As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
**Importante**
Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus recursos do CloudWatch Logs. Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs](iam-access-control-overview-cwl.md).
Este tópico abrange o seguinte:
+ [Permissões necessárias para usar o CloudWatch console](#console-permissions-cwl)
+ [AWS políticas gerenciadas (predefinidas) para registros CloudWatch](#managed-policies-cwl)
+ [Exemplos de política gerenciada pelo cliente](#customer-managed-policies-cwl)
Veja a seguir um exemplo de política de permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Essa política tem uma instrução que concede permissões para criar grupos e streams de log para fazer upload de eventos de log para streams de log e listar detalhes sobre streams de log.
O caractere curinga (\*) no `Resource` valor concede permissão para as ações listadas em qualquer recurso do CloudWatch Logs.
+ **Para limitar as permissões a ações específicas do grupo de registros** (por exemplo,,`DescribeLogStreams`)`CreateLogGroup`, substitua o caractere curinga pelo ARN do grupo de registros— `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}`
+ **Para limitar as permissões a ações específicas do fluxo de registros** (por exemplo,`CreateLogStream`,`PutLogEvents`), substitua o caractere curinga pelo ARN do fluxo de registro `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}:*` — (corresponde a todos os fluxos) `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}:log-stream:{{MyStream}}` ou (fluxo específico)
Veja a [referência de autorização de serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html) para qual tipo de recurso cada API exige.
## Permissões necessárias para usar o CloudWatch console
Para que um usuário trabalhe com CloudWatch Logs no CloudWatch console, ele precisa ter um conjunto mínimo de permissões que permita ao usuário descrever outros AWS recursos em sua AWS conta. Para usar o CloudWatch Logs no CloudWatch console, você precisa ter permissões dos seguintes serviços:
+ CloudWatch
+ CloudWatch Registros
+ OpenSearch Serviço
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda possam usar o CloudWatch console, anexe também a política `CloudWatchReadOnlyAccess` gerenciada ao usuário, conforme descrito em[AWS políticas gerenciadas (predefinidas) para registros CloudWatch](#managed-policies-cwl).
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API CloudWatch Logs AWS CLI ou para a Logs.
O conjunto completo de permissões necessárias para trabalhar com o CloudWatch console para um usuário que não está usando o console para gerenciar assinaturas de log é:
+ cloudwatch: GetMetricData
+ cloudwatch: ListMetrics
+ troncos: CancelExportTask
+ troncos: CreateExportTask
+ troncos: CreateLogGroup
+ troncos: CreateLogStream
+ troncos: DeleteLogGroup
+ troncos: DeleteLogStream
+ troncos: DeleteMetricFilter
+ troncos: DeleteQueryDefinition
+ troncos: DeleteRetentionPolicy
+ troncos: DeleteSubscriptionFilter
+ troncos: DescribeExportTasks
+ troncos: DescribeLogGroups
+ troncos: DescribeLogStreams
+ troncos: DescribeMetricFilters
+ troncos: DescribeQueryDefinitions
+ troncos: DescribeQueries
+ troncos: DescribeSubscriptionFilters
+ troncos: FilterLogEvents
+ troncos: GetLogEvents
+ troncos: GetLogGroupFields
+ troncos: GetLogRecord
+ troncos: GetQueryResults
+ troncos: PutMetricFilter
+ troncos: PutQueryDefinition
+ troncos: PutRetentionPolicy
+ troncos: StartQuery
+ troncos: StopQuery
+ troncos: PutSubscriptionFilter
+ troncos: TestMetricFilter
Para um usuário que também usará o console para gerenciar assinaturas de log, as seguintes permissões também são necessárias:
+ Sim: DescribeElasticsearchDomain
+ Sim: ListDomainNames
+ objetivo: AttachRolePolicy
+ objetivo: CreateRole
+ objetivo: GetPolicy
+ objetivo: GetPolicyVersion
+ objetivo: GetRole
+ objetivo: ListAttachedRolePolicies
+ objetivo: ListRoles
+ cinesia: DescribeStreams
+ cinesia: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3: ListBuckets
## AWS políticas gerenciadas (predefinidas) para registros CloudWatch
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
As seguintes políticas AWS gerenciadas, que você pode associar aos usuários e funções na sua conta, são específicas do CloudWatch Logs:
+ **CloudWatchLogsFullAccess**— Concede acesso total aos CloudWatch registros.
