Jika Anda menggunakan kredensi akun root AWS akun Anda untuk membuat grup log, AWS akun Anda adalah pemilik sumber daya CloudWatch Log.
+ Jika Anda membuat pengguna di AWS akun Anda dan memberikan izin untuk membuat sumber daya CloudWatch Log kepada pengguna tersebut, pengguna dapat membuat sumber daya CloudWatch Log. Namun, AWS akun Anda, yang menjadi milik pengguna, memiliki sumber daya CloudWatch Log.
+ Jika Anda membuat peran IAM di AWS akun Anda dengan izin untuk membuat sumber daya CloudWatch Log, siapa pun yang dapat mengambil peran tersebut dapat membuat sumber daya CloudWatch Log. AWS Akun Anda, yang menjadi milik peran tersebut, memiliki sumber daya CloudWatch Log.
## Mengelola akses ke sumber daya
*Kebijakan izin* menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.
**catatan**
Bagian ini membahas penggunaan IAM dalam konteks Log. CloudWatch Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat [Referensi Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM) dan kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. CloudWatch Log mendukung kebijakan berbasis identitas, dan kebijakan berbasis sumber daya untuk tujuan, yang digunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat [Langganan lintas akun Lintas wilayah](CrossAccountSubscriptions.md).
**Topics**
+ [Izin grup log dan Wawasan Kontributor](#cloudwatch-logs-permissions-and-contributor-insights)
+ [Kebijakan berbasis sumber daya](#resource-based-policies-cwl)
### Izin grup log dan Wawasan Kontributor
Contributor Insights adalah fitur CloudWatch yang memungkinkan Anda menganalisis data dari grup log dan membuat deret waktu yang menampilkan data kontributor. Anda dapat melihat metrik tentang kontributor N teratas, total kontributor unik, dan penggunaannya. Untuk informasi selengkapnya, lihat [Menggunakan Wawasan Kontributor untuk Menganalisis Data Berkardinalitas Tinggi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html).
Saat Anda memberikan izin `cloudwatch:PutInsightRule` dan `cloudwatch:GetInsightRuleReport` izin kepada pengguna, pengguna tersebut dapat membuat aturan yang mengevaluasi grup log apa pun di CloudWatch Log dan kemudian melihat hasilnya. Hasil dapat memuat data kontributor untuk grup log tersebut. Pastikan untuk memberikan izin ini hanya kepada pengguna yang harus dapat melihat data ini.
### Kebijakan berbasis sumber daya
CloudWatch Log mendukung kebijakan berbasis sumber daya untuk tujuan, yang dapat Anda gunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat [Langkah 1: Buat tujuan](CreateDestination.md). Tujuan dapat dibuat menggunakan [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API, dan Anda dapat menambahkan kebijakan sumber daya ke tujuan menggunakan [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)API. Contoh berikut mengizinkan akun lain dengan ID akun AWS 111122223333 untuk melanggankan grup lognya ke tujuan `arn:aws:logs:us-east-1:123456789012:destination:testDestination`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab
Untuk setiap sumber daya CloudWatch Log, layanan mendefinisikan satu set operasi API. Untuk memberikan izin untuk operasi API ini, CloudWatch Log mendefinisikan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa operasi API dapat memerlukan izin untuk lebih dari satu tindakan untuk melakukan operasi API. Untuk informasi selengkapnya tentang sumber daya dan operasi API, lihat [CloudWatch Log sumber daya dan operasi](#CWL_ARN_Format) dan [CloudWatch Referensi izin log](permissions-reference-cwl.md).
Berikut ini adalah elemen-elemen kebijakan dasar:
+ **Sumber daya** – Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat [CloudWatch Log sumber daya dan operasi](#CWL_ARN_Format).
+ **Tindakan** – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin `logs.DescribeLogGroups` memungkinkan pengguna untuk melakukan `DescribeLogGroups` operasi.
+ **Pengaruh** – Anda menetapkan pengaruh, baik memperbolehkan atau menolak, ketika pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.
+ **Principal** – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). CloudWatch Log mendukung kebijakan berbasis sumber daya untuk tujuan.
Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat [Referensi Kebijakan IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
Untuk tabel yang menampilkan semua tindakan API CloudWatch Log dan sumber daya yang diterapkan, lihat[CloudWatch Referensi izin log](permissions-reference-cwl.md).
