Referência de permissões do CloudWatch Logs

Ao configurar o Controle de acesso e escrever políticas de permissões que podem ser anexadas a uma identidade do IAM (políticas baseadas em identidade), você pode usar a tabela a seguir como referência. A tabela lista cada operação da API do CloudWatch Logs e as ações correspondentes às quais você pode conceder permissões para executar a ação. Você especifica as ações no campo Action das políticas. Para o campo Resource, é possível especificar o ARN de um grupo de logs ou fluxo de logs ou especificar * para representar todos os recursos do CloudWatch Logs.

É possível usar as chaves de condição de toda a AWS em suas políticas do CloudWatch Logs para expressar condições. Para obter uma lista completa de chaves em toda a AWS, consulte Chaves de contexto de condição globais e do IAM da AWS no Manual do usuário do IAM.

nota

Para especificar uma ação, use o prefixo logs: seguido do nome da operação da API. Por exemplo: logs:CreateLogGroup, logs:CreateLogStream ou logs:* (para todas as ações do CloudWatch Logs).

Operações de API do CloudWatch Logs e permissões necessárias para ações
Operações da API do CloudWatch Logs	Permissões obrigatórias (ações de API)
CancelExportTask	`logs:CancelExportTask` Necessária para cancelar uma tarefa de exportação pendente ou em execução.
CreateExportTask	`logs:CreateExportTask` Necessária para exportar dados de um grupo de logs para um bucket do Amazon S3.
CreateLogGroup	`logs:CreateLogGroup` Necessária para criar um novo grupo de logs.
CreateLogStream	`logs:CreateLogStream` Necessária para criar um novo stream de logs em um grupo de logs.
DeleteDestination	`logs:DeleteDestination` Necessária para excluir um destino de log e desativar seus filtros de assinatura.
DeleteLogGroup	`logs:DeleteLogGroup` Necessária para excluir um grupo de logs e eventos de log arquivados associados.
DeleteLogStream	`logs:DeleteLogStream` Necessária para excluir um stream de logs e eventos de log arquivados associados.
DeleteMetricFilter	`logs:DeleteMetricFilter` Necessária para excluir um filtro de métrica associado a um grupo de logs.
DeleteQueryDefinition	`logs:DeleteQueryDefinition` Necessária para excluir uma definição de consulta salva no CloudWatch Logs Insights.
DeleteResourcePolicy	`logs:DeleteResourcePolicy` Necessária para excluir uma política de recursos do CloudWatch Logs.
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` Necessária para excluir uma política de retenção do grupo de logs.
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` Necessária para excluir o filtro de assinatura associado a um grupo de logs.
DescribeDestinations	`logs:DescribeDestinations` Necessária para visualizar todos os destinos associado à conta.
DescribeExportTasks	`logs:DescribeExportTasks` Necessária para visualizar todas as tarefas de exportação associadas à conta.
DescribeLogGroups	`logs:DescribeLogGroups` Necessária para visualizar todos os grupos de logs associados à conta.
DescribeLogStreams	`logs:DescribeLogStreams` Necessária para visualizar todos os streams de logs associados a um grupo de logs.
DescribeMetricFilters	`logs:DescribeMetricFilters` Necessária para visualizar todas as métricas associadas a um grupo de logs.
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` Necessária para visualizar a lista de definições de consulta salvas no CloudWatch Logs Insights.
DescribeQueries	`logs:DescribeQueries` Necessária para ver a lista de consultas do CloudWatch Logs Insights que estão agendadas, estão em execução ou foram executadas recentemente.
DescribeResourcePolicies	`logs:DescribeResourcePolicies` Necessária para exibir uma lista de políticas de recursos do CloudWatch Logs.
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` Necessária para visualizar todos os filtros de assinatura associados a um grupo de logs.
FilterLogEvents	`logs:FilterLogEvents` Necessária para classificar eventos de log por padrão de filtros de grupos.
GetLogEvents	`logs:GetLogEvents` Necessária para recuperar eventos de log a partir de um stream de logs.
GetLogGroupFields	`logs:GetLogGroupFields` Necessária para recuperar a lista de campos incluídos nos eventos de log em um grupo de log.
GetLogRecord	`logs:GetLogRecord` Necessário para recuperar os detalhes de um único evento de log.
GetLogObject	`logs:GetLogRecord` Necessário para buscar o conteúdo de grandes porções de eventos de logs que foram ingeridos por meio da API PutOpenTelemetryLogs.
GetQueryResults	`logs:GetQueryResults` Necessária para recuperar os resultados das consultas do CloudWatch Logs Insights.
ListEntitiesForLogGroup (Permissão somente para o console do CloudWatch)	`logs:ListEntitiesForLogGroup` Necessária para encontrar as entidades associadas a um grupo de logs. Necessária para analisar logs relacionados no console do CloudWatch.
ListLogGroupsForEntity (Permissão somente para o console do CloudWatch)	`logs:ListLogGroupsForEntity` Necessária para encontrar os grupos de logs associados a uma entidade. Necessária para analisar logs relacionados no console do CloudWatch.
ListTagsLogGroup	`logs:ListTagsLogGroup` Necessária para listar as tags associadas a um grupo de log.
ListLogGroups	`logs:DescribeLogGroups` Necessária para visualizar todos os grupos de logs associados à conta.
PutDestination	`logs:PutDestination` Necessária para criar ou atualizar um fluxo de logs de destino (como um fluxo do Kinesis).
PutDestinationPolicy	`logs:PutDestinationPolicy` Necessária para criar ou atualizar uma política de acesso associada a um destino de log existente.
PutLogEvents	`logs:PutLogEvents` Necessária para carregar um lote de eventos de log para um stream de log.
PutMetricFilter	`logs:PutMetricFilter` Necessária para criar ou atualizar um filtro de métrica e associá-lo a um grupo de logs.
PutQueryDefinition	`logs:PutQueryDefinition` Necessária para salvar uma consulta no CloudWatch Logs Insights.
PutResourcePolicy	`logs:PutResourcePolicy` Necessário para criar uma política de recursos do CloudWatch Logs.
PutRetentionPolicy	`logs:PutRetentionPolicy` Necessária para definir o número de dias nos quais manter os eventos de log (retenção) em um grupo de logs.
PutSubscriptionFilter	`logs:PutSubscriptionFilter` Necessária para criar ou atualizar um filtro de assinatura e associá-lo a um grupo de logs.
StartQuery	`logs:StartQuery` Necessária para iniciar consultas do CloudWatch Logs Insights.
StopQuery	`logs:StopQuery` Necessária para interromper uma consulta do CloudWatch Logs Insights que está em andamento.
TagLogGroup	`logs:TagLogGroup` Obrigatório para adicionar ou atualizar as tags do grupo de logs.
TestMetricFilter	`logs:TestMetricFilter` Necessária para testar um padrão de filtro em relação a uma amostra de mensagens de eventos de log.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar políticas baseadas em identidade (políticas do IAM)

Uso de perfis vinculados ao serviço