Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza in Amazon CloudWatch Logs
<a name="security"></a>

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo modello come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili WorkSpaces, consulta [AWS Servizi nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i tuoi requisiti aziendali e le leggi e le normative applicabili 

Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon CloudWatch Logs. Ti mostra come configurare Amazon CloudWatch Logs per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse di CloudWatch Logs.

**Topics**
+ [Protezione dei dati in Amazon CloudWatch Logs](data-protection.md)
+ [Gestione delle identità e degli accessi per Amazon CloudWatch Logs](auth-and-access-control-cwl.md)
+ [Convalida della conformità per Amazon Logs CloudWatch](compliance-validation.md)
+ [Resilienza in Amazon Logs CloudWatch](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon CloudWatch Logs](infrastructure-security.md)
+ [Utilizzo dei CloudWatch log con endpoint VPC di interfaccia](cloudwatch-logs-and-interface-VPC.md)

# Protezione dei dati in Amazon CloudWatch Logs
<a name="data-protection"></a>

**Nota**  
Oltre alle seguenti informazioni sulla protezione generale dei dati in AWS, CloudWatch Logs consente anche di proteggere i dati sensibili negli eventi di registro mascherandoli. Per ulteriori informazioni, consulta [Incremento della protezione dei dati di log sensibili con il mascheramento](mask-sensitive-log-data.md).

Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in Amazon CloudWatch Logs. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+  SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando si lavora con CloudWatch Logs o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

## Crittografia dei dati a riposo
<a name="encryption-rest"></a>

CloudWatch Logs protegge i dati archiviati utilizzando la crittografia. Tutti i gruppi di log sono crittografati. Per impostazione predefinita, il servizio CloudWatch Logs gestisce la crittografia lato server e utilizza la crittografia lato server con Advanced Encryption Standard Galois/Counter Mode (AES-GCM) a 256 bit per crittografare i dati di registro inattivi.

Se desideri gestire le chiavi utilizzate per crittografare e decrittografare i log, utilizza le chiavi. AWS KMS Per ulteriori informazioni, consulta [Crittografa i dati di registro in CloudWatch Logs utilizzando AWS Key Management Service](encrypt-log-data-kms.md).

## Crittografia dei dati in transito
<a name="encryption-transit"></a>

CloudWatch I registri utilizzano la end-to-end crittografia dei dati in transito. Il servizio CloudWatch Logs gestisce le chiavi di crittografia sul lato server.

# Gestione delle identità e degli accessi per Amazon CloudWatch Logs
<a name="auth-and-access-control-cwl"></a>

L'accesso ad Amazon CloudWatch Logs richiede credenziali che AWS possono essere utilizzate per autenticare le tue richieste. Tali credenziali devono disporre delle autorizzazioni per accedere alle AWS risorse, ad esempio per recuperare i dati di CloudWatch Logs relativi alle risorse cloud. Le seguenti sezioni forniscono dettagli su come utilizzare [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e CloudWatch Logs per proteggere le risorse controllando chi può accedervi:
+ [Autenticazione](#authentication-cwl)
+ [Controllo accessi](#access-control-cwl)

## Autenticazione
<a name="authentication-cwl"></a>

Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
  + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
  + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.

## Controllo accessi
<a name="access-control-cwl"></a>

Puoi disporre di credenziali valide per autenticare le tue richieste, ma a meno che tu non disponga delle autorizzazioni necessarie non puoi creare o accedere alle risorse di Logs. CloudWatch Ad esempio, è necessario disporre delle autorizzazioni per creare flussi di log, gruppi di log e così via.

Le sezioni seguenti descrivono come gestire le autorizzazioni per i registri. CloudWatch Consigliamo di leggere prima la panoramica.
+ [Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs CloudWatch](iam-access-control-overview-cwl.md)
+ [Utilizzo di politiche basate sull'identità (politiche IAM) per i registri CloudWatch](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Registra il riferimento alle autorizzazioni](permissions-reference-cwl.md)

# Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs CloudWatch
<a name="iam-access-control-overview-cwl"></a>

Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
  + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
  + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.

**Topics**
+ [CloudWatch Registra risorse e operazioni](#CWL_ARN_Format)
+ [Informazioni sulla proprietà delle risorse](#understanding-resource-ownership-cwl)
+ [Gestione dell'accesso alle risorse](#managing-access-resources-cwl)
+ [Specifica degli elementi delle policy: operazioni, effetti e principali](#actions-effects-principals-cwl)
+ [Specifica delle condizioni in una policy](#policy-conditions-cwl)

## CloudWatch Registra risorse e operazioni
<a name="CWL_ARN_Format"></a>

In CloudWatch Logs le risorse principali sono i gruppi di log, i flussi di log e le destinazioni. CloudWatch Logs non supporta le risorse secondarie (altre risorse da utilizzare con la risorsa principale).

A queste risorse e sottorisorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.


| Tipo di risorsa | Formato ARN | 
| --- | --- | 
|  Gruppo di log  |  Si utilizzano entrambi i seguenti elementi. Il secondo, con la `:*` fine, è ciò che viene restituito dal comando `describe-log-groups` CLI e dall'**DescribeLogGroups**API.  arn:aws:logs: ::log-group: *region* *account-id* *log\$1group\$1name* arn:aws:logs: *region* *account-id* ::log-group:: \$1 *log\$1group\$1name* Usa la prima versione, senza la parte finale, nelle seguenti situazioni: `:*` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) Usa la seconda versione, con la fine`:*`, per fare riferimento all'ARN quando specifichi le autorizzazioni nelle policy IAM per tutte le altre azioni API.  | 
|  Flusso di log  |  arn:aws:logs: :log-group ::log-stream: *region* *account-id* *log\$1group\$1name* *log-stream-name*  | 
|  Destinazione  |  arn:aws:logs: *region* :destinazione: *account-id* *destination\$1name*  | 

*Per ulteriori informazioni su ARNs, consulta la IAM User Guide. [ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)* Per informazioni sui CloudWatch log ARNs, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs) in *Riferimenti generali di Amazon Web Services*. Per un esempio di politica che copre CloudWatch i log, consulta. [Utilizzo di politiche basate sull'identità (politiche IAM) per i registri CloudWatch](iam-identity-based-access-control-cwl.md)

CloudWatch Logs fornisce una serie di operazioni per utilizzare le risorse CloudWatch Logs. Per un elenco di operazioni disponibili, consulta la sezione [CloudWatch Registra il riferimento alle autorizzazioni](permissions-reference-cwl.md).

