As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
Importante
Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus recursos do CloudWatch Logs. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs.
Este tópico abrange o seguinte:
Veja a seguir um exemplo de política de permissões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }
Essa política tem uma instrução que concede permissões para criar grupos e streams de log para fazer upload de eventos de log para streams de log e listar detalhes sobre streams de log.
O caractere curinga (*) no final do valor Resource
significa que a instrução dá permissões para as ações logs:CreateLogGroup
, logs:CreateLogStream
, logs:PutLogEvents
e logs:DescribeLogStreams
em qualquer grupo de logs. Para limitar essa permissão a um determinado grupo de logs, substitua o caractere curinga (*) no ARN do recurso pelo ARN do grupo de logs específico. Para obter mais informações sobre as seções em uma declaração de política do IAM, consulte Referência a elementos de políticas do IAM no Manual do usuário do IAM. Para ver uma lista que mostra todas as ações do CloudWatch Logs, consulteCloudWatch Referência de permissões de registros.
Permissões necessárias para usar o console do CloudWatch
Para que um usuário trabalhe com CloudWatch Logs no CloudWatch console, ele precisa ter um conjunto mínimo de permissões que permita ao usuário descrever outros AWS recursos em sua AWS conta. Para usar o CloudWatch Logs no CloudWatch console, você precisa ter permissões dos seguintes serviços:
-
CloudWatch
-
CloudWatch Registros
-
OpenSearch Serviço
-
IAM
-
Kinesis
-
Lambda
-
Amazon S3
Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda possam usar o CloudWatch console, anexe também a política CloudWatchReadOnlyAccess
gerenciada ao usuário, conforme descrito emAWS políticas gerenciadas (predefinidas) para registros CloudWatch .
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API CloudWatch Logs AWS CLI ou para a Logs.
O conjunto completo de permissões necessárias para trabalhar com o CloudWatch console para um usuário que não está usando o console para gerenciar assinaturas de log é:
-
cloudwatch: GetMetricData
-
cloudwatch: ListMetrics
-
registros: CancelExportTask
-
registros: CreateExportTask
-
registros: CreateLogGroup
-
registros: CreateLogStream
-
registros: DeleteLogGroup
-
registros: DeleteLogStream
-
registros: DeleteMetricFilter
-
registros: DeleteQueryDefinition
-
registros: DeleteRetentionPolicy
-
registros: DeleteSubscriptionFilter
-
registros: DescribeExportTasks
-
registros: DescribeLogGroups
-
registros: DescribeLogStreams
-
registros: DescribeMetricFilters
-
registros: DescribeQueryDefinitions
-
registros: DescribeQueries
-
registros: DescribeSubscriptionFilters
-
registros: FilterLogEvents
-
registros: GetLogEvents
-
registros: GetLogGroupFields
-
registros: GetLogRecord
-
registros: GetQueryResults
-
registros: PutMetricFilter
-
registros: PutQueryDefinition
-
registros: PutRetentionPolicy
-
registros: StartQuery
-
registros: StopQuery
-
registros: PutSubscriptionFilter
-
registros: TestMetricFilter
Para um usuário que também usará o console para gerenciar assinaturas de log, as seguintes permissões também são necessárias:
-
Sim: DescribeElasticsearchDomain
-
Sim: ListDomainNames
-
objetivo: AttachRolePolicy
-
objetivo: CreateRole
-
objetivo: GetPolicy
-
objetivo: GetPolicyVersion
-
objetivo: GetRole
-
objetivo: ListAttachedRolePolicies
-
objetivo: ListRoles
-
cinesia: DescribeStreams
-
cinesia: ListStreams
-
lambda: AddPermission
-
lambda: CreateFunction
-
lambda: GetFunctionConfiguration
-
lambda: ListAliases
-
lambda: ListFunctions
-
lambda: ListVersionsByFunction
-
lambda: RemovePermission
-
s3: ListBuckets
AWS políticas gerenciadas (predefinidas) para registros CloudWatch
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
As seguintes políticas AWS gerenciadas, que você pode associar aos usuários e funções na sua conta, são específicas do CloudWatch Logs:
-
CloudWatchLogsFullAccess— Concede acesso total aos CloudWatch registros.