## Menetapkan ketentuan dalam kebijakan
Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan syarat ketika kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat [Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Untuk daftar kunci konteks yang didukung oleh setiap AWS layanan dan daftar kunci kebijakan AWS-wide, lihat Kunci [tindakan, sumber daya, dan kondisi untuk AWS layanan dan kunci](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) [konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
**catatan**
Anda dapat menggunakan tag untuk mengontrol akses ke sumber CloudWatch Log, termasuk grup log dan tujuan. Akses ke aliran log dikontrol pada tingkat grup log, karena hubungan hierarkis antara grup log dan aliran log. Untuk informasi selengkapnya tentang penggunaan tanda untuk mengendalikan akses, lihat [Mengendalikan akses ke sumber daya Amazon Web Services menggunakan tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
# Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch
Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran).
**penting**
Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya CloudWatch Log Anda. Untuk informasi selengkapnya, lihat [Ikhtisar mengelola izin akses ke sumber daya CloudWatch Log Anda](iam-access-control-overview-cwl.md).
Topik ini mencakup hal-hal berikut:
+ [Izin diperlukan untuk menggunakan konsol CloudWatch](#console-permissions-cwl)
+ [AWS kebijakan terkelola (standar) untuk CloudWatch Log](#managed-policies-cwl)
+ [Contoh kebijakan yang dikelola pelanggan](#customer-managed-policies-cwl)
Berikut ini adalah contoh kebijakan izin:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Kebijakan ini memiliki satu pernyataan yang memberikan izin untuk membuat grup log dan pengaliran log, untuk mengunggah log acara ke pengaliran log, dan daftar detail tentang pengaliran log.
Karakter wildcard (\$1) di akhir nilai `Resource` berarti bahwa pernyataan memungkinkan izin untuk tindakan `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents`, dan `logs:DescribeLogStreams` di setiap grup log. Untuk membatasi izin ini ke grup log tertentu, ganti karakter wildcard (\$1) di ARN sumber daya dengan ARN grup log tertentu. Untuk informasi selengkapnya tentang bagian-bagian dalam pernyataan kebijakan IAM, lihat [Referensi Elemen Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) dalam *Panduan Pengguna IAM*. Untuk daftar yang menampilkan semua tindakan CloudWatch Log, lihat[CloudWatch Referensi izin log](permissions-reference-cwl.md).
## Izin diperlukan untuk menggunakan konsol CloudWatch
Agar pengguna dapat bekerja dengan CloudWatch Log di CloudWatch konsol, pengguna tersebut harus memiliki seperangkat izin minimum yang memungkinkan pengguna mendeskripsikan AWS sumber daya lain di AWS akun mereka. Untuk menggunakan CloudWatch Log di CloudWatch konsol, Anda harus memiliki izin dari layanan berikut:
+ CloudWatch
+ CloudWatch Log
+ OpenSearch Layanan
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
Jika Anda membuat kebijakan IAM yang lebih ketat dari izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksudkan untuk pengguna dengan kebijakan IAM tersebut. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan CloudWatch konsol, lampirkan juga kebijakan `CloudWatchReadOnlyAccess` terkelola ke pengguna, seperti yang dijelaskan dalam[AWS kebijakan terkelola (standar) untuk CloudWatch Log](#managed-policies-cwl).
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau API CloudWatch Log.
Set lengkap izin yang diperlukan untuk bekerja dengan CloudWatch konsol untuk pengguna yang tidak menggunakan konsol untuk mengelola langganan log adalah:
+ jam tangan awan: GetMetricData
+ jam tangan awan: ListMetrics
+ log: CancelExportTask
+ log: CreateExportTask
+ log: CreateLogGroup
+ log: CreateLogStream
+ log: DeleteLogGroup
+ log: DeleteLogStream
+ log: DeleteMetricFilter
+ log: DeleteQueryDefinition
+ log: DeleteRetentionPolicy
+ log: DeleteSubscriptionFilter
+ log: DescribeExportTasks
+ log: DescribeLogGroups
+ log: DescribeLogStreams
+ log: DescribeMetricFilters
+ log: DescribeQueryDefinitions
+ log: DescribeQueries
+ log: DescribeSubscriptionFilters
+ log: FilterLogEvents
+ log: GetLogEvents
+ log: GetLogGroupFields
+ log: GetLogRecord
+ log: GetQueryResults
+ log: PutMetricFilter
+ log: PutQueryDefinition
+ log: PutRetentionPolicy
+ log: StartQuery
+ log: StopQuery
+ log: PutSubscriptionFilter
+ log: TestMetricFilter
Untuk pengguna yang juga akan menggunakan konsol untuk mengelola langganan log, izin berikut juga diperlukan:
+ es: DescribeElasticsearchDomain
+ es: ListDomainNames
+ saya: AttachRolePolicy
+ saya: CreateRole
+ saya: GetPolicy
+ saya: GetPolicyVersion
+ saya: GetRole
+ saya: ListAttachedRolePolicies
+ saya: ListRoles
+ kinesis: DescribeStreams
+ kinesis: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3: ListBuckets
## AWS kebijakan terkelola (standar) untuk CloudWatch Log
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna dan peran di akun Anda, khusus untuk CloudWatch Log:
+ **CloudWatchLogsFullAccess**— Memberikan akses penuh ke CloudWatch Log.