+ **CloudWatchLogsReadOnlyAccess**— Concede acesso somente para CloudWatch leitura aos registros.
### CloudWatchLogsFullAccess
A **CloudWatchLogsFullAccess**política concede acesso total aos CloudWatch registros. A política inclui as `cloudwatch:GenerateQueryResultsSummary` permissões `cloudwatch:GenerateQuery` e, para que os usuários com essa política possam gerar uma string de consulta do [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de um prompt em linguagem natural. Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)de referência de políticas AWS gerenciadas*.
### CloudWatchLogsReadOnlyAccess
A **CloudWatchLogsReadOnlyAccess**política concede acesso somente para CloudWatch leitura aos registros. Ela inclui as `cloudwatch:GenerateQueryResultsSummary` permissões `cloudwatch:GenerateQuery` e, para que os usuários com essa política possam gerar uma string de consulta do [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de um prompt em linguagem natural. Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)de referência de políticas AWS gerenciadas*.
### CloudWatchOpenSearchDashboardsFullAccess
A **CloudWatchOpenSearchDashboardsFullAccess**política concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Serviço e para criar, excluir e gerenciar painéis de registros vendidos nessas integrações. Para obter mais informações, consulte [Analise com o Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)de referência de políticas AWS gerenciadas*.
### CloudWatchOpenSearchDashboardAccess
A **CloudWatchOpenSearchDashboardAccess**política concede acesso para visualizar painéis de registros vendidos criados com Amazon OpenSearch Service análises. Para obter mais informações, consulte [Analise com o Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**Importante**
Além de conceder essa política, para permitir que uma função ou usuário possa visualizar painéis de log vendidos, você também deve especificá-los ao criar a integração com o Serviço. OpenSearch Para obter mais informações, consulte [Etapa 1: criar a integração com o OpenSearch serviço](OpenSearch-Dashboards-Integrate.md).
Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)de referência de políticas AWS gerenciadas*.
#### CloudWatchLogsCrossAccountSharingConfiguration
A **CloudWatchLogsCrossAccountSharingConfiguration**política concede acesso para criar, gerenciar e visualizar links do Observability Access Manager para compartilhar recursos de CloudWatch registros entre contas. Para obter mais informações, consulte [Observabilidade entre contas do CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)de referência de políticas AWS gerenciadas*.
#### CloudWatchLogsAPIKeyAccess
A **CloudWatchLogsAPIKeyAccess**política permite a autenticação da chave da API CloudWatch Logs e a ingestão criptografada de registros. Essa política concede permissões para autenticação usando tokens de portador e gravação de eventos de registro em CloudWatch registros, com AWS KMS permissões adicionais para descriptografar e gerar chaves de dados quando os registros são criptografados.
Essa política concede as seguintes permissões:
+ `logs`— Permite que os diretores se autentiquem por meio de tokens portadores da chave da API e gravem eventos de registro em fluxos de CloudWatch registros.
+ `kms`— permite que os diretores leiam os AWS KMS principais metadados, gerem chaves de dados para criptografia e descriptografem dados. Essas permissões oferecem suporte a CloudWatch registros criptografados, permitindo que o serviço criptografe dados de registro usando chaves gerenciadas pelo cliente AWS KMS . O acesso é restrito às operações chamadas por meio do serviço CloudWatch Logs.
Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) no *AWS Managed Policy Reference Guide*.
### CloudWatch Registra atualizações em AWS políticas gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudWatch Logs desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico de documentos de CloudWatch registros.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccess](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) – Nova política. | CloudWatch Os registros adicionaram uma nova política gerenciada **CloudWatchLogsAPIKeyAccess**.