## Informazioni sulla proprietà delle risorse
<a name="understanding-resource-ownership-cwl"></a>

L' AWS account possiede le risorse create nell'account, indipendentemente da chi ha creato le risorse. In particolare, il proprietario della risorsa è l' AWS account dell'[entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ovvero l'account root, un utente o un ruolo IAM) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:
+ Se utilizzi le credenziali dell'account root del tuo AWS account per creare un gruppo di log, quest'ultimo è il AWS proprietario della CloudWatch risorsa Logs.
+ Se crei un utente nel tuo AWS account e concedi le autorizzazioni per creare risorse CloudWatch Logs a quell'utente, l'utente può creare risorse Logs. CloudWatch Tuttavia, l' AWS account a cui appartiene l'utente è proprietario delle risorse Logs. CloudWatch 
+ Se crei un ruolo IAM nel tuo AWS account con le autorizzazioni per creare risorse CloudWatch Logs, chiunque possa assumere il ruolo può creare CloudWatch risorse Logs. Il tuo AWS account, a cui appartiene il ruolo, possiede le CloudWatch risorse Logs.

## Gestione dell'accesso alle risorse
<a name="managing-access-resources-cwl"></a>

La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

**Nota**  
Questa sezione illustra l'utilizzo di IAM nel contesto dei CloudWatch log. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta la pagina [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consultare [Riferimento alle policy IAM di ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.

Le politiche collegate a un'identità IAM sono denominate politiche basate sull'identità (politiche IAM) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse. CloudWatch Logs supporta politiche basate sull'identità e politiche basate sulle risorse per le destinazioni, utilizzate per abilitare sottoscrizioni tra account. Per ulteriori informazioni, consulta [Abbonamenti tra più account e più regioni](CrossAccountSubscriptions.md).

**Topics**
+ [Autorizzazioni del gruppo di log e Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [Policy basate sulle risorse](#resource-based-policies-cwl)

### Autorizzazioni del gruppo di log e Contributor Insights
<a name="cloudwatch-logs-permissions-and-contributor-insights"></a>

Contributor Insights è una funzionalità CloudWatch che consente di analizzare i dati dei gruppi di log e creare serie temporali che visualizzano i dati dei collaboratori. Puoi visualizzare i parametri relative ai primi N collaboratori, al numero totale di collaboratori univoci e al loro utilizzo. Per ulteriori informazioni, consulta [Utilizzo di Contributor Insights per analizzare dati ad alta cardinalità](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html).

Quando concedi a un utente le `cloudwatch:GetInsightRuleReport` autorizzazioni `cloudwatch:PutInsightRule` and, quell'utente può creare una regola che valuta qualsiasi gruppo di log in CloudWatch Logs e quindi visualizzare i risultati. I risultati possono contenere dati dei collaboratori per tali gruppi di log. Assicurarsi di concedere queste autorizzazioni solo a utenti che devono essere in grado di visualizzare questi dati.

### Policy basate sulle risorse
<a name="resource-based-policies-cwl"></a>

CloudWatch Logs supporta politiche basate sulle risorse per le destinazioni, che puoi utilizzare per abilitare gli abbonamenti tra più account. Per ulteriori informazioni, consulta [Passaggio 1: creazione di una destinazione](CreateDestination.md). Le destinazioni possono essere create utilizzando l'[PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API ed è possibile aggiungere una politica delle risorse alla destinazione utilizzando l'API. [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) L'esempio seguente permette a un altro account AWS con l'ID account 111122223333 di sottoscrivere i propri gruppi di log nella destinazione `arn:aws:logs:us-east-1:123456789012:destination:testDestination`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}
```

------

## Specifica degli elementi delle policy: operazioni, effetti e principali
<a name="actions-effects-principals-cwl"></a>

 Per ogni risorsa CloudWatch Logs, il servizio definisce un set di operazioni API. Per concedere le autorizzazioni per queste operazioni API, CloudWatch Logs definisce una serie di azioni che è possibile specificare in una politica. Alcune operazioni API possono richiedere le autorizzazioni per più di un'azione al fine di eseguire l'operazione API. Per ulteriori informazioni sulle risorse e sulle operazioni delle API, consulta [CloudWatch Registra risorse e operazioni](#CWL_ARN_Format) e [CloudWatch Registra il riferimento alle autorizzazioni](permissions-reference-cwl.md).

Di seguito sono elencati gli elementi di base di una policy:
+ **Risorsa** - Usa un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta [CloudWatch Registra risorse e operazioni](#CWL_ARN_Format).
+ **Operazione**: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'autorizzazione `logs.DescribeLogGroups` concede all'utente le autorizzazioni per eseguire l'operazione `DescribeLogGroups`.
+ **Effetto**: specifica l'effetto, ovvero l'autorizzazione o il rifiuto, quando l'utente richiede l'operazione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
+ **Principale**: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). CloudWatch Logs supporta politiche basate sulle risorse per le destinazioni.

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS Riferimento alle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.

Per una tabella che mostra tutte le azioni dell'API CloudWatch Logs e le risorse a cui si applicano, consulta. [CloudWatch Registra il riferimento alle autorizzazioni](permissions-reference-cwl.md)

## Specifica delle condizioni in una policy
<a name="policy-conditions-cwl"></a>

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Per un elenco delle chiavi di contesto supportate da ogni AWS servizio e un elenco di chiavi di policy a AWS livello globale, consulta [Azioni, risorse e chiavi di condizione per AWS i servizi e le chiavi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di [contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

**Nota**  
È possibile utilizzare i tag per controllare l'accesso alle risorse di CloudWatch Logs, inclusi i gruppi di log e le destinazioni. L'accesso ai flussi di log è controllato a livello di gruppo di log per via della relazione gerarchica tra i gruppi di log e i flussi di log. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle risorse, consulta [Controllo dell'accesso alle risorse di Amazon Web Services utilizzando i tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).

# Utilizzo di politiche basate sull'identità (politiche IAM) per i registri CloudWatch
<a name="iam-identity-based-access-control-cwl"></a>

In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.

**Importante**  
Ti consigliamo di consultare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse Logs. CloudWatch Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs CloudWatch](iam-access-control-overview-cwl.md).

Questo argomento comprende quanto segue:
+ [Autorizzazioni necessarie per utilizzare la console CloudWatch](#console-permissions-cwl)
+ [AWS politiche gestite (predefinite) per i registri CloudWatch](#managed-policies-cwl)
+ [Esempi di policy gestite dal cliente](#customer-managed-policies-cwl)

Di seguito è riportato un esempio di policy delle autorizzazioni:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}
```

