As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Permissões que a integração precisa Se você criar uma função do IAM para ser usada pela integração, em vez de permitir que a CloudWatch Logs crie a função, ela deverá incluir as permissões e a política de confiança a seguir. Para obter mais informações sobre como criar uma função do IAM, consulte [Criar uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "CloudWatchLogsAccess", "Effect": "Allow", "Action": [ "logs:StartQuery", "logs:GetLogGroupFields", "logs:GetQueryResults" ], "Resource": [ "*" ] }, { "Sid": "CloudWatchLogsDescribeLogGroupsAccess", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AmazonOpenSearchCollectionAccess", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } } ] } ``` ------ **nota** A função anterior concede acesso à leitura de todos os grupos de logs na conta, para permitir a criação de painéis para qualquer conta de log, incluindo grupos de logs entre contas. Se você quiser restringir o acesso a grupos de logs específicos e criar painéis somente para esses grupos, você pode atualizar a primeira declaração dessa política para o seguinte: ``` { "Sid": "CloudWatchLogsAccess", "Effect": "Allow", "Action": [ "logs:StartQuery", "logs:GetLogGroupFields", "logs:GetQueryResults" ], "Resource": [ "arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup:*", "arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup" ] } ```