Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für Protokolle CloudWatch
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
Wichtig
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, die Ihnen zur Verwaltung des Zugriffs auf Ihre CloudWatch Logs-Ressourcen zur Verfügung stehen. Weitere Informationen finden Sie unter Überblick über die Verwaltung der Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen.
In diesem Thema wird Folgendes behandelt:
Nachstehend finden Sie ein Beispiel für eine Berechtigungsrichtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }
In dieser Richtlinie gibt es eine Anweisung, die Berechtigungen erteilt, um Protokollgruppen und Protokoll-Streams zu erstellen, Protokollereignisse hochzuladen und Details zu Protokoll-Streams aufzuführen.
Das Platzhalterzeichen (*) am Ende des Resource-Werts bedeutet, dass die Anweisung Berechtigungen für die logs:CreateLogGroup-, logs:CreateLogStream-, logs:PutLogEvents- und logs:DescribeLogStreams-Aktionen einer Protokollgruppe zulässt. Um diese Berechtigung auf eine bestimmte Protokollgruppe zu beschränken, ersetzen Sie das Platzhalterzeichen (*) in der Ressource ARN durch die spezifische ProtokollgruppeARN. Weitere Informationen zu den Abschnitten innerhalb einer IAM Richtlinienerklärung finden Sie unter IAMPolicy Elements Reference im IAMBenutzerhandbuch. Eine Liste mit allen CloudWatch Logs-Aktionen finden Sie unterCloudWatch Referenz zu Protokollen und Berechtigungen.
Für die Verwendung der CloudWatch Konsole sind Berechtigungen erforderlich
Damit ein Benutzer mit CloudWatch Logs in der CloudWatch Konsole arbeiten kann, muss er über Mindestberechtigungen verfügen, die es dem Benutzer ermöglichen, andere AWS Ressourcen in seinem AWS Konto zu beschreiben. Um CloudWatch Logs in der CloudWatch Konsole verwenden zu können, benötigen Sie Berechtigungen für die folgenden Dienste:
-
CloudWatch
-
CloudWatch Logs
-
OpenSearch Bedienung
-
IAM
-
Kinesis
-
Lambda
-
Amazon S3
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die CloudWatch Konsole weiterhin verwenden können, fügen Sie dem Benutzer auch die CloudWatchReadOnlyAccess verwaltete Richtlinie bei, wie unter beschriebenAWS verwaltete (vordefinierte) Richtlinien für CloudWatch Protokolle.
Sie müssen Benutzern, die nur die CloudWatch Logs aufrufen, keine Mindestberechtigungen für die AWS CLI Konsole gewährenAPI.
Für Benutzer, die die CloudWatch Konsole nicht zur Verwaltung von Protokollabonnements verwenden, sind die folgenden Berechtigungen erforderlich, um mit der Konsole zu arbeiten:
Cloudwatch: GetMetricData
Cloudwatch: ListMetrics
Protokolle: CancelExportTask
Protokolle: CreateExportTask
Protokolle: CreateLogGroup
Protokolle: CreateLogStream
Protokolle: DeleteLogGroup
Protokolle: DeleteLogStream
Protokolle: DeleteMetricFilter
Protokolle: DeleteQueryDefinition
Protokolle: DeleteRetentionPolicy
Protokolle: DeleteSubscriptionFilter
Protokolle: DescribeExportTasks
Protokolle: DescribeLogGroups
Protokolle: DescribeLogStreams
Protokolle: DescribeMetricFilters
Protokolle: DescribeQueryDefinitions
Protokolle: DescribeQueries
Protokolle: DescribeSubscriptionFilters
Protokolle: FilterLogEvents
Protokolle: GetLogEvents
Protokolle: GetLogGroupFields
Protokolle: GetLogRecord
Protokolle: GetQueryResults
Protokolle: PutMetricFilter
Protokolle: PutQueryDefinition
Protokolle: PutRetentionPolicy
Protokolle: StartQuery
Protokolle: StopQuery
Protokolle: PutSubscriptionFilter
Protokolle: TestMetricFilter
Ein Benutzer, der die Konsole auch zum Verwalten von Protokoll-Abonnements verwendet, benötigt die folgenden Berechtigungen:
ja: DescribeElasticsearchDomain
ja: ListDomainNames
ich bin: AttachRolePolicy
ich bin: CreateRole
ich bin: GetPolicy
ich bin: GetPolicyVersion
ich bin: GetRole
ich bin: ListAttachedRolePolicies
ich bin: ListRoles
Kinese: DescribeStreams
Kinese: ListStreams
Lambda: AddPermission
Lambda: CreateFunction
Lambda: GetFunctionConfiguration
Lambda: ListAliases
Lambda: ListFunctions
Lambda: ListVersionsByFunction
Lambda: RemovePermission
s3: ListBuckets
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Protokolle
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM Richtlinien, die von erstellt und verwaltet AWS werden. Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern und Rollen in Ihrem Konto zuordnen können, gelten nur für CloudWatch Logs:
CloudWatchLogsFullAccess— Gewährt vollen Zugriff auf CloudWatch Protokolle.