------

Questa policy dispone di una dichiarazione che concede autorizzazioni per creare gruppi e flussi di log, caricare eventi di log ai flussi di log ed elencare dettagli relativi ai flussi di log.

Il carattere jolly (\$1) alla fine del valore `Resource` indica che la dichiarazione concede l'autorizzazione per le operazioni `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents` e `logs:DescribeLogStreams` su qualsiasi gruppo di log. Per limitare questa autorizzazione a uno specifico gruppo di log, sostituisci il carattere jolly (\$1) nell'ARN della risorsa con l'ARN del gruppo di log specifico. Per ulteriori informazioni sulle sezioni all'interno della dichiarazione di policy IAM, consulta [Riferimento agli elementi di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) nella *Guida per l'utente di IAM*. Per un elenco che mostra tutte le azioni di CloudWatch Logs, consulta. [CloudWatch Registra il riferimento alle autorizzazioni](permissions-reference-cwl.md)

## Autorizzazioni necessarie per utilizzare la console CloudWatch
<a name="console-permissions-cwl"></a>

Affinché un utente possa utilizzare CloudWatch Logs nella CloudWatch console, deve disporre di un set minimo di autorizzazioni che gli consentano di descrivere AWS le altre risorse del proprio account. AWS Per utilizzare CloudWatch Logs nella CloudWatch console, è necessario disporre delle autorizzazioni dei seguenti servizi:
+ CloudWatch
+ CloudWatch Registri
+ OpenSearch Servizio
+ IAM
+ Kinesis
+ Lambda
+ Simple Storage Service (Amazon S3)

Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che tali utenti possano continuare a utilizzare la CloudWatch console, allega anche la policy `CloudWatchReadOnlyAccess` gestita all'utente, come descritto in[AWS politiche gestite (predefinite) per i registri CloudWatch](#managed-policies-cwl).

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l'API AWS CLI o verso l'API CloudWatch Logs.

Il set completo di autorizzazioni necessarie per lavorare con la CloudWatch console per un utente che non utilizza la console per gestire gli abbonamenti ai registri è:
+ cloudwatch: GetMetricData
+ orologio nuvoloso: ListMetrics
+ registri: CancelExportTask
+ registri: CreateExportTask
+ registri: CreateLogGroup
+ registri: CreateLogStream
+ registri: DeleteLogGroup
+ registri: DeleteLogStream
+ registri: DeleteMetricFilter
+ registri: DeleteQueryDefinition
+ registri: DeleteRetentionPolicy
+ registri: DeleteSubscriptionFilter
+ registri: DescribeExportTasks
+ registri: DescribeLogGroups
+ registri: DescribeLogStreams
+ registri: DescribeMetricFilters
+ registri: DescribeQueryDefinitions
+ registri: DescribeQueries
+ registri: DescribeSubscriptionFilters
+ registri: FilterLogEvents
+ registri: GetLogEvents
+ registri: GetLogGroupFields
+ registri: GetLogRecord
+ registri: GetQueryResults
+ registri: PutMetricFilter
+ registri: PutQueryDefinition
+ registri: PutRetentionPolicy
+ registri: StartQuery
+ registri: StopQuery
+ registri: PutSubscriptionFilter
+ registri: TestMetricFilter

Per un utente che intende utilizzare anche la console per gestire le sottoscrizioni ai log, sono necessarie anche le seguenti autorizzazioni:
+ Sì: DescribeElasticsearchDomain
+ Sì: ListDomainNames
+ sono: AttachRolePolicy
+ Io sono: CreateRole
+ Io sono: GetPolicy
+ Io sono: GetPolicyVersion
+ Io sono: GetRole
+ Io sono: ListAttachedRolePolicies
+ Io sono: ListRoles
+ cinesi: DescribeStreams
+ cinesi: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3: ListBuckets

## AWS politiche gestite (predefinite) per i registri CloudWatch
<a name="managed-policies-cwl"></a>

AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.

Le seguenti politiche AWS gestite, che puoi allegare agli utenti e ai ruoli del tuo account, sono specifiche dei CloudWatch log:
+ **CloudWatchLogsFullAccess**— Garantisce l'accesso completo ai registri. CloudWatch 
+ **CloudWatchLogsReadOnlyAccess**— Garantisce l'accesso in sola lettura ai registri. CloudWatch 

### CloudWatchLogsFullAccess
<a name="managed-policies-cwl-CloudWatchLogsFullAccess"></a>

 La **CloudWatchLogsFullAccess**politica garantisce l'accesso completo ai registri. CloudWatch La politica include le `cloudwatch:GenerateQueryResultsSummary` autorizzazioni `cloudwatch:GenerateQuery` e, in modo che gli utenti che la utilizzano possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)Reference Guide. 