-
CloudWatchLogsReadOnlyAccess— Concede acesso somente para CloudWatch leitura aos registros.
CloudWatchLogsFullAccess
A CloudWatchLogsFullAccesspolítica concede acesso total aos CloudWatch registros. A política inclui as cloudwatch:GenerateQueryResultsSummary
permissões cloudwatch:GenerateQuery
e, para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural. Para ver o conteúdo completo da política, consulte o Guia CloudWatchLogsFullAccessde referência de políticas AWS gerenciadas.
CloudWatchLogsReadOnlyAccess
A CloudWatchLogsReadOnlyAccesspolítica concede acesso somente para CloudWatch leitura aos registros. Ela inclui as cloudwatch:GenerateQueryResultsSummary
permissões cloudwatch:GenerateQuery
e, para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural. Para ver o conteúdo completo da política, consulte o Guia CloudWatchLogsReadOnlyAccessde referência de políticas AWS gerenciadas.
CloudWatchOpenSearchDashboardsFullAccess
A CloudWatchOpenSearchDashboardsFullAccesspolítica concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Serviço e para criar, excluir e gerenciar painéis de registros vendidos nessas integrações. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.
Para ver o conteúdo completo da política, consulte o Guia CloudWatchOpenSearchDashboardsFullAccessde referência de políticas AWS gerenciadas.
CloudWatchOpenSearchDashboardAccess
A CloudWatchOpenSearchDashboardAccesspolítica concede acesso para visualizar painéis de registros vendidos criados com Amazon OpenSearch Service análises. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.
Importante
Além de conceder essa política, para permitir que uma função ou usuário possa visualizar painéis de log vendidos, você também deve especificá-los ao criar a integração com o Serviço. OpenSearch Para obter mais informações, consulte Etapa 1: criar a integração com o OpenSearch serviço.
Para ver o conteúdo completo da política, consulte o Guia CloudWatchOpenSearchDashboardAccessde referência de políticas AWS gerenciadas.
CloudWatchLogsCrossAccountSharingConfiguration
A CloudWatchLogsCrossAccountSharingConfigurationpolítica concede acesso para criar, gerenciar e visualizar links do Observability Access Manager para compartilhar recursos de CloudWatch registros entre contas. Para obter mais informações, consulte Observabilidade entre contas do CloudWatch .
Para ver o conteúdo completo da política, consulte o Guia CloudWatchLogsCrossAccountSharingConfigurationde referência de políticas AWS gerenciadas.
CloudWatch Registra atualizações em políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudWatch Logs desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico de documentos de CloudWatch registros.
Alteração | Descrição | Data |
---|---|---|
CloudWatchLogsFullAccess - Atualizar para uma política existente |
CloudWatch Os registros adicionaram permissões ao CloudWatchLogsFullAccess. As permissões para |
20 de maio de 2025 |
CloudWatchLogsReadOnlyAccess: atualizar para uma política existente. |
CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess. As permissões para |
20 de maio de 2025 |
CloudWatchLogsFullAccess: atualizar para uma política existente. |
CloudWatch Os registros adicionaram permissões ao CloudWatchLogsFullAccess. As permissões para Amazon OpenSearch Service e o IAM foram adicionadas para permitir a integração do CloudWatch Logs com o OpenSearch Service para alguns recursos. |
1.º de dezembro de 2024 |
CloudWatchOpenSearchDashboardsFullAccess— Nova política do IAM. |
CloudWatch A Logs adicionou uma nova política do IAM, CloudWatchOpenSearchDashboardsFullAccess.- Essa política concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Service e para criar, gerenciar e excluir painéis de registros vendidos nessas integrações. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service. |
1.º de dezembro de 2024 |
CloudWatchOpenSearchDashboardAccess— Nova política do IAM. |
CloudWatch A Logs adicionou uma nova política de IAM, CloudWatchOpenSearchDashboardAccess.- Essa política concede acesso à visualização de painéis de registros vendidos fornecidos por. Amazon OpenSearch Service Para obter mais informações, consulte Analise com o Amazon OpenSearch Service. |