Essa política permite a autenticação de chaves da API CloudWatch Logs e a ingestão de registros criptografados, concedendo permissões para autenticação usando tokens portadores e gravação de eventos de registro no Logs. CloudWatch | 17 de fevereiro de 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): atualizar para uma política existente. | CloudWatch Registra permissões adicionadas ao **CloudWatchLogsFullAccess**.
Permissões para ações de administração de observabilidade foram adicionadas para possibilitar o acesso somente leitura aos pipelines de telemetria e às integrações de tabelas do S3. | 02 de dezembro de 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): atualizar para uma política existente. | CloudWatch Registra permissões adicionadas ao **CloudWatchLogsReadOnlyAccess**.
Permissões para ações de administração de observabilidade foram adicionadas para possibilitar o acesso somente leitura aos pipelines de telemetria e às integrações de tabelas do S3. | 02 de dezembro de 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): atualizar para uma política existente. | CloudWatch Registra permissões adicionadas ao **CloudWatchLogsFullAccess**.
As permissões para `cloudwatch:GenerateQueryResultsSummary` foram adicionadas para permitir a geração de um resumo em linguagem natural dos resultados da consulta. | 20 de maio de 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): atualizar para uma política existente. | CloudWatch Registra permissões adicionadas ao **CloudWatchLogsReadOnlyAccess**.
As permissões para `cloudwatch:GenerateQueryResultsSummary` foram adicionadas para permitir a geração de um resumo em linguagem natural dos resultados da consulta. | 20 de maio de 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): atualizar para uma política existente. | CloudWatch Registra permissões adicionadas ao **CloudWatchLogsFullAccess**.
As permissões para Amazon OpenSearch Service e o IAM foram adicionadas para permitir a integração do CloudWatch Logs com o OpenSearch Service para alguns recursos. | 1.º de dezembro de 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Nova política do IAM. | CloudWatch A Logs adicionou uma nova política do IAM, **CloudWatchOpenSearchDashboardsFullAccess**.- Essa política concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Service e para criar, gerenciar e excluir painéis de registros vendidos nessas integrações. Para obter mais informações, consulte [Analise com o Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1.º de dezembro de 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Nova política do IAM. | CloudWatch A Logs adicionou uma nova política de IAM, **CloudWatchOpenSearchDashboardAccess**.- Essa política concede acesso à visualização de painéis de registros vendidos fornecidos por. Amazon OpenSearch Service Para obter mais informações, consulte [Analise com o Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1.º de dezembro de 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): atualizar para uma política existente. | CloudWatch Os registros adicionaram uma permissão ao **CloudWatchLogsFullAccess**.
A `cloudwatch:GenerateQuery` permissão foi adicionada para que os usuários com essa política possam gerar uma string de consulta do [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de um prompt em linguagem natural. | 27 de novembro de 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): atualizar para uma política existente. | CloudWatch adicionou uma permissão para **CloudWatchLogsReadOnlyAccess**.
A `cloudwatch:GenerateQuery` permissão foi adicionada para que os usuários com essa política possam gerar uma string de consulta do [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de um prompt em linguagem natural. | 27 de novembro de 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – atualização para uma política existente | CloudWatch Registra permissões adicionadas ao **CloudWatchLogsReadOnlyAccess**.
As `logs:StopLiveTail` permissões `logs:StartLiveTail` e foram adicionadas para que os usuários com essa política possam usar o console para iniciar e interromper CloudWatch as sessões de live tail do Logs. Para obter mais informações, consulte [Usar o Live Tail para visualizar registros quase em tempo real](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 de junho de 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – Nova política | CloudWatch O Logs adicionou uma nova política para permitir que você gerencie links de observabilidade CloudWatch entre contas que compartilham grupos de CloudWatch registros do Logs.
Para obter mais informações, consulte [ CloudWatch observabilidade entre contas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 de novembro de 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – atualização para uma política existente | CloudWatch Registra permissões adicionadas ao **CloudWatchLogsReadOnlyAccess**.