### CloudWatchLogsReadOnlyAccess
<a name="managed-policies-cwl-CloudWatchLogsReadOnlyAccess"></a>

 La **CloudWatchLogsReadOnlyAccess**policy garantisce l'accesso in sola lettura ai log. CloudWatch Include le `cloudwatch:GenerateQueryResultsSummary` autorizzazioni `cloudwatch:GenerateQuery` e, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)Reference Guide. 

### CloudWatchOpenSearchDashboardsFullAccess
<a name="managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess"></a>

La **CloudWatchOpenSearchDashboardsFullAccess**policy consente l'accesso per creare, gestire ed eliminare integrazioni con OpenSearch Service e per creare dashboard di eliminazione e gestione dei log venduti in tali integrazioni. Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).

 *Per visualizzare il contenuto completo della policy, consulta la Managed Policy Reference [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)Guide.AWS *

### CloudWatchOpenSearchDashboardAccess
<a name="managed-policies-cwl-CloudWatchOpenSearchDashboardAccess"></a>

La **CloudWatchOpenSearchDashboardAccess**policy consente l'accesso alla visualizzazione dei dashboard dei registri venduti creati con analisi. Amazon OpenSearch Service Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).

**Importante**  
Oltre a concedere questa politica, per consentire a un ruolo o a un utente di visualizzare i dashboard dei log venduti, è necessario specificarli anche quando si crea l'integrazione con Service. OpenSearch Per ulteriori informazioni, consulta [Fase 1: Creare l'integrazione con Service OpenSearch](OpenSearch-Dashboards-Integrate.md).

 Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)Reference Guide.

#### CloudWatchLogsCrossAccountSharingConfiguration
<a name="managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration"></a>

La **CloudWatchLogsCrossAccountSharingConfiguration**politica consente l'accesso alla creazione, alla gestione e alla visualizzazione dei collegamenti di Observability Access Manager per la condivisione delle risorse di CloudWatch Logs tra account. Per maggiori informazioni, consulta la sezione [Osservabilità su più account di CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).

 Per vedere il contenuto completo della politica, consulta la *AWS Managed* Policy [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)Reference Guide.

#### CloudWatchLogsAPIKeyAccesso
<a name="managed-policies-cwl-CloudWatchLogsAPIKeyAccess"></a>

La politica di **CloudWatchLogsAPIKeyaccesso** consente l'autenticazione della chiave API CloudWatch Logs e l'inserimento crittografato dei log. Questa politica concede le autorizzazioni per l'autenticazione utilizzando token bearer e la scrittura di eventi di registro in CloudWatch Logs, con AWS KMS autorizzazioni aggiuntive per la decrittografia e la generazione di chiavi di dati quando i log sono crittografati.

La policy concede le seguenti autorizzazioni:
+ `logs`— Consente ai responsabili di autenticarsi tramite token portatori di chiavi API e di scrivere eventi di registro nei flussi di Logs. CloudWatch 
+ `kms`— Consente ai responsabili di leggere i metadati AWS KMS chiave, generare chiavi di dati per la crittografia e decrittografare i dati. Queste autorizzazioni supportano CloudWatch i registri crittografati consentendo al servizio di crittografare i dati di registro utilizzando chiavi gestite dal cliente. AWS KMS L'accesso è limitato alle operazioni richiamate tramite il servizio Logs. CloudWatch 

Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) nella *AWS Managed Policy Reference* Guide.

### CloudWatch Registra gli aggiornamenti delle politiche gestite AWS
<a name="iam-awsmanpol-updates"></a>



Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per CloudWatch Logs da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti dei CloudWatch registri.




| Modifica | Descrizione | Data | 
| --- | --- | --- | 
|  [CloudWatchLogsAPIKeyAccesso: nuova](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) politica.  |  CloudWatch Logs ha aggiunto una nuova policy gestita **CloudWatchLogsAPIKeyAccess**. Questa politica consente l'autenticazione tramite chiave API CloudWatch Logs e l'inserimento crittografato dei log, concedendo le autorizzazioni per l'autenticazione utilizzando token bearer e la scrittura di eventi di registro in Logs. CloudWatch   |  17 febbraio 2026  | 
|  [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente.  |   CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess** Sono state aggiunte le autorizzazioni per le azioni di amministrazione dell'osservabilità per consentire l'accesso in sola lettura alle pipeline di telemetria e alle integrazioni di tabelle S3.  |  02 dicembre 2025  | 
|  [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente.  |  CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Sono state aggiunte le autorizzazioni per le azioni di amministrazione dell'osservabilità per consentire l'accesso in sola lettura alle pipeline di telemetria e alle integrazioni di tabelle S3.  |  02 dicembre 2025  | 
|   [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente.   |   CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess**  Le autorizzazioni per `cloudwatch:GenerateQueryResultsSummary` sono state aggiunte per consentire la generazione di un riepilogo in linguaggio naturale dei risultati della query.   |   20 maggio 2025  | 
|   [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente.   |   CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess**  Le autorizzazioni per `cloudwatch:GenerateQueryResultsSummary` sono state aggiunte per consentire la generazione di un riepilogo in linguaggio naturale dei risultati della query.   |   20 maggio 2025  | 
|   [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente.   |   CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess**  Sono state aggiunte le autorizzazioni per Amazon OpenSearch Service e IAM, per consentire l'integrazione di CloudWatch Logs con OpenSearch Service per alcune funzionalità.   |   1 dicembre 2024   | 
|   [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Nuova politica IAM.   |   CloudWatch Logs ha aggiunto una nuova policy IAM, **CloudWatchOpenSearchDashboardsFullAccess**.- Questa policy consente l'accesso per creare, gestire ed eliminare integrazioni con OpenSearch Service e per creare, gestire ed eliminare dashboard di log vendute in tali integrazioni. Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).   |   1 dicembre 2024   | 
|   [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Nuova policy IAM.   |   CloudWatch Logs ha aggiunto una nuova policy IAM, **CloudWatchOpenSearchDashboardAccess**.- Questa policy consente l'accesso alla visualizzazione dei dashboard dei log forniti da. Amazon OpenSearch Service Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).   |   1 dicembre 2024   | 
|   [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente.   |   CloudWatch Logs ha aggiunto un'autorizzazione a. **CloudWatchLogsFullAccess**   L'`cloudwatch:GenerateQuery`autorizzazione è stata aggiunta, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale.   |   27 novembre 2023   | 
|   [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente.   |   CloudWatch ha aggiunto un'autorizzazione a. **CloudWatchLogsReadOnlyAccess**   L'`cloudwatch:GenerateQuery`autorizzazione è stata aggiunta, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale.   |   27 novembre 2023   | 
|  [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiornamento di una policy esistente  |  CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Le `logs:StopLiveTail` autorizzazioni `logs:StartLiveTail` e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per avviare e interrompere le sessioni live tail di CloudWatch Logs. Per ulteriori informazioni, consulta [Use live tail to view logs in near real time](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html).  | 6 giugno 2023 | 
|  [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration): nuova policy  |  CloudWatch Logs ha aggiunto una nuova politica che consente di gestire i link di osservabilità CloudWatch tra account che condividono i gruppi di log di Logs. CloudWatch  [Per ulteriori informazioni, consulta osservabilità tra account CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)  | 27 novembre 2022 | 
|  [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiornamento di una policy esistente  |  CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Le `oam:ListAttachedLinks` autorizzazioni `oam:ListSinks` e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per visualizzare i dati condivisi dagli account di origine in CloudWatch modo osservabile tra più account.  | 27 novembre 2022 | 

