Utilizzo di politiche basate sull'identità (politiche IAM) per i registri CloudWatch - CloudWatch Registri Amazon
Autorizzazioni necessarie per l'uso della console CloudWatchAWS politiche gestite (predefinite) per i registri CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di politiche basate sull'identità (politiche IAM) per i registri CloudWatch

In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.

Importante

Ti consigliamo di consultare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse Logs. CloudWatch Per ulteriori informazioni, consulta Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs CloudWatch .

Questo argomento comprende quanto segue:

Di seguito è riportato un esempio di policy delle autorizzazioni:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

Questa policy dispone di una dichiarazione che concede autorizzazioni per creare gruppi e flussi di log, caricare eventi di log ai flussi di log ed elencare dettagli relativi ai flussi di log.

Il carattere jolly (*) alla fine del valore Resource indica che la dichiarazione concede l'autorizzazione per le operazioni logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents e logs:DescribeLogStreams su qualsiasi gruppo di log. Per limitare questa autorizzazione a uno specifico gruppo di log, sostituisci il carattere jolly (*) nell'ARN della risorsa con l'ARN del gruppo di log specifico. Per ulteriori informazioni sulle sezioni all'interno della dichiarazione di policy IAM, consulta Riferimento agli elementi di policy IAM nella Guida per l'utente di IAM. Per un elenco che mostra tutte le azioni di CloudWatch Logs, consulta. CloudWatch Registra il riferimento alle autorizzazioni

Autorizzazioni necessarie per l'uso della console CloudWatch

Affinché un utente possa utilizzare CloudWatch Logs nella CloudWatch console, deve disporre di un set minimo di autorizzazioni che gli consentano di descrivere AWS le altre risorse del proprio account. AWS Per utilizzare CloudWatch Logs nella CloudWatch console, è necessario disporre delle autorizzazioni dei seguenti servizi:

  • CloudWatch

  • CloudWatch Registri

  • OpenSearch Servizio

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che tali utenti possano continuare a utilizzare la CloudWatch console, allega anche la policy CloudWatchReadOnlyAccess gestita all'utente, come descritto inAWS politiche gestite (predefinite) per i registri CloudWatch .

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l'API AWS CLI o verso l'API CloudWatch Logs.

Il set completo di autorizzazioni necessarie per lavorare con la CloudWatch console per un utente che non utilizza la console per gestire gli abbonamenti ai registri è:

  • cloudwatch: GetMetricData

  • orologio nuvoloso: ListMetrics

  • registri: CancelExportTask

  • registri: CreateExportTask

  • registri: CreateLogGroup

  • registri: CreateLogStream

  • registri: DeleteLogGroup

  • registri: DeleteLogStream

  • registri: DeleteMetricFilter

  • registri: DeleteQueryDefinition

  • registri: DeleteRetentionPolicy

  • registri: DeleteSubscriptionFilter

  • registri: DescribeExportTasks

  • registri: DescribeLogGroups

  • registri: DescribeLogStreams

  • registri: DescribeMetricFilters

  • registri: DescribeQueryDefinitions

  • registri: DescribeQueries

  • registri: DescribeSubscriptionFilters

  • registri: FilterLogEvents

  • registri: GetLogEvents

  • registri: GetLogGroupFields

  • registri: GetLogRecord

  • registri: GetQueryResults

  • registri: PutMetricFilter

  • registri: PutQueryDefinition

  • registri: PutRetentionPolicy

  • registri: StartQuery

  • registri: StopQuery

  • registri: PutSubscriptionFilter

  • registri: TestMetricFilter

Per un utente che intende utilizzare anche la console per gestire le sottoscrizioni ai log, sono necessarie anche le seguenti autorizzazioni:

  • Sì: DescribeElasticsearchDomain

  • Sì: ListDomainNames

  • sono: AttachRolePolicy

  • Io sono: CreateRole

  • Io sono: GetPolicy

  • Io sono: GetPolicyVersion

  • Io sono: GetRole

  • Io sono: ListAttachedRolePolicies

  • Io sono: ListRoles

  • cinesi: DescribeStreams

  • cinesi: ListStreams

  • lambda: AddPermission

  • lambda: CreateFunction

  • lambda: GetFunctionConfiguration

  • lambda: ListAliases

  • lambda: ListFunctions

  • lambda: ListVersionsByFunction

  • lambda: RemovePermission

  • s3: ListBuckets

AWS politiche gestite (predefinite) per i registri CloudWatch

AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta Policy gestite da AWS nella Guida per l'utente di IAM.

Le seguenti politiche AWS gestite, che puoi allegare agli utenti e ai ruoli del tuo account, sono specifiche dei CloudWatch log:

  • CloudWatchLogsFullAccess— Garantisce l'accesso completo ai registri. CloudWatch

  • CloudWatchLogsReadOnlyAccess— Garantisce l'accesso in sola lettura ai registri. CloudWatch

CloudWatchLogsFullAccess

La CloudWatchLogsFullAccesspolitica garantisce l'accesso completo ai registri. CloudWatch La politica include le cloudwatch:GenerateQueryResultsSummary autorizzazioni cloudwatch:GenerateQuery e, in modo che gli utenti che la utilizzano possano generare una stringa di query di CloudWatch Logs Insights da un prompt in linguaggio naturale. Per visualizzare il contenuto completo della policy, consulta la AWS Managed Policy CloudWatchLogsFullAccessReference Guide.