+ **CloudWatchLogsReadOnlyAccess**— Memberikan akses hanya-baca ke Log. CloudWatch
### CloudWatchLogsFullAccess
**CloudWatchLogsFullAccess**Kebijakan ini memberikan akses penuh ke CloudWatch Log. Kebijakan ini menyertakan `cloudwatch:GenerateQueryResultsSummary` izin `cloudwatch:GenerateQuery` dan, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [Wawasan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dari prompt bahasa alami. Untuk melihat isi lengkap kebijakan, lihat [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchLogsReadOnlyAccess
**CloudWatchLogsReadOnlyAccess**Kebijakan ini memberikan akses hanya-baca ke Log. CloudWatch Ini menyertakan `cloudwatch:GenerateQuery` dan `cloudwatch:GenerateQueryResultsSummary` izin, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [Wawasan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dari prompt bahasa alami. Untuk melihat isi lengkap kebijakan, lihat [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchOpenSearchDashboardsFullAccess
**CloudWatchOpenSearchDashboardsFullAccess**Kebijakan ini memberikan akses untuk membuat, mengelola, dan menghapus integrasi dengan OpenSearch Service, dan untuk membuat hapus dan mengelola dasbor log vended dalam integrasi tersebut. Untuk informasi selengkapnya, lihat [Analisis dengan Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchOpenSearchDashboardAccess
**CloudWatchOpenSearchDashboardAccess**Kebijakan ini memberikan akses untuk melihat dasbor log vended yang dibuat dengan analitik. Amazon OpenSearch Service Untuk informasi selengkapnya, lihat [Analisis dengan Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**penting**
Selain memberikan kebijakan ini, agar peran atau pengguna dapat melihat dasbor log penjual otomatis, Anda juga harus menentukannya saat membuat integrasi dengan Layanan. OpenSearch Untuk informasi selengkapnya, lihat [Langkah 1: Buat integrasi dengan OpenSearch Layanan](OpenSearch-Dashboards-Integrate.md).
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
#### CloudWatchLogsCrossAccountSharingConfiguration
**CloudWatchLogsCrossAccountSharingConfiguration**Kebijakan ini memberikan akses untuk membuat, mengelola, dan melihat tautan Pengelola Akses Observabilitas untuk berbagi sumber CloudWatch Log antar akun. Untuk informasi lebih lanjut, lihat [ CloudWatch observabilitas lintas akun](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
#### CloudWatchLogsAPIKeyAkses
Kebijakan **CloudWatchLogsAPIKeyAccess** memungkinkan otentikasi kunci CloudWatch Logs API dan konsumsi log terenkripsi. Kebijakan ini memberikan izin untuk mengautentikasi menggunakan token pembawa dan menulis peristiwa log ke Log, dengan AWS KMS izin tambahan untuk mendekripsi dan membuat kunci data saat CloudWatch log dienkripsi.
Kebijakan ini memberikan izin berikut:
+ `logs`— Memungkinkan prinsipal untuk mengautentikasi melalui token pembawa kunci API dan menulis peristiwa log ke aliran Log. CloudWatch
+ `kms`— Memungkinkan prinsipal membaca metadata kunci, menghasilkan AWS KMS kunci data untuk enkripsi, dan mendekripsi data. Izin ini mendukung CloudWatch Log terenkripsi dengan memungkinkan layanan mengenkripsi data log menggunakan kunci yang dikelola pelanggan. AWS KMS Akses dibatasi untuk operasi yang dipanggil melalui layanan CloudWatch Log.
Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [CloudWatchLogsAPIKeyAkses](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatch Log pembaruan ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk CloudWatch Log sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen CloudWatch Log.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAkses](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) — Kebijakan baru. | CloudWatch Log menambahkan **CloudWatchLogsAPIKeyAccess** kebijakan terkelola baru. Kebijakan ini memungkinkan otentikasi kunci API CloudWatch Log dan konsumsi log terenkripsi, memberikan izin untuk mengautentikasi menggunakan token pembawa dan menulis peristiwa log ke Log. CloudWatch | Februari 17, 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsFullAccess**. Izin untuk tindakan administrasi observabilitas ditambahkan untuk memungkinkan akses hanya-baca ke pipeline telemetri dan integrasi tabel S3. | Desember 02, 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsReadOnlyAccess**. Izin untuk tindakan administrasi observabilitas ditambahkan untuk memungkinkan akses hanya-baca ke pipeline telemetri dan integrasi tabel S3. | Desember 02, 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsFullAccess**. Izin untuk `cloudwatch:GenerateQueryResultsSummary` ditambahkan untuk memungkinkan pembuatan ringkasan bahasa alami dari hasil kueri. | Mei 20, 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsReadOnlyAccess**. Izin untuk `cloudwatch:GenerateQueryResultsSummary` ditambahkan untuk memungkinkan pembuatan ringkasan bahasa alami dari hasil kueri. | Mei 20, 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsFullAccess**. Izin untuk Amazon OpenSearch Service dan IAM ditambahkan, untuk mengaktifkan integrasi CloudWatch Log dengan OpenSearch Layanan untuk beberapa fitur. | Desember 1, 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Kebijakan IAM baru. | CloudWatch Log menambahkan kebijakan IAM baru, **CloudWatchOpenSearchDashboardsFullAccess**.- Kebijakan ini memberikan akses untuk membuat, mengelola, dan menghapus integrasi dengan OpenSearch Layanan, dan untuk membuat, mengelola, dan menghapus dasbor log vended dalam integrasi tersebut. Untuk informasi selengkapnya, lihat [Analisis dengan Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | Desember 1, 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Kebijakan IAM baru. | CloudWatch Log menambahkan kebijakan IAM baru, **CloudWatchOpenSearchDashboardAccess**.- Kebijakan ini memberikan akses untuk melihat dasbor log vended yang didukung oleh. Amazon OpenSearch Service Untuk informasi selengkapnya, lihat [Analisis dengan Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | Desember 1, 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess)— Perbarui ke kebijakan yang ada. | CloudWatch Log menambahkan izin ke **CloudWatchLogsFullAccess**. `cloudwatch:GenerateQuery`Izin ditambahkan, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [Wawasan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dari prompt bahasa alami. | 27 November 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess)— Perbarui ke kebijakan yang ada. | CloudWatch menambahkan izin untuk **CloudWatchLogsReadOnlyAccess**. `cloudwatch:GenerateQuery`Izin ditambahkan, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [Wawasan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dari prompt bahasa alami. | 27 November 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch Log menambahkan izin ke **CloudWatchLogsReadOnlyAccess**. Izin `logs:StartLiveTail` dan `logs:StopLiveTail` izin ditambahkan sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk memulai dan menghentikan sesi ekor langsung CloudWatch Log. Untuk informasi selengkapnya, silakan lihat [ Menggunakan live tail untuk melihat log mendekati waktu nyata](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 Juni 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – Kebijakan baru | CloudWatch Log menambahkan kebijakan baru untuk memungkinkan Anda mengelola tautan pengamatan CloudWatch lintas akun yang berbagi grup CloudWatch log Log. Untuk informasi lebih lanjut, lihat [ CloudWatch observabilitas lintas akun](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 November 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch Log menambahkan izin ke **CloudWatchLogsReadOnlyAccess**. Izin `oam:ListSinks` dan `oam:ListAttachedLinks` izin ditambahkan sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. | 27 November 2022 |
### Contoh kebijakan yang dikelola pelanggan
Anda dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber CloudWatch daya Log. Anda dapat menyematkan kebijakan khusus ini untuk pengguna atau grup yang memerlukan izin tersebut.
Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan CloudWatch Log. Kebijakan ini berfungsi saat Anda menggunakan CloudWatch Logs API, AWS SDKs, atau file AWS CLI.
**Topics**
+ [Contoh 1: Izinkan akses penuh ke CloudWatch Log](#w2aac59c15c15c23c19b9)
+ [Contoh 2: Izinkan akses hanya-baca ke Log CloudWatch](#w2aac59c15c15c23c19c11)
+ [Contoh 3: Izinkan akses ke satu grup log](#w2aac59c15c15c23c19c13)
#### Contoh 1: Izinkan akses penuh ke CloudWatch Log
Kebijakan berikut memungkinkan pengguna mengakses semua tindakan CloudWatch Log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Contoh 2: Izinkan akses hanya-baca ke Log CloudWatch
AWS menyediakan **CloudWatchLogsReadOnlyAccess**kebijakan yang memungkinkan akses hanya-baca ke data CloudWatch Log. Kebijakan ini mencakup izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Contoh 3: Izinkan akses ke satu grup log
Kebijakan berikut mengizinkan pengguna untuk membaca dan menulis log acara dalam satu grup log tertentu.
