Recursos e operações Entendendo a propriedade de recursos Gerenciamento de acesso aos recursos Especificar elementos da política: ações, efeitos e entidades principais Especificar condições em uma política

Visão geral do gerenciamento de permissões de acesso a seus recursos do CloudWatch Logs

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos no AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Tópicos

Recursos e operações do CloudWatch Logs
Entendendo a propriedade de recursos
Gerenciamento de acesso aos recursos
Especificar elementos da política: ações, efeitos e entidades principais
Especificar condições em uma política

Recursos e operações do CloudWatch Logs

No CloudWatch Logs os principais recursos são grupos de logs, fluxos de logs e destinos. O CloudWatch Logs não oferece suporte a sub-recursos (outros recursos para uso com o recurso principal).

Esses recursos e sub-recursos têm Nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.

Tipo de recurso Formato ARN

Tipo de recurso	Formato ARN
Grupo de logs	Ambos os itens a seguir são usados. O segundo, com o `:` no final, é o que é retornado pelo comando `describe-log-groups` da CLI e a API DescribeLogGroups. arn:aws:logs:`region`:`account-id`:log-group:`log_group_name` arn:aws:logs:`region`:`account-id`:log-group:`log_group_name`: Use a primeira versão, sem o `:` final, nas seguintes situações: No campo de entrada `logGroupIdentifier` em muitas APIs do CloudWatch Logs. No campo `resourceArn` nas APIs de marcação Nas políticas do IAM, ao especificar permissões para TagResource, UntagResource e ListTagsForResource. Use a segunda versão, com o `:` final, para referenciar o ARN ao especificar permissões nas políticas do IAM para todas as outras ações de API.
Stream de log	arn:aws:logs:`region`:`account-id`:log-group:`log_group_name`:log-stream:`log-stream-name`
Destino	arn:aws:logs:`region`:`account-id`:destination:`destination_name`

Grupo de logs

Ambos os itens a seguir são usados. O segundo, com o :* no final, é o que é retornado pelo comando describe-log-groups da CLI e a API DescribeLogGroups.

arn:aws:logs:region:account-id:log-group:log_group_name

arn:aws:logs:region:account-id:log-group:log_group_name:*

Use a primeira versão, sem o :* final, nas seguintes situações:

No campo de entrada logGroupIdentifier em muitas APIs do CloudWatch Logs.
No campo resourceArn nas APIs de marcação
Nas políticas do IAM, ao especificar permissões para TagResource, UntagResource e ListTagsForResource.

Use a segunda versão, com o :* final, para referenciar o ARN ao especificar permissões nas políticas do IAM para todas as outras ações de API.

Stream de log

arn:aws:logs:region:account-id:log-group:log_group_name:log-stream:log-stream-name

Destino

arn:aws:logs:region:account-id:destination:destination_name

Para obter mais informações sobre ARNs, consulte ARNs no Manual do usuário do IAM. Para obter informações sobre ARNs do CloudWatch Logs, consulte Nomes dos recursos da Amazon (ARNs) no Referência geral da Amazon Web Services. Para obter um exemplo de uma política que abranja o CloudWatch Logs, consulte Usar políticas baseadas em identidade (políticas do IAM) para o CloudWatch Logs.

O CloudWatch Logs fornece um conjunto de operações para trabalhar com os recursos do CloudWatch Logs. Para ver uma lista das operações disponíveis, consulte Referência de permissões do CloudWatch Logs.

Entendendo a propriedade de recursos

A conta da AWS possui os recursos criados na conta, independentemente de quem os criou. De modo similar, o proprietário do recurso é a conta da AWS da entidade principal (ou seja, a conta-raiz, um usuário do IAM ou um perfil do IAM) que autentica a solicitação de criação de recursos. Os seguintes exemplos mostram como isso funciona:

Se você usar as credenciais da conta-raiz de sua conta da AWS para criar um grupo de logs, sua conta da AWS será a proprietária do recurso do CloudWatch Logs.
Se você criar um usuário em sua conta da AWS e conceder a ele permissões para criar recursos do CloudWatch Logs, ele poderá criar recursos do CloudWatch Logs. Porém, sua conta da AWS, à qual o usuário pertence, é a proprietária dos recursos do CloudWatch Logs.
Se você criar uma função do IAM em sua conta da AWS com permissões para criar recursos do CloudWatch Logs, qualquer pessoa que possa assumir a função poderá criar recursos do CloudWatch Logs. A conta da AWS, à qual a função pertence, é a proprietária dos recursos do CloudWatch Logs.