As `oam:ListAttachedLinks` permissões `oam:ListSinks` e foram adicionadas para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na CloudWatch observabilidade entre contas. | 27 de novembro de 2022 |
### Exemplos de política gerenciada pelo cliente
Você pode criar suas próprias políticas personalizadas do IAM para permitir permissões para ações e recursos do CloudWatch Logs. Você pode anexar essas políticas personalizadas a usuários ou grupos do que exijam essas permissões.
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do CloudWatch Logs. Essas políticas funcionam quando você usa a API CloudWatch Logs, AWS os SDKs ou o. AWS CLI
**Topics**
+ [Exemplo 1: Permitir acesso total aos CloudWatch registros](#w2aac61c15c15c27c19b9)
+ [Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch](#w2aac61c15c15c27c19c11)
+ [Exemplo 3: Permitir acesso a um grupo de logs/fluxo de registros](#w2aac61c15c15c27c19c13)
#### Exemplo 1: Permitir acesso total aos CloudWatch registros
A política a seguir permite que um usuário acesse todas as ações do CloudWatch Logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch
AWS fornece uma **CloudWatchLogsReadOnlyAccess**política que permite acesso somente para leitura aos dados do CloudWatch Logs. Esta política inclui as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Exemplo 3: Permitir acesso a um grupo de logs/fluxo de registros
CloudWatch O Logs tem dois tipos de recursos com formatos ARN diferentes:
+ **Grupo de registros**: `arn:aws:logs:{{region}}:{{account}}:log-group:{{LogGroupName}}`
+ **Fluxo de log**: `arn:aws:logs:{{region}}:{{account}}:log-group:{{LogGroupName}}:log-stream:{{StreamName}}`
Ao escrever políticas do IAM, o formato ARN que você usa deve corresponder ao tipo de recurso autorizado pela API. Veja a [referência de autorização de serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html) para qual tipo de recurso cada API exige.
##### Exemplo 3a: Permitir acesso a ações em nível de grupo de log em um grupo de log específico
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy",
"logs:PutSubscriptionFilter",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
}
]
}
```
Essas ações autorizam o tipo `log-group` de recurso. O formato ARN padrão (sem`:*`) é suportado.
##### Exemplo 3b: Permitir acesso a ações em nível de fluxo de log em um grupo de registros específico
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
Essas ações autorizam o tipo `log-stream` de recurso. O `:*` sufixo é necessário para corresponder a todos os fluxos de log dentro do grupo de registros ou especificar um fluxo específico com. `:log-stream:{{StreamName}}`
##### Exemplo 3c: Política combinada para ações de grupo de registros e de fluxo de registros
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy",
"logs:DescribeLogStreams",
"logs:FilterLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
### Usar etiquetas e políticas do IAM para controle no nível do grupo de logs
Você pode conceder aos usuários acesso a determinados grupos de logs enquanto os impede de acessar outros grupos de logs. Para fazer isso, etiquete seus grupos de logs e use políticas do IAM que fazem referência a essas etiquetas. Para aplicar tags a um grupo de logs, você precisa ter a permissão `logs:TagResource` ou `logs:TagLogGroup`. Isso se aplica se você estiver atribuindo tags ao grupo de logs ao criá-lo. ou atribuí-los mais tarde.
Para obter mais informações sobre como marcar grupos de logs, consulte [Marque grupos de registros no Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Ao etiquetar grupos de logs, você pode conceder uma política do IAM a um usuário para permitir o acesso a apenas os grupos de logs com determinada etiqueta. Por exemplo, a instrução de política a seguir concede acesso a apenas grupos de logs com o valor `Green` para a chave de tag `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
As operações **StopQuery**e a **StopLiveTail**API não interagem com AWS os recursos no sentido tradicional. Elas não retornam dados, não colocam dados nem modificam recursos. Em vez disso, eles operam somente em uma determinada sessão final ao vivo ou em uma determinada consulta do CloudWatch Logs Insights, que não são categorizadas como recursos. Como resultado, ao especificar o campo `Resource` nas políticas do IAM para essas operações, será necessário definir o valor do campo `Resource` como `*`, como no exemplo a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre como usar instruções de política do IAM, consulte [Controlar o acesso usando políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) no *Manual do usuário do IAM*.