Risorse e operazioni Informazioni sulla proprietà delle risorse Gestione dell'accesso alle risorse Specifica degli elementi delle policy: operazioni, effetti e principali Specifica delle condizioni in una policy

Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs CloudWatch

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

Utenti e gruppi in: AWS IAM Identity Center

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti in IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
Utenti IAM:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente IAM.

Argomenti

CloudWatch Registra risorse e operazioni
Informazioni sulla proprietà delle risorse
Gestione dell'accesso alle risorse
Specifica degli elementi delle policy: operazioni, effetti e principali
Specifica delle condizioni in una policy

CloudWatch Registra risorse e operazioni

In CloudWatch Logs le risorse principali sono i gruppi di log, i flussi di log e le destinazioni. CloudWatch Logs non supporta le risorse secondarie (altre risorse da utilizzare con la risorsa principale).

A queste risorse e sottorisorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.

Tipo di risorsa Formato ARN

Tipo di risorsa	Formato ARN
Gruppo di log	Si utilizzano entrambi i seguenti elementi. Il secondo, con la `:` fine, è ciò che viene restituito dal comando `describe-log-groups` CLI e dall'DescribeLogGroupsAPI. arn:aws:logs: ::log-group: `region` `account-id` `log_group_name` arn:aws:logs: `region` `account-id` ::log-group:: `log_group_name` Usa la prima versione, senza la parte finale, nelle seguenti situazioni: `:` Nel campo `logGroupIdentifier` di immissione in molti CloudWatch Logs APIs. Sul `resourceArn` campo, nel tagging APIs Nelle IAM politiche, quando si specificano le autorizzazioni per TagResource, e UntagResource. ListTagsForResource Usa la seconda versione, con la fine`:`, per fare riferimento all'ARN quando specifichi le autorizzazioni nelle policy IAM per tutte le altre azioni API.
Flusso di log	arn:aws:logs: :log-group ::log-stream: `region` `account-id` `log_group_name` `log-stream-name`
Destinazione	arn:aws:logs: `region` :destinazione: `account-id` `destination_name`

Gruppo di log

Si utilizzano entrambi i seguenti elementi. Il secondo, con la :* fine, è ciò che viene restituito dal comando describe-log-groups CLI e dall'DescribeLogGroupsAPI.

arn:aws:logs: ::log-group: region account-id log_group_name

arn:aws:logs: region account-id ::log-group:: * log_group_name

Usa la prima versione, senza la parte finale, nelle seguenti situazioni: :*

Nel campo logGroupIdentifier di immissione in molti CloudWatch Logs APIs.
Sul resourceArn campo, nel tagging APIs
Nelle IAM politiche, quando si specificano le autorizzazioni per TagResource, e UntagResource. ListTagsForResource

Usa la seconda versione, con la fine:*, per fare riferimento all'ARN quando specifichi le autorizzazioni nelle policy IAM per tutte le altre azioni API.

Flusso di log

arn:aws:logs: :log-group ::log-stream: region account-id log_group_name log-stream-name

Destinazione

arn:aws:logs: region :destinazione: account-id destination_name

Per ulteriori informazioni su ARNs, consulta la IAM User Guide. ARNs Per informazioni sui CloudWatch log ARNs, consulta Amazon Resource Names (ARNs) in Riferimenti generali di Amazon Web Services. Per un esempio di politica che copre CloudWatch i log, consulta. Utilizzo di politiche basate sull'identità (politiche IAM) per i registri CloudWatch

CloudWatch Logs fornisce una serie di operazioni per utilizzare le risorse CloudWatch Logs. Per un elenco di operazioni disponibili, consulta la sezione CloudWatch Registra il riferimento alle autorizzazioni.

Informazioni sulla proprietà delle risorse

L' AWS account possiede le risorse create nell'account, indipendentemente da chi ha creato le risorse. In particolare, il proprietario della risorsa è l' AWS account dell'entità principale (ovvero l'account root, un utente o un ruolo IAM) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:

Se utilizzi le credenziali dell'account root del tuo AWS account per creare un gruppo di log, quest'ultimo è il AWS proprietario della CloudWatch risorsa Logs.
Se crei un utente nel tuo AWS account e concedi le autorizzazioni per creare risorse CloudWatch Logs a quell'utente, l'utente può creare risorse Logs. CloudWatch Tuttavia, l' AWS account a cui appartiene l'utente è proprietario delle risorse Logs. CloudWatch
Se crei un ruolo IAM nel tuo AWS account con le autorizzazioni per creare risorse CloudWatch Logs, chiunque possa assumere il ruolo può creare CloudWatch risorse Logs. Il tuo AWS account, a cui appartiene il ruolo, possiede le CloudWatch risorse Logs.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo di IAM nel contesto dei CloudWatch log. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta la pagina Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consultare Riferimento alle policy IAM di nella Guida per l'utente di IAM.