CloudWatchLogsReadOnlyAccess

La CloudWatchLogsReadOnlyAccesspolicy garantisce l'accesso in sola lettura ai log. CloudWatch Include le cloudwatch:GenerateQueryResultsSummary autorizzazioni cloudwatch:GenerateQuery e, in modo che gli utenti con questo criterio possano generare una stringa di query di CloudWatch Logs Insights da un prompt in linguaggio naturale. Per visualizzare il contenuto completo della policy, consulta la AWS Managed Policy CloudWatchLogsReadOnlyAccessReference Guide.

CloudWatchOpenSearchDashboardsFullAccess

La CloudWatchOpenSearchDashboardsFullAccesspolicy consente l'accesso per creare, gestire ed eliminare integrazioni con OpenSearch Service e per creare dashboard di eliminazione e gestione dei log venduti in tali integrazioni. Per ulteriori informazioni, consulta Analizza con Amazon OpenSearch Service.

Per visualizzare il contenuto completo della policy, consulta la Managed Policy Reference CloudWatchOpenSearchDashboardsFullAccessGuide.AWS

CloudWatchOpenSearchDashboardAccess

La CloudWatchOpenSearchDashboardAccesspolicy consente l'accesso alla visualizzazione dei dashboard dei registri venduti creati con analisi. Amazon OpenSearch Service Per ulteriori informazioni, consulta Analizza con Amazon OpenSearch Service.

Importante

Oltre a concedere questa politica, per consentire a un ruolo o a un utente di visualizzare i dashboard dei log venduti, è necessario specificarli anche quando si crea l'integrazione con Service. OpenSearch Per ulteriori informazioni, consulta Fase 1: Creare l'integrazione con Service OpenSearch .

Per visualizzare il contenuto completo della policy, consulta la AWS Managed Policy CloudWatchOpenSearchDashboardAccessReference Guide.

CloudWatchLogsCrossAccountSharingConfiguration

La CloudWatchLogsCrossAccountSharingConfigurationpolitica consente l'accesso alla creazione, alla gestione e alla visualizzazione dei collegamenti di Observability Access Manager per la condivisione delle risorse di CloudWatch Logs tra account. Per maggiori informazioni, consulta la sezione Osservabilità su più account di CloudWatch .

Per vedere il contenuto completo della politica, consulta la AWS Managed Policy CloudWatchLogsCrossAccountSharingConfigurationReference Guide.

CloudWatch Registra gli aggiornamenti delle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per CloudWatch Logs da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di CloudWatch Logs.

Modifica Descrizione Data

CloudWatchLogsFullAccess: aggiorna a una policy esistente.

CloudWatch Registra le autorizzazioni aggiunte a. CloudWatchLogsFullAccess

Le autorizzazioni per cloudwatch:GenerateQueryResultsSummary sono state aggiunte per consentire la generazione di un riepilogo in linguaggio naturale dei risultati della query.

20 maggio 2025

CloudWatchLogsReadOnlyAccess: aggiorna a una policy esistente.

CloudWatch Registra le autorizzazioni aggiunte a. CloudWatchLogsReadOnlyAccess

Le autorizzazioni per cloudwatch:GenerateQueryResultsSummary sono state aggiunte per consentire la generazione di un riepilogo in linguaggio naturale dei risultati della query.

20 maggio 2025

CloudWatchLogsFullAccess: aggiorna a una policy esistente.

CloudWatch Registra le autorizzazioni aggiunte a. CloudWatchLogsFullAccess

Sono state aggiunte le autorizzazioni per Amazon OpenSearch Service e IAM, per consentire l'integrazione di CloudWatch Logs con OpenSearch Service per alcune funzionalità.

1 dicembre 2024

CloudWatchOpenSearchDashboardsFullAccess— Nuova politica IAM.

CloudWatch Logs ha aggiunto una nuova policy IAM, CloudWatchOpenSearchDashboardsFullAccess.- Questa policy consente l'accesso per creare, gestire ed eliminare integrazioni con OpenSearch Service e per creare, gestire ed eliminare dashboard di log vendute in tali integrazioni. Per ulteriori informazioni, consulta Analizza con Amazon OpenSearch Service.

1 dicembre 2024

CloudWatchOpenSearchDashboardAccess— Nuova policy IAM.

CloudWatch Logs ha aggiunto una nuova policy IAM, CloudWatchOpenSearchDashboardAccess.- Questa policy consente l'accesso alla visualizzazione dei dashboard dei log forniti da. Amazon OpenSearch Service Per ulteriori informazioni, consulta Analizza con Amazon OpenSearch Service.

