Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch - CloudWatch Registros da Amazon
Permissões necessárias para usar o console do CloudWatchAWS políticas gerenciadas (predefinidas) para registros CloudWatch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch

Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).

Importante

Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus recursos do CloudWatch Logs. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs.

Este tópico abrange o seguinte:

Veja a seguir um exemplo de política de permissões:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

Essa política tem uma instrução que concede permissões para criar grupos e streams de log para fazer upload de eventos de log para streams de log e listar detalhes sobre streams de log.

O caractere curinga (*) no final do valor Resource significa que a instrução dá permissões para as ações logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents e logs:DescribeLogStreams em qualquer grupo de logs. Para limitar essa permissão a um determinado grupo de logs, substitua o caractere curinga (*) no ARN do recurso pelo ARN do grupo de logs específico. Para obter mais informações sobre as seções em uma declaração de política do IAM, consulte Referência a elementos de políticas do IAM no Manual do usuário do IAM. Para ver uma lista que mostra todas as ações do CloudWatch Logs, consulteCloudWatch Referência de permissões de registros.

Permissões necessárias para usar o console do CloudWatch

Para que um usuário trabalhe com CloudWatch Logs no CloudWatch console, ele precisa ter um conjunto mínimo de permissões que permita ao usuário descrever outros AWS recursos em sua AWS conta. Para usar o CloudWatch Logs no CloudWatch console, você precisa ter permissões dos seguintes serviços:

  • CloudWatch

  • CloudWatch Registros

  • OpenSearch Serviço

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda possam usar o CloudWatch console, anexe também a política CloudWatchReadOnlyAccess gerenciada ao usuário, conforme descrito emAWS políticas gerenciadas (predefinidas) para registros CloudWatch .

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API CloudWatch Logs AWS CLI ou para a Logs.

O conjunto completo de permissões necessárias para trabalhar com o CloudWatch console para um usuário que não está usando o console para gerenciar assinaturas de log é:

  • cloudwatch: GetMetricData

  • cloudwatch: ListMetrics

  • registros: CancelExportTask

  • registros: CreateExportTask

  • registros: CreateLogGroup

  • registros: CreateLogStream

  • registros: DeleteLogGroup

  • registros: DeleteLogStream

  • registros: DeleteMetricFilter

  • registros: DeleteQueryDefinition

  • registros: DeleteRetentionPolicy

  • registros: DeleteSubscriptionFilter

  • registros: DescribeExportTasks

  • registros: DescribeLogGroups

  • registros: DescribeLogStreams

  • registros: DescribeMetricFilters

  • registros: DescribeQueryDefinitions

  • registros: DescribeQueries

  • registros: DescribeSubscriptionFilters

  • registros: FilterLogEvents

  • registros: GetLogEvents

  • registros: GetLogGroupFields

  • registros: GetLogRecord

  • registros: GetQueryResults

  • registros: PutMetricFilter

  • registros: PutQueryDefinition

  • registros: PutRetentionPolicy

  • registros: StartQuery

  • registros: StopQuery

  • registros: PutSubscriptionFilter

  • registros: TestMetricFilter

Para um usuário que também usará o console para gerenciar assinaturas de log, as seguintes permissões também são necessárias:

  • Sim: DescribeElasticsearchDomain

  • Sim: ListDomainNames

  • objetivo: AttachRolePolicy

  • objetivo: CreateRole

  • objetivo: GetPolicy

  • objetivo: GetPolicyVersion

  • objetivo: GetRole

  • objetivo: ListAttachedRolePolicies

  • objetivo: ListRoles

  • cinesia: DescribeStreams

  • cinesia: ListStreams

  • lambda: AddPermission

  • lambda: CreateFunction

  • lambda: GetFunctionConfiguration

  • lambda: ListAliases

  • lambda: ListFunctions

  • lambda: ListVersionsByFunction

  • lambda: RemovePermission

  • s3: ListBuckets

AWS políticas gerenciadas (predefinidas) para registros CloudWatch

AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

As seguintes políticas AWS gerenciadas, que você pode associar aos usuários e funções na sua conta, são específicas do CloudWatch Logs:

  • CloudWatchLogsFullAccess— Concede acesso total aos CloudWatch registros.