**penting**
`:*`Di akhir nama grup log di `Resource` baris diperlukan untuk menunjukkan bahwa kebijakan berlaku untuk semua aliran log di grup log ini. Jika Anda menghilangkan`:*`, kebijakan tidak akan diberlakukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### Menggunakan penandaan dan kebijakan IAM untuk mengendalikan di tingkat grup log
Anda dapat memberi pengguna akses ke grup log tertentu serta mencegah mereka mengakses grup log lainnya. Untuk melakukannya, beri tanda grup log Anda dan gunakan kebijakan IAM yang merujuk ke tanda tersebut. Untuk menerapkan tag ke grup log, Anda harus memiliki `logs:TagLogGroup` izin `logs:TagResource` atau izin. Ini berlaku baik jika Anda menetapkan tag ke grup log saat Anda membuatnya. atau menetapkannya nanti.
Untuk informasi selengkapnya tentang penandaan grup log, lihat [Tandai grup log di Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Ketika Anda menandai grup log, Anda kemudian dapat memberikan kebijakan IAM kepada pengguna untuk mengizinkan akses hanya ke grup log dengan tanda tertentu. Sebagai contoh, pernyataan kebijakan berikut ini memberikan akses ke hanya grup log dengan nilai `Green` untuk kunci tanda `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
Operasi **StopLiveTail**API **StopQuery**dan tidak berinteraksi dengan AWS sumber daya dalam pengertian tradisional. Mereka tidak mengembalikan data apa pun, memasukkan data apa pun, atau memodifikasi sumber daya dengan cara apa pun. Sebaliknya, mereka hanya beroperasi pada sesi ekor langsung tertentu atau kueri Wawasan CloudWatch Log tertentu, yang tidak dikategorikan sebagai sumber daya. Akibatnya, ketika Anda menentukan `Resource` bidang dalam kebijakan IAM untuk operasi ini, Anda harus menetapkan nilai `Resource` bidang sebagai`*`, seperti pada contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang menggunakan pernyataan kebijakan IAM, lihat [Mengendalikan Akses Menggunakan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) dalam *Panduan Pengguna IAM*.
# CloudWatch Referensi izin log
Ketika Anda mengatur [Kontrol akses](auth-and-access-control-cwl.md#access-control-cwl) dan menulis kebijakan izin yang dapat Anda lampirkan ke identitas IAM (kebijakan berbasis identitas), Anda dapat menggunakan tabel berikut sebagai referensi. Tabel mencantumkan setiap operasi API CloudWatch Log dan tindakan terkait yang dapat Anda berikan izin untuk melakukan tindakan. Anda menentukan tindakan di bidang `Action` kebijakan. Untuk `Resource` bidang, Anda dapat menentukan ARN grup log atau aliran log, atau menentukan `*` untuk mewakili semua sumber CloudWatch Log.
Anda dapat menggunakan kunci kondisi AWS-wide dalam kebijakan CloudWatch Log Anda untuk menyatakan kondisi. Untuk daftar lengkap kunci AWS-wide, lihat [Kunci Konteks Kondisi AWS Global dan IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) Pengguna *IAM*.
**catatan**
Untuk menentukan tindakan, gunakan awalan `logs:` diikuti dengan nama operasi API. Misalnya:`logs:CreateLogGroup`,`logs:CreateLogStream`, atau `logs:*` (untuk semua tindakan CloudWatch Log).