### Esempi di policy gestite dal cliente
<a name="customer-managed-policies-cwl"></a>

Puoi creare politiche IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse di CloudWatch Logs. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che richiedono le autorizzazioni.

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie CloudWatch azioni di Logs. Queste politiche funzionano quando si utilizza l'API CloudWatch Logs o il AWS SDKs. AWS CLI

**Topics**
+ [Esempio 1: consenti l'accesso completo ai registri CloudWatch](#w2aac59c15c15c23c19b9)
+ [Esempio 2: consentire l'accesso in sola lettura ai registri CloudWatch](#w2aac59c15c15c23c19c11)
+ [Esempio 3: consentire l'accesso a un gruppo di log](#w2aac59c15c15c23c19c13)

#### Esempio 1: consenti l'accesso completo ai registri CloudWatch
<a name="w2aac59c15c15c23c19b9"></a>

La seguente politica consente a un utente di accedere a tutte le azioni di CloudWatch Logs.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

#### Esempio 2: consentire l'accesso in sola lettura ai registri CloudWatch
<a name="w2aac59c15c15c23c19c11"></a>

AWS fornisce una **CloudWatchLogsReadOnlyAccess**politica che consente l'accesso in sola lettura ai dati dei registri. CloudWatch Questa policy include le seguenti autorizzazioni:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

#### Esempio 3: consentire l'accesso a un gruppo di log
<a name="w2aac59c15c15c23c19c13"></a>

La policy seguente consente a un utente di leggere e scrivere eventi di log in un gruppo di log specificato.

**Importante**  
I caratteri `:*` alla fine del nome del gruppo di log sulla riga `Resource` sono necessari per indicare che la policy si applica a tutti i flussi di log in questo gruppo di log. Se ometti `:*`, la policy non verrà applicata.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}
```

------

### Utilizzo del tagging e delle policy IAM per il controllo a livello di gruppo di log
<a name="cwl-IAM-policy-tagging"></a>

È possibile concedere agli utenti l'accesso a determinati gruppi di log evitando che accedano ad altri gruppi di log. Per farlo, aggiungere un tag ai gruppi di log e usare policy IAM che fanno riferimento a tali tag. Per applicare i tag a un gruppo di log, è necessario disporre dell'autorizzazione `logs:TagResource` o `logs:TagLogGroup`. Ciò vale sia se si assegnano tag al gruppo di log al momento della creazione, sia se li si assegna successivamente.

Per ulteriori informazioni sull'applicazione di tag ai gruppi di log, consulta [Contrassegna i gruppi di log in Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).

Quando si aggiunge un tag ai gruppi di log, è possibile concedere una policy IAM a un utente per consentire l'accesso solo ai gruppi di log con un determinato tag. Ad esempio, la seguente istruzione di policy garantisce l'accesso solo ai gruppi di log con il valore `Green` per la chiave di tag `Team`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}
```