  • CloudWatchLogsReadOnlyAccess— Concede acesso somente para CloudWatch leitura aos registros.

CloudWatchLogsFullAccess

A CloudWatchLogsFullAccesspolítica concede acesso total aos CloudWatch registros. A política inclui as cloudwatch:GenerateQueryResultsSummary permissões cloudwatch:GenerateQuery e, para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural. Para ver o conteúdo completo da política, consulte o Guia CloudWatchLogsFullAccessde referência de políticas AWS gerenciadas.

CloudWatchLogsReadOnlyAccess

A CloudWatchLogsReadOnlyAccesspolítica concede acesso somente para CloudWatch leitura aos registros. Ela inclui as cloudwatch:GenerateQueryResultsSummary permissões cloudwatch:GenerateQuery e, para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural. Para ver o conteúdo completo da política, consulte o Guia CloudWatchLogsReadOnlyAccessde referência de políticas AWS gerenciadas.

CloudWatchOpenSearchDashboardsFullAccess

A CloudWatchOpenSearchDashboardsFullAccesspolítica concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Serviço e para criar, excluir e gerenciar painéis de registros vendidos nessas integrações. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.

Para ver o conteúdo completo da política, consulte o Guia CloudWatchOpenSearchDashboardsFullAccessde referência de políticas AWS gerenciadas.

CloudWatchOpenSearchDashboardAccess

A CloudWatchOpenSearchDashboardAccesspolítica concede acesso para visualizar painéis de registros vendidos criados com Amazon OpenSearch Service análises. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.

Importante

Além de conceder essa política, para permitir que uma função ou usuário possa visualizar painéis de log vendidos, você também deve especificá-los ao criar a integração com o Serviço. OpenSearch Para obter mais informações, consulte Etapa 1: criar a integração com o OpenSearch serviço.

Para ver o conteúdo completo da política, consulte o Guia CloudWatchOpenSearchDashboardAccessde referência de políticas AWS gerenciadas.

CloudWatchLogsCrossAccountSharingConfiguration

A CloudWatchLogsCrossAccountSharingConfigurationpolítica concede acesso para criar, gerenciar e visualizar links do Observability Access Manager para compartilhar recursos de CloudWatch registros entre contas. Para obter mais informações, consulte Observabilidade entre contas do CloudWatch .

Para ver o conteúdo completo da política, consulte o Guia CloudWatchLogsCrossAccountSharingConfigurationde referência de políticas AWS gerenciadas.

CloudWatch Registra atualizações em políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudWatch Logs desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico de documentos de CloudWatch registros.

Alteração Descrição Data

CloudWatchLogsFullAccess - Atualizar para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsFullAccess.

As permissões para cloudwatch:GenerateQueryResultsSummary foram adicionadas para permitir a geração de um resumo em linguagem natural dos resultados da consulta.

20 de maio de 2025

CloudWatchLogsReadOnlyAccess: atualizar para uma política existente.

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess.

As permissões para cloudwatch:GenerateQueryResultsSummary foram adicionadas para permitir a geração de um resumo em linguagem natural dos resultados da consulta.

20 de maio de 2025

CloudWatchLogsFullAccess: atualizar para uma política existente.

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsFullAccess.

As permissões para Amazon OpenSearch Service e o IAM foram adicionadas para permitir a integração do CloudWatch Logs com o OpenSearch Service para alguns recursos.

1.º de dezembro de 2024

CloudWatchOpenSearchDashboardsFullAccess— Nova política do IAM.

CloudWatch A Logs adicionou uma nova política do IAM, CloudWatchOpenSearchDashboardsFullAccess.- Essa política concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Service e para criar, gerenciar e excluir painéis de registros vendidos nessas integrações. Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.

1.º de dezembro de 2024

CloudWatchOpenSearchDashboardAccess— Nova política do IAM.

CloudWatch A Logs adicionou uma nova política de IAM, CloudWatchOpenSearchDashboardAccess.- Essa política concede acesso à visualização de painéis de registros vendidos fornecidos por. Amazon OpenSearch Service Para obter mais informações, consulte Analise com o Amazon OpenSearch Service.

1.º de dezembro de 2024

CloudWatchLogsFullAccess: atualizar para uma política existente.

CloudWatch Os registros adicionaram uma permissão ao CloudWatchLogsFullAccess.