CloudWatchLogsReadOnlyAccess— Gewährt schreibgeschützten Zugriff auf Logs. CloudWatch
CloudWatchLogsFullAccess
Die CloudWatchLogsFullAccessRichtlinie gewährt vollen Zugriff auf CloudWatch Protokolle. Die Richtlinie beinhaltet die cloudwatch:GenerateQuery Berechtigung, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine CloudWatch Logs Insights-Abfragezeichenfolge generieren können. Sie umfasst Berechtigungen für Amazon OpenSearch Service und IAM zur Aktivierung der CloudWatch Logs-Integration mit dem OpenSearch Service für einige Funktionen. Der vollständige Inhalt lautet wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchLogsFullAccess", "Effect": "Allow", "Action": [ "logs:*", "cloudwatch:GenerateQuery", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers", "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy", "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*" }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
CloudWatchLogsReadOnlyAccess
Die CloudWatchLogsReadOnlyAccessRichtlinie gewährt nur Lesezugriff auf Logs. CloudWatch Sie beinhaltet die cloudwatch:GenerateQuery Berechtigung, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine CloudWatch Logs Insights-Abfragezeichenfolge generieren können. Der Inhalt ist wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Resource": "*" } ] }
CloudWatchOpenSearchDashboardsFullAccess
Die CloudWatchOpenSearchDashboardsFullAccessRichtlinie gewährt Zugriff zum Erstellen, Verwalten und Löschen von Integrationen mit OpenSearch Service sowie zum Erstellen, Löschen und Verwalten von Protokoll-Dashboards in diesen Integrationen. Weitere Informationen finden Sie unter Analysieren Sie mit Amazon OpenSearch Service.
Der Inhalt ist wie folgt:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DeleteIntegration", "logs:PutIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery", "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
CloudWatchOpenSearchDashboardAccess
Die CloudWatchOpenSearchDashboardAccessRichtlinie gewährt Zugriff auf Dashboards für verkaufte Protokolle, die mithilfe von Analysen erstellt wurden. Amazon OpenSearch Service Weitere Informationen finden Sie unter Analysieren Sie mit Amazon OpenSearch Service.
Wichtig
Damit eine Rolle oder ein Benutzer nicht nur diese Richtlinie gewähren kann, müssen Sie diese Dashboards auch angeben, wenn Sie die Integration mit Service erstellen. OpenSearch Weitere Informationen finden Sie unter Schritt 1: Erstellen Sie die Integration mit Service OpenSearch .
Der Inhalt von lautet wie CloudWatchOpenSearchDashboardAccessfolgt:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsDQSCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aws:CalledViaFirst": "logs.amazonaws.com", "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsDirectQueryStatusAccess", "Effect": "Allow", "Action": [ "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" } ] }
CloudWatchLogsCrossAccountSharingConfiguration
Die CloudWatchLogsCrossAccountSharingConfigurationRichtlinie gewährt Zugriff auf die Erstellung, Verwaltung und Anzeige von Observability Access Manager-Links zur gemeinsamen Nutzung von CloudWatch Logs-Ressourcen zwischen Konten. Weitere Informationen finden Sie unter CloudWatch kontoübergreifende Observability.
Der Inhalt ist wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
CloudWatch Protokolliert Aktualisierungen verwalteter Richtlinien AWS
Details zu Aktualisierungen der AWS verwalteten Richtlinien für CloudWatch Logs anzeigen, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS Feed auf der Seite mit dem Verlauf der CloudWatch Logs Documents.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
CloudWatchLogsFullAccess – Aktualisierung auf eine bestehende Richtlinie. |
CloudWatch Logs haben Berechtigungen für hinzugefügt CloudWatchLogsFullAccess. Berechtigungen für Amazon OpenSearch Service und IAM wurden hinzugefügt, um die Integration von CloudWatch Logs in den OpenSearch Service für einige Funktionen zu ermöglichen. |
1. Dezember 2024 |
|
CloudWatchOpenSearchDashboardsFullAccess— Neue IAM Richtlinie. |
CloudWatch Logs hat eine neue IAM Richtlinie hinzugefügt, CloudWatchOpenSearchDashboardsFullAccess.- Diese Richtlinie gewährt Zugriff auf das Erstellen, Verwalten und Löschen von Integrationen mit dem OpenSearch Service sowie auf das Erstellen, Verwalten und Löschen von Dashboards mit versendeten Protokollen in diesen Integrationen. Weitere Informationen finden Sie unter Analysieren Sie mit Amazon OpenSearch Service. |
1. Dezember 2024 |
|
CloudWatchOpenSearchDashboardAccess— Neue IAM Richtlinie. |