------

Le operazioni **StopQuery**e le **StopLiveTail**API non interagiscono con AWS le risorse nel senso tradizionale. Non restituiscono né inseriscono alcun dato, né modificano una risorsa in alcun modo. Funzionano invece solo su una determinata sessione live tail o su una determinata query di CloudWatch Logs Insights, che non sono classificate come risorse. Di conseguenza, quando per queste operazioni si specifica il campo `Resource` nelle policy IAM, è necessario impostare il valore del campo `Resource` come `*`, analogamente all'esempio di seguito. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	  
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}
```

------

Per ulteriori informazioni sull'utilizzo di istruzioni di policy IAM, consulta [Controllo dell'accesso tramite le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) nella *Guida per l'utente di IAM*.

# CloudWatch Registra il riferimento alle autorizzazioni
<a name="permissions-reference-cwl"></a>

Quando configuri [Controllo accessi](auth-and-access-control-cwl.md#access-control-cwl) e scrivi policy di autorizzazioni che puoi collegare a un'identità IAM (policy basate su identità), puoi usare la tabella seguente come riferimento. La tabella elenca ogni operazione dell'API CloudWatch Logs e le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione. Puoi specificare le operazioni nel campo `Action` della policy. Per il `Resource` campo, è possibile specificare l'ARN di un gruppo di log o di un flusso di log oppure specificare di `*` rappresentare tutte le risorse CloudWatch Logs.

È possibile utilizzare le chiavi di condizione AWS-wide nelle politiche di CloudWatch Logs per esprimere condizioni. *Per un elenco completo delle chiavi AWS-wide, consulta [AWS Global and IAM Condition Context Keys nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) User Guide.*

**Nota**  
Per specificare un'operazione, utilizza il prefisso `logs:` seguito dal nome dell'operazione API. Ad esempio: `logs:CreateLogGroup``logs:CreateLogStream`, o `logs:*` (per tutte le azioni di CloudWatch Logs).


**CloudWatch Registra le operazioni API e le autorizzazioni richieste per le azioni**  

| CloudWatch Registra le operazioni API | Autorizzazioni necessarie (operazioni API) | 
| --- | --- | 
|  [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html)  |  `logs:CancelExportTask` Necessaria per eliminare un'attività di esportazione in esecuzione o pendente.  | 
|  [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html)  |  `logs:CreateExportTask` Necessaria per esportare dati da un gruppo di log a un bucket Amazon S3.  | 
|  [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)  |  `logs:CreateLogGroup` Necessaria per creare un nuovo gruppo di log.  | 
|  [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)  |  `logs:CreateLogStream` Necessaria per creare un nuovo flusso di log in un gruppo di log.  | 
|  [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html)  |  `logs:DeleteDestination` Necessaria per eliminare una destinazione di log e disabilita tutti i filtri di sottoscrizione.  | 
|  [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html)  |  `logs:DeleteLogGroup` Necessario per eliminare un gruppo di log e tutti i log eventi archiviati associati.  | 
|  [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html)  |  `logs:DeleteLogStream` Necessaria per eliminare un flusso di log e tutti gli eventi di log archiviati associati.  | 
|  [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html)  |  `logs:DeleteMetricFilter` Necessaria per eliminare un filtro parametri associato a un gruppo di log.  | 
|  [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html)  |  `logs:DeleteQueryDefinition` Necessario per eliminare una definizione di query salvata in CloudWatch Logs Insights.  | 
|  [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html)  |  `logs:DeleteResourcePolicy` Necessario per eliminare una politica delle risorse CloudWatch di Logs.  | 
|  [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html)  |  `logs:DeleteRetentionPolicy` Necessaria per eliminare una policy di retention di un gruppo di log.  | 
|  [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html)  |  `logs:DeleteSubscriptionFilter` Necessaria per eliminare un filtro sottoscrizioni associato a un gruppo di log.  | 
|  [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html)  |  `logs:DescribeDestinations` Necessaria per visualizzare tutte le destinazioni associate all'account.  | 
|  [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html)  |  `logs:DescribeExportTasks` Necessaria per visualizzare tutte le attività di esportazione associate all'account.  | 
|  [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html)  |  `logs:DescribeLogGroups` Necessaria per visualizzare tutti i gruppi di log associati all'account.  | 
|  [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html)  |  `logs:DescribeLogStreams` Necessaria per visualizzare tutti i flussi di log associati a un gruppo di log.  | 
|  [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html)  |  `logs:DescribeMetricFilters` Necessario per visualizzare tutti i parametri associati a un gruppo di log.  | 
|  [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html)  |  `logs:DescribeQueryDefinitions` Necessario per visualizzare l'elenco delle definizioni delle query salvate in CloudWatch Logs Insights.  | 
|  [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html)  |  `logs:DescribeQueries` Necessario per visualizzare l'elenco delle query di CloudWatch Logs Insights pianificate, in esecuzione o eseguite di recente.  | 
|  [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html)  |  `logs:DescribeResourcePolicies` Necessario per visualizzare un elenco delle politiche relative alle risorse di Logs. CloudWatch   | 
|  [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html)  |  `logs:DescribeSubscriptionFilters` Necessaria per visualizzare tutti i filtri di sottoscrizione associati a un gruppo di log.  | 
|  [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)  |  `logs:FilterLogEvents` Necessaria per ordinare log eventi in base a un modello filtro di gruppo di log.  | 
|  [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)  |  `logs:GetLogEvents` Necessaria per recuperare eventi di log da un flusso di log.  | 
|  [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html)  |  `logs:GetLogGroupFields` Necessaria per recuperare l'elenco dei campi inclusi negli eventi di log in un gruppo di log.  | 
|  [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html)  |  `logs:GetLogRecord` Necessaria per recuperare i dettagli da un singolo log eventi.  | 
|  [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html)  |  `logs:GetLogRecord` Necessario per recuperare il contenuto di ampie porzioni di eventi di registro che sono stati acquisiti tramite l'API. PutOpenTelemetryLogs   | 
|  [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html)  |  `logs:GetQueryResults` Necessario per recuperare i risultati delle query di CloudWatch Logs Insights.  | 
|  ListEntitiesForLogGroup (autorizzazione solo per console) CloudWatch   |  `logs:ListEntitiesForLogGroup` Necessario per trovare le entità associate a un gruppo di log. Necessario per esplorare i log correlati all'interno della CloudWatch console.  | 
