Descripción general de la administración de los permisos de acceso a los recursos CloudWatch de Logs - Amazon CloudWatch Logs
Recursos y operacionesTitularidad de los recursosAdministración del acceso a los recursosEspecificar elementos de la política: acciones, efectos y entidades principalesEspecificación de las condiciones de una política

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de la administración de los permisos de acceso a los recursos CloudWatch de Logs

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

CloudWatch Registra los recursos y las operaciones

En CloudWatch Logs, los recursos principales son los grupos de registros, los flujos de registros y los destinos. CloudWatch Logs no admite subrecursos (otros recursos para usar con el recurso principal).

Estos recursos y subrecursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos, como se muestra en la siguiente tabla.

Tipo de recurso Formato de ARN

Grupo de registro

Se utilizan las dos siguientes opciones. El segundo, con el :* al final, es lo que devuelven el comando describe-log-groups CLI y la DescribeLogGroupsAPI.

arn:aws:logs: ::log-group: region account-id log_group_name

arn:aws:logs: region ::log-groupaccount-id:: * log_group_name

Utilice la primera versión, sin el elemento final :*, en las siguientes situaciones:

  • En el campo logGroupIdentifier de entrada en muchos. CloudWatch Logs APIs

  • En el resourceArn campo del etiquetado APIs

  • En IAM las políticas, al especificar los permisos para TagResourceUntagResource, y ListTagsForResource.

Utilice la segunda versión, con el elemento final :*, para hacer referencia al ARN al especificar los permisos en las políticas de IAM en el resto de acciones de la API.

Flujo de registro

arn:aws:logs: ::log-group ::log-stream: region account-id log_group_name log-stream-name

Destino

arn:aws:logs: region ::destination: account-id destination_name

Para obtener más información al respecto, consulte la Guía del usuario de ARNs IAM. ARNs Para obtener información sobre CloudWatch los registros ARNs, consulte Amazon Resource Names (ARNs) en Referencia general de Amazon Web Services. Para ver un ejemplo de una política que cubre CloudWatch los registros, consulteUso de políticas basadas en la identidad (políticas de IAM) para los registros CloudWatch .

CloudWatch Los registros proporcionan un conjunto de operaciones para trabajar con los recursos de los CloudWatch registros. Para ver la lista de las operaciones disponibles, consulte CloudWatch Referencia de permisos de registro.

Titularidad de los recursos

La AWS cuenta es propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es la AWS cuenta de la entidad principal (es decir, la cuenta raíz, un usuario o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales de la cuenta raíz de su AWS cuenta para crear un grupo de registros, su AWS cuenta es la propietaria del recurso de CloudWatch registros.

  • Si creas un usuario en tu AWS cuenta y le concedes permisos para crear recursos de CloudWatch Logs, el usuario podrá crear recursos de CloudWatch Logs. Sin embargo, tu AWS cuenta, a la que pertenece el usuario, es propietaria de los recursos de CloudWatch Logs.

  • Si crea un rol de IAM en su AWS cuenta con permisos para crear recursos de CloudWatch registros, cualquier persona que pueda asumir el rol podrá crear recursos de CloudWatch registros. Tu AWS cuenta, a la que pertenece el rol, es propietaria de los recursos de CloudWatch Logs.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección, se describe el uso de IAM en el contexto de CloudWatch los registros. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte What is IAM? (¿Qué es IAM?) en la Guía del usuario de IAM. Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte Referencia de políticas de IAM en la Guía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en la identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. CloudWatch Los registros admiten políticas basadas en la identidad y políticas basadas en recursos para los destinos, que se utilizan para habilitar las suscripciones entre cuentas. Para obtener más información, consulte Suscripciones entre cuentas y regiones.

Permisos de grupo de registro y Información de colaboradores

Contributor Insights es una función CloudWatch que permite analizar los datos de los grupos de registros y crear series temporales que muestren los datos de los colaboradores. Puede ver métricas acerca de los colaboradores Top-N, el número total de colaboradores únicos y su uso. Para obtener más información, consulta Uso de Información de colaboradores para analizar datos de alta cardinalidad.

Al conceder a un usuario los cloudwatch:GetInsightRuleReport permisos cloudwatch:PutInsightRule y, dicho usuario puede crear una regla que evalúe cualquier grupo de registros de los CloudWatch registros y, a continuación, ver los resultados. Los resultados pueden contener datos de colaborador para esos grupos de registro. Asegúrese de conceder estos permisos solo a los usuarios que puedan ver estos datos.

Políticas basadas en recursos

CloudWatch Logs admite políticas basadas en recursos para los destinos, que puedes usar para habilitar las suscripciones entre cuentas. Para obtener más información, consulte Paso 1: crear un destino. Los destinos se pueden crear mediante la PutDestinationAPI y se puede añadir una política de recursos al destino mediante la PutDestinationPolicyAPI. El siguiente ejemplo permite que otra AWS cuenta con el ID de cuenta 111122223333 suscriba sus grupos de registros al destino. arn:aws:logs:us-east-1:123456789012:destination:testDestination

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

Especificar elementos de la política: acciones, efectos y entidades principales

Para cada recurso CloudWatch de Logs, el servicio define un conjunto de operaciones de API. Para conceder permisos para estas operaciones de API, CloudWatch Logs define un conjunto de acciones que puedes especificar en una política. Algunas operaciones de API pueden requerir permisos para más de una acción para poder realizar la operación de API. Para obtener más información sobre los recursos y las operaciones de API, consulte CloudWatch Registra los recursos y las operaciones y CloudWatch Referencia de permisos de registro.

A continuación, se indican los elementos básicos de la política:

  • Recurso: use un Nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte CloudWatch Registra los recursos y las operaciones.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, el permiso logs.DescribeLogGroups concede permiso a los usuarios para realizar la operación DescribeLogGroups.

  • Efecto: especifique el efecto, permitir o denegar, cuando el usuario solicite la acción específica. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad para la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). CloudWatch Logs admite políticas basadas en recursos para los destinos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte Referencia de la política de IAM de AWS en la Guía del usuario de IAM.

Para ver una tabla que muestra todas las acciones de la API de CloudWatch Logs y los recursos a los que se aplican, consulte. CloudWatch Referencia de permisos de registro

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.

Para expresar condiciones, se usan claves de condición predefinidas. Para obtener una lista de las claves de contexto compatibles con cada AWS servicio y una lista de las claves de política AWS generales, consulte las claves de contexto de las acciones, los recursos y las claves de condición de los AWS servicios y las claves de contexto de condición AWS globales.

nota

Puede usar etiquetas para controlar el acceso a CloudWatch los recursos de los registros, incluidos los grupos de registros y los destinos. El acceso a los flujos de registro se controla a nivel de grupo de registro, debido a la relación jerárquica que existe entre los grupos de registro y los flujos de registro. A fin de obtener información sobre el uso de etiquetas para controlar el acceso, consulte Control del acceso a recursos de Amazon Web Services mediante etiquetas.