A cloudwatch:GenerateQuery permissão foi adicionada para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural.

27 de novembro de 2023

CloudWatchLogsReadOnlyAccess: atualizar para uma política existente.

CloudWatch adicionou uma permissão para CloudWatchLogsReadOnlyAccess.

A cloudwatch:GenerateQuery permissão foi adicionada para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Logs Insights a partir de um prompt em linguagem natural.

27 de novembro de 2023

CloudWatchLogsReadOnlyAccess: atualização para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess.

As logs:StopLiveTail permissões logs:StartLiveTail e foram adicionadas para que os usuários com essa política possam usar o console para iniciar e interromper CloudWatch as sessões de live tail do Logs. Para obter mais informações, consulte Usar o Live Tail para visualizar registros quase em tempo real.

 6 de junho de 2023

CloudWatchLogsCrossAccountSharingConfiguration – Nova política

CloudWatch O Logs adicionou uma nova política para permitir que você gerencie links de observabilidade CloudWatch entre contas que compartilham grupos de CloudWatch registros do Logs.

Para obter mais informações, consulte CloudWatch observabilidade entre contas

 27 de novembro de 2022

CloudWatchLogsReadOnlyAccess: atualização para uma política existente

CloudWatch Os registros adicionaram permissões ao CloudWatchLogsReadOnlyAccess.

As oam:ListAttachedLinks permissões oam:ListSinks e foram adicionadas para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na CloudWatch observabilidade entre contas.

 27 de novembro de 2022

Exemplos de política gerenciada pelo cliente

Você pode criar suas próprias políticas personalizadas do IAM para permitir permissões para ações e recursos do CloudWatch Logs. Você pode anexar essas políticas personalizadas a usuários ou grupos do que exijam essas permissões.

Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do CloudWatch Logs. Essas políticas funcionam quando você está usando a API CloudWatch Logs ou AWS CLI a. AWS SDKs

Exemplo 1: Permitir acesso total aos CloudWatch registros

A política a seguir permite que um usuário acesse todas as ações do CloudWatch Logs.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch

AWS fornece uma CloudWatchLogsReadOnlyAccesspolítica que permite acesso somente para leitura aos dados do CloudWatch Logs. Esta política inclui as seguintes permissões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Exemplo 3: Permitir acesso a um grupo de logs

A política a seguir permite que um usuário leia e grave eventos de log em um grupo de logs especificado.

Importante

O :* no final do nome do grupo de logs na linha de Resource é necessário para indicar que a política se aplica a todos os fluxos de logs nesse grupo de logs. Se você omitir o :*, a política não será aplicada.

{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

Usar etiquetas e políticas do IAM para controle no nível do grupo de logs

Você pode conceder aos usuários acesso a determinados grupos de logs enquanto os impede de acessar outros grupos de logs. Para fazer isso, etiquete seus grupos de logs e use políticas do IAM que fazem referência a essas etiquetas. Para aplicar tags a um grupo de logs, você precisa ter a permissão logs:TagResource ou logs:TagLogGroup. Isso se aplica se você estiver atribuindo tags ao grupo de logs ao criá-lo. ou atribuí-los mais tarde.

Para obter mais informações sobre como marcar grupos de logs, consulte Etiquetar os grupos de CloudWatch logs no Amazon Logs.

Ao etiquetar grupos de logs, você pode conceder uma política do IAM a um usuário para permitir o acesso a apenas os grupos de logs com determinada etiqueta. Por exemplo, a instrução de política a seguir concede acesso a apenas grupos de logs com o valor Green para a chave de tag Team.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

As operações StopQuerye a StopLiveTailAPI não interagem com AWS os recursos no sentido tradicional. Elas não retornam dados, não colocam dados nem modificam recursos. Em vez disso, eles operam somente em uma determinada sessão final ao vivo ou em uma determinada consulta do CloudWatch Logs Insights, que não são categorizadas como recursos. Como resultado, ao especificar o campo Resource nas políticas do IAM para essas operações, será necessário definir o valor do campo Resource como *, como no exemplo a seguir. 

{
    "Version": "2012-10-17", 
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}

Para obter mais informações sobre como usar instruções de política do IAM, consulte Controlar o acesso usando políticas no Manual do usuário do IAM.