CloudWatch Referencia de permisos de registro

A la hora de configurar Control de acceso y escribir una política de permisos que pueda asociar a una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla como referencia. En la tabla se muestra cada API operación de CloudWatch Logs y las acciones correspondientes para las que puede conceder permisos para realizar la acción. Las acciones se especifican en el campo Action de la política. Para el Resource campo, puede especificar un grupo ARN de registros o un flujo de registros, o especificar * que represente todos los recursos de CloudWatch Logs.

Puede utilizar claves AWS de condición generales en sus políticas de CloudWatch registros para expresar las condiciones. Para obtener una lista completa de las claves AWS anchas, consulta las claves de contexto AWS globales y IAM condicionales en la Guía del IAMusuario.

nota

Para especificar una acción, utilice el logs: prefijo seguido del nombre de la API operación. Por ejemplo:logs:CreateLogGroup,logs:CreateLogStream, o logs:* (para todas las acciones de CloudWatch Registros).

CloudWatch Registra API las operaciones y los permisos necesarios para las acciones
CloudWatch Registra API las operaciones	Permisos (APIacciones) necesarios
CancelExportTask	`logs:CancelExportTask` Necesario para cancelar una tarea de exportación en ejecución o pendiente.
CreateExportTask	`logs:CreateExportTask` Necesario para exportar datos desde un grupo de registro a un bucket de Amazon S3.
CreateLogGroup	`logs:CreateLogGroup` Necesario para crear un nuevo grupo de registro.
CreateLogStream	`logs:CreateLogStream` Necesario para crear un nuevo flujo de registros en un grupo de registro.
DeleteDestination	`logs:DeleteDestination` Necesario para eliminar un destino de registro y deshabilita los filtros de suscripción al mismo.
DeleteLogGroup	`logs:DeleteLogGroup` Necesario para eliminar un grupo de registro y todos los eventos de registro asociados.
DeleteLogStream	`logs:DeleteLogStream` Necesario para eliminar un flujo de registros y todos los eventos de registro asociados.
DeleteMetricFilter	`logs:DeleteMetricFilter` Necesario para eliminar un filtro de métricas asociado con un grupo de registro.
DeleteQueryDefinition	`logs:DeleteQueryDefinition` Necesario para eliminar una definición de consulta guardada en CloudWatch Logs Insights.
DeleteResourcePolicy	`logs:DeleteResourcePolicy` Necesario para eliminar una política CloudWatch de recursos de Logs.
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` Necesario para eliminar la política de retención de un grupo de registro.
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` Necesario para eliminar el filtro de suscripción asociado a un grupo de registro.
DescribeDestinations	`logs:DescribeDestinations` Necesario para ver todos los destinos asociados a la cuenta.
DescribeExportTasks	`logs:DescribeExportTasks` Necesario para ver todas las tareas de exportación asociadas a la cuenta.
DescribeLogGroups	`logs:DescribeLogGroups` Necesario para ver todos los grupos de registro asociados a la cuenta.
DescribeLogStreams	`logs:DescribeLogStreams` Necesario para ver todos los flujos de registro asociados a un grupo de registro.
DescribeMetricFilters	`logs:DescribeMetricFilters` Necesario para ver todas las métricas asociadas a un grupo de registro.
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` Necesario para ver la lista de definiciones de consultas guardadas en CloudWatch Logs Insights.
DescribeQueries	`logs:DescribeQueries` Necesario para ver la lista de consultas de CloudWatch Logs Insights que están programadas, en ejecución o que se han ejecutado recientemente.
DescribeResourcePolicies	`logs:DescribeResourcePolicies` Necesario para ver una lista de políticas de recursos de CloudWatch Logs.
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` Necesario para ver todos los filtros de suscripción asociados con un grupo de registro.
FilterLogEvents	`logs:FilterLogEvents` Necesario para ordenar los eventos de registros por patrón de filtro de grupo de registro.
GetLogEvents	`logs:GetLogEvents` Necesario para recuperar eventos de registro de un flujo de registros.
GetLogGroupFields	`logs:GetLogGroupFields` Necesario para recuperar la lista de campos que se incluyen en los eventos de registro de un grupo de registro.
GetLogRecord	`logs:GetLogRecord` Necesario para recuperar los detalles de un único evento de registro.
GetQueryResults	`logs:GetQueryResults` Necesario para recuperar los resultados de las consultas de CloudWatch Logs Insights.
ListEntitiesForLogGroup (permiso CloudWatch solo para consola)	`logs:ListEntitiesForLogGroup` Necesario para buscar las entidades asociadas a un grupo de registros. Necesario para explorar los registros relacionados en la CloudWatch consola.
ListLogGroupsForEntity (permiso CloudWatch solo para consola)	`logs:ListLogGroupsForEntity` Necesario para buscar los grupos de registros asociados a una entidad. Necesario para explorar los registros relacionados en la CloudWatch consola.
ListTagsLogGroup	`logs:ListTagsLogGroup` Necesario para ver las etiquetas asociadas a un grupo de registro.
PutDestination	`logs:PutDestination` Necesario para crear o actualizar un flujo de registros de destino (como, por ejemplo, un flujo de Kinesis).
PutDestinationPolicy	`logs:PutDestinationPolicy` Necesario para crear o actualizar una política de acceso asociada a un destino de registro existente.
PutLogEvents	`logs:PutLogEvents` Necesario para cargar un lote de eventos de registro en un flujo de registros.
PutMetricFilter	`logs:PutMetricFilter` Necesario para crear o actualizar un filtro de métricas y asociarlo a un grupo de registro.
PutQueryDefinition	`logs:PutQueryDefinition` Necesario para guardar una consulta en CloudWatch Logs Insights.
PutResourcePolicy	`logs:PutResourcePolicy` Necesario para crear una política CloudWatch de recursos de Logs.
PutRetentionPolicy	`logs:PutRetentionPolicy` Necesario para establecer el número de días que conservar los eventos de registro (retención) en un grupo de registro.
PutSubscriptionFilter	`logs:PutSubscriptionFilter` Necesario para crear o actualizar un filtro de suscripción y asociarlo a un grupo de registro.
StartQuery	`logs:StartQuery` Necesario para iniciar las consultas CloudWatch de Logs Insights.
StopQuery	`logs:StopQuery` Necesario para detener una consulta de CloudWatch Logs Insights que está en curso.
TagLogGroup	`logs:TagLogGroup` Necesario para añadir o actualizar etiquetas de grupo de registro.
TestMetricFilter	`logs:TestMetricFilter` Necesario para probar un patrón de filtro con respecto a una muestra de mensajes de evento de registro.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de políticas basadas en la identidad (políticas) IAM

Uso de roles vinculados a servicios