|  ListLogGroupsForEntity (autorizzazione CloudWatch solo per console)  |  `logs:ListLogGroupsForEntity` Necessario per trovare i gruppi di log associati a un'entità. Necessario per esplorare i log correlati all'interno della CloudWatch console.  | 
|  [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html)  |  `logs:ListTagsLogGroup` Necessaria per elencare i tag associati a un gruppo di log.  | 
|  [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html)  |  `logs:DescribeLogGroups` Necessaria per visualizzare tutti i gruppi di log associati all'account.  | 
|  [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)  |  `logs:PutDestination` Necessaria per creare o aggiornare un flusso di log di destinazione (ad esempio, un flusso Kinesis).  | 
|  [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)  |  `logs:PutDestinationPolicy` Necessaria per creare o aggiornare una policy di accesso predefinita associata a una destinazione di log esistente.  | 
|  [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)  |  `logs:PutLogEvents` Necessaria per caricare un batch di eventi di log in un flusso di eventi.  | 
|  [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html)  |  `logs:PutMetricFilter` Necessaria per creare o aggiornare un filtro di parametri e associarlo a un gruppo di log.  | 
|  [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html)  |  `logs:PutQueryDefinition` Necessario per salvare una query in CloudWatch Logs Insights, incluse le query salvate con parametri.  | 
|  [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html)  |  `logs:PutResourcePolicy` Necessario per creare una politica delle risorse di CloudWatch Logs.  | 
|  [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)  |  `logs:PutRetentionPolicy` Necessaria per impostare il numero di giorni per conservare log eventi (retention) in un gruppo di log.  | 
|  [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html)  |  `logs:PutSubscriptionFilter` Necessaria per creare o aggiornare un filtro sottoscrizioni e associarlo a un gruppo di log.  | 
|  [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html)  |  `logs:StartQuery` Necessario per avviare le query di CloudWatch Logs Insights. Per eseguire una query salvata con parametri, è necessario anche. `logs:DescribeQueryDefinitions`  | 
|  [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html)  |  `logs:StopQuery` Necessario per interrompere una query di CloudWatch Logs Insights in corso.  | 
|  [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html)  |  `logs:TagLogGroup` Necessaria per aggiungere o aggiornare i tag dei gruppi di log.  | 
|  [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html)  |  `logs:TestMetricFilter` Necessaria per verificare un modello di filtro su un campionamento di messaggi di log eventi.  | 

# Utilizzo di ruoli collegati ai servizi per i registri CloudWatch
<a name="using-service-linked-roles-cwl"></a>

Amazon CloudWatch Logs utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ai log. CloudWatch I ruoli collegati ai servizi sono predefiniti da CloudWatch Logs e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS 

Un ruolo collegato al servizio rende la configurazione di CloudWatch Logs più efficiente perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudWatch Logs definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo Logs può assumere tali ruoli. CloudWatch Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Queste ultime non possono essere collegate a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cerca i servizi che hanno **Sì** nella colonna **Ruolo collegato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni relative ai ruoli collegati al servizio per Logs CloudWatch
<a name="slr-permissions"></a>

CloudWatch Logs utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForLogDelivery** CloudWatch Logs utilizza questo ruolo collegato al servizio per scrivere i log direttamente su Firehose. Per ulteriori informazioni, consulta [Abilita la registrazione dai servizi AWS](AWS-logs-and-resource-policy.md).

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi **AWSServiceRoleForLogDelivery** considera attendibili i seguenti servizi:
+ `logs.amazonaws.com`

La politica di autorizzazione dei ruoli consente a CloudWatch Logs di completare le seguenti azioni sulle risorse specificate:
+ Azione: `firehose:PutRecord` e `firehose:PutRecordBatch` su tutti gli stream Firehose che hanno un tag con una `LogDeliveryEnabled` chiave con un valore di. `True` Questo tag viene collegato automaticamente a uno stream Firehose quando si crea un abbonamento per inviare i log a Firehose.

Per consentire a un'entità IAM, di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Questa entità può essere un utente, un gruppo o un ruolo. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.

## Creazione di un ruolo collegato al servizio per Logs CloudWatch
<a name="create-slr"></a>

Non è necessario creare manualmente un ruolo collegato ai servizi. Quando configurate i log da inviare direttamente a uno stream Firehose nell'API, AWS CLI nella o Console di gestione AWS nell'API CloudWatch , Logs crea automaticamente AWS il ruolo collegato al servizio. 

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando configuri nuovamente i log per essere inviati direttamente a uno stream Firehose CloudWatch , Logs crea nuovamente il ruolo collegato al servizio per te. 

## Modifica di un ruolo collegato al servizio per Logs CloudWatch
<a name="edit-slr"></a>

CloudWatch I registri non consentono di modificare **AWSServiceRoleForLogDelivery**, o qualsiasi altro ruolo collegato al servizio, dopo averlo creato. Non è possibile modificare il nome del ruolo poiché varie entità possono farvi riferimento. Tuttavia, utilizzando IAM è possibile modificarne la descrizione. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.

## Eliminazione di un ruolo collegato al servizio per Logs CloudWatch
<a name="delete-slr"></a>

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

**Nota**  
Se il servizio CloudWatch Logs utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.

**Per eliminare le risorse CloudWatch Logs utilizzate dal ruolo collegato al servizio **AWSServiceRoleForLogDelivery****
+ Smetti di inviare i log direttamente agli stream di Firehose.

**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al **AWSServiceRoleForLogDelivery**servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role).

### Regioni supportate per i ruoli collegati al servizio CloudWatch Logs
<a name="slr-regions"></a>

CloudWatch Logs supporta l'utilizzo di ruoli collegati al servizio in tutte le AWS regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [CloudWatch Registra regioni ed endpoint.](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region)

# CloudWatch Registra gli aggiornamenti ai ruoli collegati al servizio AWS
<a name="cwl-slrpolicy-updates"></a>



Visualizza i dettagli sugli aggiornamenti al ruolo collegato al AWS servizio per CloudWatch Logs da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti dei CloudWatch registri.




| Modifica | Descrizione | Data | 
| --- | --- | --- | 