**CloudWatch Log operasi API dan izin yang diperlukan untuk tindakan**
| CloudWatch Log operasi API | Izin yang diperlukan (tindakan API) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` Diperlukan untuk membatalkan tugas ekspor yang tertunda atau berjalan. |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` Diperlukan untuk mengekspor data dari grup log ke buket Amazon S3. |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` Diperlukan untuk membuat grup log baru. |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` Diperlukan untuk membuat aliran log baru dalam grup log. |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` Diperlukan untuk menghapus tujuan log dan menonaktifkan penyaring berlangganan apa pun. |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` Diperlukan untuk menghapus grup log dan semua peristiwa log yang diarsipkan yang terkait. |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` Diperlukan untuk menghapus aliran log dan peristiwa log yang diarsipkan yang terkait. |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` Diperlukan untuk menghapus penyaring metrik yang terkait dengan grup log. |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` Diperlukan untuk menghapus definisi kueri yang disimpan di Wawasan CloudWatch Log. |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` Diperlukan untuk menghapus kebijakan sumber daya CloudWatch Log. |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` Diperlukan untuk menghapus kebijakan penyimpanan grup log. |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` Diperlukan untuk menghapus penyaring berlangganan yang terkait dengan grup log. |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` Diperlukan untuk melihat semua destinasi yang terkait dengan akun. |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` Diperlukan untuk melihat semua tugas ekspor yang terkait dengan akun. |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` Diperlukan untuk melihat semua grup log yang terkait dengan akun. |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` Diperlukan untuk melihat semua aliran log yang terkait dengan grup log. |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` Diperlukan untuk melihat semua metrik yang terkait dengan grup log. |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` Diperlukan untuk melihat daftar definisi kueri yang disimpan di Wawasan CloudWatch Log. |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` Diperlukan untuk melihat daftar kueri Wawasan CloudWatch Log yang dijadwalkan, dijalankan, atau baru-baru ini dikeluarkan. |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` Diperlukan untuk melihat daftar kebijakan sumber daya CloudWatch Log. |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` Diperlukan untuk melihat semua penyaring berlangganan yang terkait dengan grup log. |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` Diperlukan untuk mengurutkan peristiwa log berdasarkan pola penyaringan grup log. |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` Diperlukan untuk mengambil kejadian log dari aliran log. |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` Diperlukan untuk mengambil daftar kolom yang disertakan dalam peristiwa log di grup log. |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` Diperlukan untuk mengambil rincian dari satu peristiwa log. |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` Diperlukan untuk mengambil konten sebagian besar peristiwa log yang telah dicerna melalui API. PutOpenTelemetryLogs |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` Diperlukan untuk mengambil hasil kueri Wawasan CloudWatch Log. |
| ListEntitiesForLogGroup (CloudWatch izin khusus konsol) | `logs:ListEntitiesForLogGroup` Diperlukan untuk menemukan entitas yang terkait dengan grup log. Diperlukan untuk menjelajahi log terkait di dalam CloudWatch konsol. |
| ListLogGroupsForEntity (CloudWatch izin khusus konsol) | `logs:ListLogGroupsForEntity` Diperlukan untuk menemukan grup log yang terkait dengan entitas. Diperlukan untuk menjelajahi log terkait di dalam CloudWatch konsol. |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` Diperlukan untuk membuat daftar tanda yang terkait dengan grup log. |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` Diperlukan untuk melihat semua grup log yang terkait dengan akun. |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` Diperlukan untuk membuat atau memperbarui aliran log tujuan (seperti aliran Kinesis). |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` Diperlukan untuk membuat atau memperbarui kebijakan akses yang terkait dengan tujuan log yang sudah ada. |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` Diperlukan untuk mengunggah kumpulan peristiwa log ke aliran log. |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` Diperlukan untuk membuat atau memperbarui penyaring metrik dan mengaitkannya dengan grup log. |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` Diperlukan untuk menyimpan kueri di Wawasan CloudWatch Log, termasuk kueri tersimpan dengan parameter. |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` Diperlukan untuk membuat kebijakan sumber daya CloudWatch Log. |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` Diperlukan untuk mengatur jumlah hari untuk menyimpan peristiwa (penyimpanan) log dalam grup log. |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` Diperlukan untuk membuat atau memperbarui penyaring berlangganan dan mengaitkannya dengan grup log. |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` Diperlukan untuk memulai kueri Wawasan CloudWatch Log. Untuk menjalankan kueri yang disimpan dengan parameter, Anda juga perlu`logs:DescribeQueryDefinitions`. |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` Diperlukan untuk menghentikan kueri Wawasan CloudWatch Log yang sedang berlangsung. |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` Perlu menambahkan atau memperbarui tag grup log. |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` Diperlukan untuk menguji pola penyaringan terhadap sampel pesan peristiwa log. |
# Menggunakan peran terkait layanan untuk Log CloudWatch
Amazon CloudWatch Logs menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke Log. CloudWatch Peran terkait layanan telah ditentukan sebelumnya oleh CloudWatch Log dan menyertakan semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan CloudWatch Log lebih efisien karena Anda tidak diharuskan menambahkan izin yang diperlukan secara manual. CloudWatch Log mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya CloudWatch Log yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin. Kebijakan izin itu tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat [AWS Layanan yang Bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan yang memiliki **Yes **di kolom **Service-Linked Role**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Log CloudWatch
CloudWatch Log menggunakan nama peran terkait layanan. **AWSServiceRoleForLogDelivery** CloudWatch Log menggunakan peran terkait layanan ini untuk menulis log langsung ke Firehose. Untuk informasi selengkapnya, lihat [Aktifkan pencatatan dari AWS layanan](AWS-logs-and-resource-policy.md).