1 dicembre 2024

CloudWatchLogsFullAccess: aggiorna a una policy esistente.

CloudWatch Logs ha aggiunto un'autorizzazione a. CloudWatchLogsFullAccess

L'cloudwatch:GenerateQueryautorizzazione è stata aggiunta, in modo che gli utenti con questo criterio possano generare una stringa di query di CloudWatch Logs Insights da un prompt in linguaggio naturale.

27 novembre 2023

CloudWatchLogsReadOnlyAccess: aggiorna a una policy esistente.

CloudWatch ha aggiunto un'autorizzazione a. CloudWatchLogsReadOnlyAccess

L'cloudwatch:GenerateQueryautorizzazione è stata aggiunta, in modo che gli utenti con questo criterio possano generare una stringa di query di CloudWatch Logs Insights da un prompt in linguaggio naturale.

27 novembre 2023

CloudWatchLogsReadOnlyAccess: aggiornamento a una policy esistente

CloudWatch Registra le autorizzazioni aggiunte a. CloudWatchLogsReadOnlyAccess

Le logs:StopLiveTail autorizzazioni logs:StartLiveTail e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per avviare e interrompere le sessioni live tail di CloudWatch Logs. Per ulteriori informazioni, consulta Use live tail to view logs in near real time.

 6 giugno 2023

CloudWatchLogsCrossAccountSharingConfiguration: nuova policy

CloudWatch Logs ha aggiunto una nuova politica che consente di gestire i link di osservabilità CloudWatch tra account che condividono i gruppi di log di Logs. CloudWatch

Per ulteriori informazioni, consulta osservabilità tra account CloudWatch

27 novembre 2022

CloudWatchLogsReadOnlyAccess: aggiornamento a una policy esistente

CloudWatch Registra le autorizzazioni aggiunte a. CloudWatchLogsReadOnlyAccess

Le oam:ListAttachedLinks autorizzazioni oam:ListSinks e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per visualizzare i dati condivisi dagli account di origine in CloudWatch modo osservabile tra più account.

 27 novembre 2022

Esempi di policy gestite dal cliente

Puoi creare politiche IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse di CloudWatch Logs. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che richiedono le autorizzazioni.

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie CloudWatch azioni di Logs. Queste politiche funzionano quando si utilizza l'API CloudWatch Logs o il AWS SDKs. AWS CLI

Esempio 1: consenti l'accesso completo ai registri CloudWatch

La seguente politica consente a un utente di accedere a tutte le azioni di CloudWatch Logs.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Esempio 2: Consenti l'accesso in sola lettura ai registri CloudWatch

AWS fornisce una CloudWatchLogsReadOnlyAccesspolitica che consente l'accesso in sola lettura ai dati dei registri. CloudWatch Questa policy include le seguenti autorizzazioni:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Esempio 3: consentire l'accesso a un gruppo di log

La policy seguente consente a un utente di leggere e scrivere eventi di log in un gruppo di log specificato.

Importante

I caratteri :* alla fine del nome del gruppo di log sulla riga Resource sono necessari per indicare che la policy si applica a tutti i flussi di log in questo gruppo di log. Se ometti :*, la policy non verrà applicata.

{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

Utilizzo del tagging e delle policy IAM per il controllo a livello di gruppo di log

È possibile concedere agli utenti l'accesso a determinati gruppi di log evitando che accedano ad altri gruppi di log. Per farlo, aggiungere un tag ai gruppi di log e usare policy IAM che fanno riferimento a tali tag. Per applicare i tag a un gruppo di log, è necessario disporre dell'autorizzazione logs:TagResource o logs:TagLogGroup. Ciò vale sia se si assegnano tag al gruppo di log al momento della creazione, sia se li si assegna successivamente.

Per ulteriori informazioni sull'applicazione di tag ai gruppi di log, consulta Assegnazione di tag ai gruppi di log in File di CloudWatch log Amazon Logs.

Quando si aggiunge un tag ai gruppi di log, è possibile concedere una policy IAM a un utente per consentire l'accesso solo ai gruppi di log con un determinato tag. Ad esempio, la seguente istruzione di policy garantisce l'accesso solo ai gruppi di log con il valore Green per la chiave di tag Team.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

Le operazioni StopQuerye le StopLiveTailAPI non interagiscono con AWS le risorse nel senso tradizionale. Non restituiscono né inseriscono alcun dato, né modificano una risorsa in alcun modo. Funzionano invece solo su una determinata sessione live tail o su una determinata query di CloudWatch Logs Insights, che non sono classificate come risorse. Di conseguenza, quando per queste operazioni si specifica il campo Resource nelle policy IAM, è necessario impostare il valore del campo Resource come *, analogamente all'esempio di seguito. 

{
    "Version": "2012-10-17", 
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}

Per ulteriori informazioni sull'utilizzo di istruzioni di policy IAM, consulta Controllo dell'accesso tramite le policy nella Guida per l'utente di IAM.