|  AWSServiceRoleForLogDelivery politica relativa ai [ruoli collegati ai servizi: aggiornamento a una politica](AWS-logs-infrastructure-Firehose.md) esistente  |  CloudWatch I log hanno modificato le autorizzazioni nella policy IAM associata al ruolo collegato al servizio. **AWSServiceRoleForLogDelivery** È stata apportata la seguente modifica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html)  | 15 luglio 2021 | 
|  CloudWatch I log hanno iniziato a tenere traccia delle modifiche  |  CloudWatch Logs ha iniziato a tenere traccia delle modifiche relative alle politiche AWS gestite.  | 10 giugno 2021 | 

# Convalida della conformità per Amazon Logs CloudWatch
<a name="compliance-validation"></a>

Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .

È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).

# Resilienza in Amazon Logs CloudWatch
<a name="disaster-recovery-resiliency"></a>

L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.

Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta [Infrastruttura AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).

# Sicurezza dell'infrastruttura in Amazon CloudWatch Logs
<a name="infrastructure-security"></a>

In quanto servizio gestito, Amazon CloudWatch Logs è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.

Si utilizzano chiamate API AWS pubblicate per accedere ai CloudWatch log attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

# Utilizzo dei CloudWatch log con endpoint VPC di interfaccia
<a name="cloudwatch-logs-and-interface-VPC"></a>

Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e Logs. CloudWatch Puoi utilizzare questa connessione per inviare log a CloudWatch Logs senza inviarli tramite Internet. CloudWatch Logs supporta gli endpoint IPv4 VPC in tutte le regioni e IPv6 supporta gli endpoint in tutte le regioni.

Amazon VPC è un AWS servizio che puoi utilizzare per avviare AWS risorse in una rete virtuale definita dall'utente. Con un VPC;, detieni il controllo delle impostazioni della rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per connettere il tuo VPC ai CloudWatch log, definisci un endpoint *VPC* di interfaccia per Logs. CloudWatch Questo tipo di endpoint consente di collegare il VPC ai servizi AWS . L'endpoint fornisce una connettività affidabile e scalabile ai CloudWatch log senza richiedere un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consulta [Che cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) nella *Guida per l'utente di Amazon VPC*.

 Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, una AWS tecnologia che consente la comunicazione privata tra AWS i servizi utilizzando un'interfaccia di rete elastica con indirizzi IP privati. Per ulteriori informazioni, vedere [New — AWS PrivateLink for AWS Services](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).

Le fasi seguenti sono per gli utenti Amazon VPC. Per ulteriori informazioni, consulta l'argomento relativo alle [ nozioni di base](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) nella *Guida per l'utente di Amazon VPC*.

## Disponibilità
<a name="cloudwatch-logs-interface-VPC-availability"></a>

CloudWatch Logs attualmente supporta gli endpoint VPC in AWS tutte le regioni, incluse le regioni. AWS GovCloud (US) 

## Creazione di un endpoint VPC per i log CloudWatch
<a name="create-VPC-endpoint-for-CloudWatchLogs"></a>

Per iniziare a utilizzare CloudWatch Logs con il tuo VPC, crea un endpoint VPC di interfaccia per Logs. CloudWatch **Il servizio da scegliere è com.amazonaws. *Region*.registri.** Per connettersi con un endpoint FIPS, il servizio da scegliere è. `com.amazonaws.Region.logs-fips` Non è necessario modificare alcuna impostazione per CloudWatch i registri. Per ulteriori informazioni, consulta [ Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html) nella *Guida per l'utente di Amazon VPC*.

Alcuni CloudWatch log APIs, come StartLiveTail e GetLogObject, sono ospitati su un endpoint e un endpoint VPC diversi:. `stream-logs.Region.amazonaws.com` **Per creare un endpoint VPC di interfaccia per questi APIs, il servizio da scegliere è com.amazonaws. *Region*.stream-logs.** Per connettersi con un endpoint FIPS, il servizio da scegliere è. `com.amazonaws.Region.stream-logs-fips` 



## Verifica della connessione tra il tuo VPC e Logs CloudWatch
<a name="test-VPC-endpoint-for-CloudWatchLogs"></a>

Dopo aver creato l'endpoint, è possibile testare la connessione.

**Per testare la connessione tra il tuo VPC e l'endpoint Logs CloudWatch**

1. Connettiti a un'istanza Amazon EC2 che risiede nel tuo VPC. Per informazioni sulla connessione, consulta [Connessione all'istanza Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpce-interface.html#create-interface-endpoint.html) o [Connessione all'istanza Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) nella documentazione Amazon EC2.

1. Dall'istanza, usa AWS CLI per creare una voce di registro in uno dei gruppi di log esistenti.

   Prima di tutto, creare un file JSON con un evento di log. Il timestamp deve essere specificato come numero di millisecondi dopo il 1° gennaio 1970 alle 00:00:00 UTC.

   ```
   [
     {
       "timestamp": 1533854071310,
       "message": "VPC Connection Test"
     }
   ]
   ```

   Quindi, utilizzare il comando `put-log-events` per creare la voce di log:

   ```
   aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName
   ```

   Se la risposta al comando include `nextSequenceToken`, il comando è riuscito e l'endpoint VPC sta funzionando.

## Controllo dell'accesso all'endpoint VPC CloudWatch Logs
<a name="CloudWatchLogs-VPC-endpoint-policy"></a>

Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, viene collegata una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy IAM o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato. 

Le policy endpoint devono essere scritte in formato JSON. 

Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.

Di seguito è riportato un esempio di policy sugli endpoint per Logs. CloudWatch Questa policy consente agli utenti che si connettono ai CloudWatch log tramite il VPC di creare flussi di log e inviare log CloudWatch ai log, e impedisce loro di eseguire altre azioni di log. CloudWatch 

```
{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

**Per modificare la policy degli endpoint VPC per Logs CloudWatch**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel pannello di navigazione, seleziona **Endpoint**.

1. **Se non hai ancora creato l'endpoint for CloudWatch Logs, scegli Crea endpoint.** **Quindi seleziona com.amazonaws. ***Region***.logs e scegli Crea endpoint.**

1. **Seleziona com.amazonaws. *Region*.logs** endpoint e scegli la scheda **Policy** nella metà inferiore dello schermo.

1. Scegli **Edit Policy (Modifica policy)** e apporta le modifiche alla policy.

## Supporto delle chiavi di contesto VPC
<a name="Support-VPC-Context-Keys"></a>

CloudWatch Logs supporta `aws:SourceVpc` le chiavi di `aws:SourceVpce` contesto che possono limitare l'accesso a endpoint VPC specifici VPCs o specifici. Queste chiavi funzionano solo se l'utente utilizza endpoint VPC. Per ulteriori informazioni, consulta [Chiavi disponibili per alcuni servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-service-available) nella *Guida per l'utente di IAM*.