Peran tertaut layanan **AWSServiceRoleForLogDelivery** memercayai layanan berikut untuk mengambil peran tersebut:
+ `logs.amazonaws.com`
Kebijakan izin peran memungkinkan CloudWatch Log untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `firehose:PutRecord` dan `firehose:PutRecordBatch` pada semua aliran Firehose yang memiliki tag dengan `LogDeliveryEnabled` kunci dengan nilai. `True` Tag ini secara otomatis dilampirkan ke aliran Firehose saat Anda membuat langganan untuk mengirimkan log ke Firehose.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM untuk membuat, mengedit, atau menghapus peran yang terhubung dengan layanan. Entitas ini dapat berupa pengguna, grup, atau peran. Untuk informasi lebih lanjut, lihat [Izin Peran yang Terhubung dengan Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk Log CloudWatch
Anda tidak perlu membuat peran yang terhubung dengan layanan secara manual. Saat Anda menyiapkan log untuk dikirim langsung ke aliran Firehose di Konsol Manajemen AWS, the, atau AWS API AWS CLI, CloudWatch Log akan membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengatur kembali log untuk dikirim langsung ke aliran Firehose, CloudWatch Log akan membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk Log CloudWatch
CloudWatch Log tidak memungkinkan Anda untuk mengedit **AWSServiceRoleForLogDelivery**, atau peran terkait layanan lainnya, setelah Anda membuatnya. Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Log CloudWatch
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
**catatan**
Jika layanan CloudWatch Log menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus sumber daya CloudWatch Log yang digunakan oleh **AWSServiceRoleForLogDelivery**peran terkait layanan**
+ Berhenti mengirim log langsung ke aliran Firehose.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran **AWSServiceRoleForLogDelivery**terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus Peran yang Terhubung dengan Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
### Wilayah yang Didukung untuk CloudWatch peran terkait layanan Log
CloudWatch Log mendukung penggunaan peran terkait layanan di semua AWS Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [CloudWatch Logs Regions and Endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region).
# CloudWatch Memutakhirkan log ke peran terkait AWS layanan
Lihat detail tentang pembaruan peran terkait AWS layanan untuk CloudWatch Log sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen CloudWatch Log.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWSServiceRoleForLogDelivery kebijakan peran terkait layanan — Pembaruan ke kebijakan](AWS-logs-infrastructure-Firehose.md) yang ada | CloudWatch Log mengubah izin dalam kebijakan IAM yang terkait dengan peran terkait **AWSServiceRoleForLogDelivery**layanan. Perubahan berikut dibuat: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 15 Juli 2021 |
| CloudWatch Log mulai melacak perubahan | CloudWatch Log mulai melacak perubahan untuk kebijakan AWS terkelolanya. | 10 Juni 2021 |
# Validasi kepatuhan untuk Amazon Logs CloudWatch
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di Log Amazon CloudWatch
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. Wilayah memberikan beberapa Zona Ketersediaan yang terpisah dan terisolasi secara fisik, yang terkoneksi melalui jaringan latensi rendah, throughput tinggi, dan sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di Amazon CloudWatch Logs
Sebagai layanan terkelola, Amazon CloudWatch Logs dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses CloudWatch Log melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
# Menggunakan CloudWatch Log dengan titik akhir VPC antarmuka
Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi pribadi antara VPC dan Log Anda. CloudWatch Anda dapat menggunakan koneksi ini untuk mengirim CloudWatch log ke Log tanpa mengirimnya melalui internet. CloudWatch Log mendukung titik akhir IPv4 VPC di semua Wilayah, dan mendukung IPv6 titik akhir di semua Wilayah.
Amazon VPC adalah AWS layanan yang dapat Anda gunakan untuk meluncurkan AWS sumber daya di jaringan virtual yang Anda tentukan. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti rentang alamat IP, subnet, tabel rute, dan pintu masuk jaringan. Untuk menghubungkan VPC Anda ke CloudWatch Log, Anda menentukan titik akhir *VPC antarmuka* untuk Log. CloudWatch Jenis titik akhir ini memungkinkan Anda untuk menghubungkan VPC Anda ke layanan AWS . Endpoint menyediakan konektivitas yang andal dan dapat diskalakan ke CloudWatch Log tanpa memerlukan gateway internet, instance terjemahan alamat jaringan (NAT), atau koneksi VPN. Untuk informasi selengkapnya, lihat [Apa yang dimaksud dengan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/) dalam *Panduan Pengguna Amazon VPC*.
Endpoint VPC antarmuka didukung oleh AWS PrivateLink, sebuah AWS teknologi yang memungkinkan komunikasi pribadi antara AWS layanan menggunakan antarmuka jaringan elastis dengan alamat IP pribadi. Untuk informasi selengkapnya, lihat [Baru — AWS PrivateLink untuk AWS Layanan](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).