CloudWatch Logs hat eine neue IAM Richtlinie hinzugefügt, CloudWatchOpenSearchDashboardAccess.- Diese Richtlinie gewährt Zugriff auf Dashboards für verkaufte Logs, die von bereitgestellt werden. Amazon OpenSearch Service Weitere Informationen finden Sie unter Analysieren Sie mit Amazon OpenSearch Service. |
1. Dezember 2024 |
|
CloudWatchLogsFullAccess – Aktualisierung auf eine bestehende Richtlinie. |
CloudWatch Logs wurde eine Berechtigung hinzugefügt CloudWatchLogsFullAccess. Die |
8. November 2023 |
|
CloudWatchLogsReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie. |
CloudWatch hat eine Berechtigung zu hinzugefügt CloudWatchLogsReadOnlyAccess. Die |
8. November 2023 |
|
CloudWatchLogsReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch Logs haben Berechtigungen für hinzugefügt CloudWatchLogsReadOnlyAccess. Die |
6. Juni 2023 |
|
CloudWatchLogsCrossAccountSharingConfiguration – Neue Richtlinie. |
CloudWatch Logs hat eine neue Richtlinie hinzugefügt, mit der Sie CloudWatch kontoübergreifende Observability-Links verwalten können, die CloudWatch Log-Protokollgruppen gemeinsam nutzen. Weitere Informationen finden Sie unter kontoübergreifende Observability CloudWatch |
27. November 2022 |
|
CloudWatchLogsReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch Protokolliert hinzugefügte Berechtigungen für. CloudWatchLogsReadOnlyAccess Die |
27. November 2022 |
Beispiele für vom Kunden verwaltete Richtlinien
Sie können Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Berechtigungen für CloudWatch Logs-Aktionen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene CloudWatch Logs-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie die CloudWatch Protokolle API oder AWS SDKs die verwenden AWS CLI.
Beispiele
Beispiel 1: Vollzugriff auf CloudWatch Protokolle zulassen
Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf alle CloudWatch Logs-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }
Beispiel 2: Erlauben Sie den schreibgeschützten Zugriff auf Protokolle CloudWatch
AWS stellt eine CloudWatchLogsReadOnlyAccessRichtlinie bereit, die den schreibgeschützten Zugriff auf Protokolldaten ermöglicht. CloudWatch Diese Richtlinie umfasst die folgenden Berechtigungen.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Effect": "Allow", "Resource": "*" } ] }
Beispiel 3: Zugriff auf eine einzelne Protokollgruppe erlauben
Mit der folgenden Richtlinie kann ein Benutzer Protokollereignisse in einer bestimmten Protokollgruppe lesen und schreiben.
Wichtig
Das :* am Ende des Protokollgruppennamens in der Resource-Zeile ist erforderlich, um anzuzeigen, dass die Richtlinie für alle Protokollabläufe in dieser Protokollgruppe gilt. Wenn Sie :* weglassen, wird die Richtlinie nicht durchgesetzt.
{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }
Verwenden Sie Tagging und IAM Richtlinien zur Steuerung auf Protokollgruppenebene
Sie können Benutzern Zugriff auf bestimmte Protokollgruppen gewähren und sie gleichzeitig daran hindern, auf andere Protokollgruppen zuzugreifen. Hierzu markieren Sie Ihre Protokollgruppen und verwenden IAM-Richtlinien, die auf diese Tags verweisen. Um Tags auf eine Protokollgruppe anzuwenden, benötigen Sie entweder die logs:TagResource- oder logs:TagLogGroup-Berechtigung. Dies gilt sowohl, wenn Sie der Protokollgruppe bei der Erstellung Tags zuweisen, als auch, wenn Sie die Tags später zuweisen.
Weitere Informationen zum Taggen von Protokollgruppen finden Sie unter Taggen Sie Protokollgruppen in Amazon CloudWatch Logs.
Wenn Sie Protokollgruppen markieren, können Sie einem Benutzer eine IAM-Richtlinie erteilen, um nur Zugriff auf die Protokollgruppen mit einem bestimmten Tag zu gewähren. Beispiel: Die folgende Richtlinienanweisung gewährt nur den Zugriff auf Regeln mit dem Wert Green für den Tag-Schlüssel Team.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }
Die StopLiveTailAPIOperationen StopQueryund interagieren nicht mit AWS Ressourcen im herkömmlichen Sinne. Sie geben keine Daten zurück, legen keine Daten ab und ändern keine Ressource in irgendeiner Weise. Stattdessen funktionieren sie nur bei einer bestimmten Live-Tail-Sitzung oder einer bestimmten CloudWatch Logs Insights-Abfrage, die nicht als Ressourcen kategorisiert sind. Wenn Sie das Resource Feld in den IAM Richtlinien für diese Operationen angeben, müssen Sie daher den Wert des Resource Felds auf festlegen*, wie im folgenden Beispiel.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }
Weitere Informationen zur Verwendung von IAM Richtlinienanweisungen finden Sie unter Steuern des Zugriffs mithilfe von Richtlinien im IAMBenutzerhandbuch.