Le politiche associate a un'identità IAM sono denominate politiche basate sull'identità (politiche IAM) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse. CloudWatch Logs supporta politiche basate sull'identità e politiche basate sulle risorse per le destinazioni, utilizzate per abilitare sottoscrizioni tra account. Per ulteriori informazioni, consulta Abbonamenti tra più account e più regioni.

Argomenti

Autorizzazioni del gruppo di log e Contributor Insights
Policy basate sulle risorse

Autorizzazioni del gruppo di log e Contributor Insights

Contributor Insights è una funzionalità CloudWatch che consente di analizzare i dati dei gruppi di log e creare serie temporali che visualizzano i dati dei collaboratori. Puoi visualizzare i parametri relative ai primi N collaboratori, al numero totale di collaboratori univoci e al loro utilizzo. Per ulteriori informazioni, consulta Utilizzo di Contributor Insights per analizzare dati ad alta cardinalità.

Quando concedi a un utente le cloudwatch:GetInsightRuleReport autorizzazioni cloudwatch:PutInsightRule and, quell'utente può creare una regola che valuta qualsiasi gruppo di log in CloudWatch Logs e quindi visualizzare i risultati. I risultati possono contenere dati dei collaboratori per tali gruppi di log. Assicurarsi di concedere queste autorizzazioni solo a utenti che devono essere in grado di visualizzare questi dati.

Policy basate sulle risorse

CloudWatch Logs supporta politiche basate sulle risorse per le destinazioni, che puoi utilizzare per abilitare le sottoscrizioni tra account. Per ulteriori informazioni, consulta Passaggio 1: creazione di una destinazione. Le destinazioni possono essere create utilizzando l'PutDestinationAPI ed è possibile aggiungere una politica delle risorse alla destinazione utilizzando l'API. PutDestinationPolicy L'esempio seguente permette a un altro account AWS con l'ID account 111122223333 di sottoscrivere i propri gruppi di log nella destinazione arn:aws:logs:us-east-1:123456789012:destination:testDestination.


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

Specifica degli elementi delle policy: operazioni, effetti e principali

Per ogni risorsa CloudWatch Logs, il servizio definisce un set di operazioni API. Per concedere le autorizzazioni per queste operazioni API, CloudWatch Logs definisce una serie di azioni che è possibile specificare in una politica. Alcune operazioni API possono richiedere le autorizzazioni per più di un'azione al fine di eseguire l'operazione API. Per ulteriori informazioni sulle risorse e sulle operazioni delle API, consulta CloudWatch Registra risorse e operazioni e CloudWatch Registra il riferimento alle autorizzazioni.

Di seguito sono elencati gli elementi di base di una policy:

Risorsa - Usa un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta CloudWatch Registra risorse e operazioni.
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'autorizzazione logs.DescribeLogGroups concede all'utente le autorizzazioni per eseguire l'operazione DescribeLogGroups.
Effetto: specifica l'effetto, ovvero l'autorizzazione o il rifiuto, quando l'utente richiede l'operazione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
Principale: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). CloudWatch Logs supporta politiche basate sulle risorse per le destinazioni.

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta AWS Riferimento alle policy IAM nella Guida per l'utente di IAM.

Per una tabella che mostra tutte le azioni dell'API CloudWatch Logs e le risorse a cui si applicano, consulta. CloudWatch Registra il riferimento alle autorizzazioni

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione Condizione nella Guida per l'utente di IAM.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Per un elenco delle chiavi di contesto supportate da ogni AWS servizio e un elenco di chiavi di policy a AWS livello globale, consulta Azioni, risorse e chiavi di condizione per AWS i servizi e le chiavi di contesto delle condizioni AWS globali.

Nota

È possibile utilizzare i tag per controllare l'accesso alle risorse di CloudWatch Logs, inclusi i gruppi di log e le destinazioni. L'accesso ai flussi di log è controllato a livello di gruppo di log per via della relazione gerarchica tra i gruppi di log e i flussi di log. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle risorse, consulta Controllo dell'accesso alle risorse di Amazon Web Services utilizzando i tag.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dell'identità e degli accessi

Utilizzo di policy basate su identità (policy IAM)