Langkah-langkah berikut ditujukan untuk para pengguna Amazon VPC. Untuk informasi selengkapnya, silakan lihat [Getting Started](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) di *Panduan Pengguna Amazon VPC*.
## Ketersediaan
CloudWatch Log saat ini mendukung titik akhir VPC di semua AWS Wilayah, termasuk Wilayah. AWS GovCloud (US)
## Membuat titik akhir VPC untuk Log CloudWatch
Untuk mulai menggunakan CloudWatch Log dengan VPC Anda, buat antarmuka VPC endpoint untuk Log. CloudWatch Layanan yang harus dipilih adalah **com.amazonaws. *Region*.log**. Untuk terhubung dengan titik akhir FIPS, layanan yang harus dipilih adalah. `com.amazonaws.Region.logs-fips` Anda tidak perlu mengubah pengaturan apa pun untuk CloudWatch Log. Untuk informasi selengkapnya, silakan lihat [Membuat sebuah Titik Akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html) dalam *Panduan Pengguna Amazon VPC*.
Beberapa CloudWatch Log APIs, seperti StartLiveTail dan GetLogObject, dihosting di bawah titik akhir dan titik akhir VPC yang berbeda:. `stream-logs.Region.amazonaws.com` **Untuk membuat titik akhir VPC antarmuka untuk ini APIs, layanan yang harus dipilih adalah com.amazonaws. *Region*.stream-log**. Untuk terhubung dengan titik akhir FIPS, layanan yang harus dipilih adalah. `com.amazonaws.Region.stream-logs-fips`
## Menguji koneksi antara VPC dan Log CloudWatch
Setelah Anda membuat titik akhir, Anda dapat menguji koneksi.
**Untuk menguji koneksi antara VPC dan titik akhir Log CloudWatch**
1. Connect ke instans Amazon EC2 yang berada di VPC Anda. Untuk informasi tentang menghubungkan, lihat [Hubungkan ke Instans Linux Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpce-interface.html#create-interface-endpoint.html) atau [Connect ke Instans Windows Anda](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)dalam dokumentasi Amazon EC2.
1. Dari contoh, gunakan AWS CLI untuk membuat entri log di salah satu grup log yang ada.
Pertama, buat file JSON dengan log acara. Stempel waktu harus ditetapkan sebagai angka dalam milidetik setelah 1 Jan 1970 00:00:00 UTC.
```
[
{
"timestamp": 1533854071310,
"message": "VPC Connection Test"
}
]
```
Kemudian, gunakan perintah `put-log-events` untuk membuat entri log:
```
aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName
```
Jika respons terhadap perintah termasuk `nextSequenceToken`, perintah telah berhasil dan VPC endpoint Anda bekerja.
## Mengontrol akses ke titik akhir VPC CloudWatch Log
Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau mengubah titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, kami melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan endpoint tidak mengesampingkan atau mengganti kebijakan IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.
Kebijakan titik akhir harus ditulis dalam format JSON.
Untuk informasi selengkapnya, silakan lihat [Mengendalikan Akses ke Layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
Berikut ini adalah contoh kebijakan endpoint untuk CloudWatch Log. Kebijakan ini memungkinkan pengguna yang terhubung ke CloudWatch Log melalui VPC untuk membuat aliran log dan mengirim CloudWatch log ke Log, serta mencegah mereka melakukan tindakan Log lainnya CloudWatch .
```
{
"Statement": [
{
"Sid": "PutOnly",
"Principal": "*",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Untuk mengubah kebijakan titik akhir VPC untuk Log CloudWatch**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir**.
1. Jika Anda belum membuat endpoint untuk CloudWatch Log, pilih **Create Endpoint**. Kemudian pilih **com.amazonaws. *Region*.logs** dan pilih **Create endpoint**.
1. Pilih **com.amazonaws. *Region*.logs** endpoint, dan pilih tab **Policy** di bagian bawah layar.
1. Pilih **Edit Kebijakan** dan buat perubahan pada kebijakan.
## Support untuk kunci konteks VPC
CloudWatch Log mendukung `aws:SourceVpc` dan kunci `aws:SourceVpce` konteks yang dapat membatasi akses ke titik akhir VPC tertentu VPCs atau spesifik. Kunci ini bekerja hanya ketika pengguna menggunakan VPC endpoint. Untuk informasi selengkapnya, lihat [Kunci yang Tersedia untuk Beberapa Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-service-available) di *Panduan Pengguna IAM*.