Gerenciamento de acesso aos recursos

Uma política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto do CloudWatch Logs. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte What is IAM? no IAM User Guide. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a referência da política do IAM no Manual do usuário do IAM.

As políticas associadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM), e as políticas associadas a um recurso são conhecidas como políticas baseadas em recurso. O CloudWatch Logs é compatível com políticas baseadas em identidades e políticas com base em recursos para destinos, que são usadas para habilitar assinaturas entre contas. Para obter mais informações, consulte Assinaturas entre contas entre regiões.

Tópicos

Permissões de grupo de logs e Contributor Insights
Políticas baseadas em recursos

Permissões de grupo de logs e Contributor Insights

O Contributor Insights é um recurso do CloudWatch que permite analisar os dados de grupos de log e criar séries temporais que exibem dados de colaboradores. É possível ver métricas sobre os principais colaboradores, o número total de colaboradores exclusivos e o uso deles. Para obter mais informações, consulte Usar o Contributor Insights para analisar dados de alta cardinalidade.

Quando você concede as permissões cloudwatch:PutInsightRule e cloudwatch:GetInsightRuleReport ao usuário, ele pode criar uma regra que avalia qualquer grupo de logs no CloudWatch Logs e visualizar os resultados. Os resultados podem conter dados de colaborador para esses grupos de log. Certifique-se de conceder essas permissões somente aos usuários que possam visualizar esses dados.

Políticas baseadas em recursos

O CloudWatch Logs é compatível com políticas baseadas em recursos para destinos, que você pode usar para habilitar assinaturas entre contas. Para obter mais informações, consulte Etapa 1: criar um destino. É possível criar destinos usando a API PutDestination, e você pode adicionar uma política de recurso ao destino usando a API PutDestination. O exemplo a seguir permite que outra conta da AWS com o ID da conta 111122223333 assine seus grupos de logs no destino arn:aws:logs:us-east-1:123456789012:destination:testDestination.

Especificar elementos da política: ações, efeitos e entidades principais

Para cada recurso do CloudWatch Logs, o serviço define um conjunto de operações da API. Para conceder permissões a essas operações da API, o CloudWatch Logs define um conjunto de ações que podem ser especificadas em uma política. Algumas operações da API podem exigir permissões para mais de uma ação a fim de realizar a operação da API. Para obter mais informações sobre os recursos e operações da API, consulte Recursos e operações do CloudWatch Logs e Referência de permissões do CloudWatch Logs.

Estes são os elementos de política básicos:

Recurso: use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte Recursos e operações do CloudWatch Logs.
Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão logs.DescribeLogGroups permite que o usuário execute a operação DescribeLogGroups.
Efeito: você especifica o efeito (permitir ou negar) quando o usuário solicita a ação específica. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O CloudWatch Logs é compatível com políticas baseadas em recursos para destinos.

Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a AWS Referência da política do IAM no Manual do usuário do IAM.

Para obter uma tabela que mostra todas as ações da API do CloudWatch Logs e os recursos a que elas se aplicam, consulte Referência de permissões do CloudWatch Logs.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Para obter uma lista de chaves de contexto compatíveis com cada produto da AWS e uma lista de chaves de política gerais da AWS, consulte Ações, recursos e chaves de condição para produtos da AWS e Chaves de contexto de condição globais da AWS.

nota

Você pode usar tags para controlar o acesso aos recursos do CloudWatch Logs, incluindo grupos de log e destinos. O acesso aos fluxos de log é controlado no nível do grupo de log, devido à relação hierárquica entre grupos de log e fluxos de log. Para obter mais informações sobre como usar etiquetas para controlar o acesso, consulte Controlar acesso a recursos da Amazon Web Services usando etiquetas de recursos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de identidade e acesso

Usar políticas baseadas em identidade (políticas do IAM)