1.º de dezembro de 2024 |
CloudWatchLogsFullAccess: atualizar para uma política existente. |
CloudWatch Os registros adicionaram uma permissão ao CloudWatchLogsFullAccess. A |
27 de novembro de 2023 |
CloudWatchLogsReadOnlyAccess: atualizar para uma política existente. |
CloudWatch adicionou uma permissão para CloudWatchLogsReadOnlyAccess. A |
27 de novembro de 2023 |
CloudWatchLogsReadOnlyAccess: atualização para uma política existente |
CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess. As |
6 de junho de 2023 |
CloudWatchLogsCrossAccountSharingConfiguration – Nova política |
CloudWatch O Logs adicionou uma nova política para permitir que você gerencie links de observabilidade CloudWatch entre contas que compartilham grupos de CloudWatch registros do Logs. Para obter mais informações, consulte CloudWatch observabilidade entre contas |
27 de novembro de 2022 |
CloudWatchLogsReadOnlyAccess: atualização para uma política existente |
CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess. As |
27 de novembro de 2022 |
Exemplos de política gerenciada pelo cliente
Você pode criar suas próprias políticas personalizadas do IAM para permitir permissões para ações e recursos do CloudWatch Logs. Você pode anexar essas políticas personalizadas a usuários ou grupos do que exijam essas permissões.
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do CloudWatch Logs. Essas políticas funcionam quando você está usando a API CloudWatch Logs ou AWS CLI a. AWS SDKs
Exemplos
Exemplo 1: Permitir acesso total aos CloudWatch registros
A política a seguir permite que um usuário acesse todas as ações do CloudWatch Logs.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }
Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch
AWS fornece uma CloudWatchLogsReadOnlyAccesspolítica que permite acesso somente para leitura aos dados do CloudWatch Logs. Esta política inclui as seguintes permissões.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Effect": "Allow", "Resource": "*" } ] }
Exemplo 3: Permitir acesso a um grupo de logs
A política a seguir permite que um usuário leia e grave eventos de log em um grupo de logs especificado.
Importante
O :*
no final do nome do grupo de logs na linha de Resource
é necessário para indicar que a política se aplica a todos os fluxos de logs nesse grupo de logs. Se você omitir o :*
, a política não será aplicada.
{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }
Usar etiquetas e políticas do IAM para controle no nível do grupo de logs
Você pode conceder aos usuários acesso a determinados grupos de logs enquanto os impede de acessar outros grupos de logs. Para fazer isso, etiquete seus grupos de logs e use políticas do IAM que fazem referência a essas etiquetas. Para aplicar tags a um grupo de logs, você precisa ter a permissão logs:TagResource
ou logs:TagLogGroup
. Isso se aplica se você estiver atribuindo tags ao grupo de logs ao criá-lo. ou atribuí-los mais tarde.
Para obter mais informações sobre como marcar grupos de logs, consulte Etiquetar os grupos de CloudWatch logs no Amazon Logs.
Ao etiquetar grupos de logs, você pode conceder uma política do IAM a um usuário para permitir o acesso a apenas os grupos de logs com determinada etiqueta. Por exemplo, a instrução de política a seguir concede acesso a apenas grupos de logs com o valor Green
para a chave de tag Team
.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }
As operações StopQuerye a StopLiveTailAPI não interagem com AWS os recursos no sentido tradicional. Elas não retornam dados, não colocam dados nem modificam recursos. Em vez disso, eles operam somente em uma determinada sessão final ao vivo ou em uma determinada consulta do CloudWatch Logs Insights, que não são categorizadas como recursos. Como resultado, ao especificar o campo Resource
nas políticas do IAM para essas operações, será necessário definir o valor do campo Resource
como *
, como no exemplo a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }
Para obter mais informações sobre como usar instruções de política do IAM, consulte Controlar o acesso usando políticas no Manual do usuário do IAM.