Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Claves de condición, recursos y acciones de Amazon CloudWatch Logs
Amazon CloudWatch Logs (prefijo de servicio:logs) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon CloudWatch Logs
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AssociateKmsKey | Otorga permiso para asociar la AWS clave maestra del cliente (CMK) del Servicio de administración de claves (AWS KMS) especificada al grupo de registros especificado | Escritura | |||
| CancelExportTask | Otorga permiso para cancelar una tarea de exportación si se encuentra en estado PENDING (Pendiente) o RUNNING (En ejecución) | Escritura | |||
| CreateDelivery | Concede permiso para crear una entrega que conecte una fuente de entrega a un destino de entrega | Escritura | |||
| CreateExportTask | Otorga permiso para crear un ExportTask que le permite exportar datos de manera eficiente desde un grupo de registros a su bucket de Amazon S3 | Escritura | |||
| CreateLogAnomalyDetector | Otorga permiso para crear un detector de anomalías de registro | Escritura | |||
| CreateLogDelivery [solo permiso] | Otorga permiso para crear la entrega de registros | Escritura | |||
| CreateLogGroup | Otorga permiso para crear un nuevo grupo de registro con el nombre especificado | Escritura | |||
| CreateLogStream | Otorga permiso para crear un nuevo flujo de registro con el nombre especificado | Escritura | |||
| DeleteAccountPolicy | Otorga permiso para eliminar una política de cuentas | Escritura | |||
| DeleteDataProtectionPolicy | Otorga permiso para eliminar una política de protección de datos adjunta a un grupo de registro | Escritura | |||
| DeleteDelivery | Concede permiso para eliminar una entrega | Escritura | |||
| DeleteDeliveryDestination | Concede permiso para eliminar un destino de entrega una vez que se eliminen todas las entregas asociadas | Escritura | |||
| DeleteDeliveryDestinationPolicy | Concede permiso para eliminar una política de destino de entrega asociada a un destino de entrega | Escritura | |||
| DeleteDeliverySource | Concede permiso para eliminar un origen de entrega una vez que se eliminen todos los envíos asociados | Escritura | |||
| DeleteDestination | Otorga permiso para eliminar el destino con el nombre especificado | Escritura | |||
| DeleteIndexPolicy | Otorga permiso para eliminar una política de indexación asociada a un grupo de registros | Escritura | |||
| DeleteIntegration | Otorga permiso para eliminar la integración | Escritura | |||
| DeleteLogAnomalyDetector | Otorga permiso para eliminar un detector de anomalías de registro | Escritura | |||
| DeleteLogDelivery [solo permiso] | Otorga permiso para eliminar la información de entrega de registros de la entrega de registros especificada | Escritura | |||
| DeleteLogGroup | Otorga permiso para eliminar el grupo de registro con el nombre especificado | Escritura | |||
| DeleteLogStream | Otorga permiso para eliminar un flujo de registro | Escritura | |||
| DeleteMetricFilter | Otorga permiso para eliminar un filtro de métricas asociado al grupo de registro especificado | Escritura | |||
| DeleteQueryDefinition | Otorga permiso para eliminar una definición de consulta de CloudWatch Logs Insights guardada | Escritura | |||
| DeleteResourcePolicy | Otorga permiso para eliminar una política de recursos de esta cuenta | Administración de permisos | |||
| DeleteRetentionPolicy | Otorga permiso para eliminar la política de retención del grupo de registro especificado | Escritura | |||
| DeleteSubscriptionFilter | Otorga permiso para eliminar un filtro de suscripción asociado al grupo de registro especificado | Escritura | |||
| DeleteTransformer | Otorga permiso para eliminar un transformador asociado al grupo de registros especificado | Escritura | |||
| DescribeAccountPolicies | Otorga permiso para recuperar las políticas de la cuenta | Enumeración | |||
| DescribeConfigurationTemplates | Concede permiso para recuperar una lista de plantillas de configuración de los tipos de registro disponibles | Enumeración | |||
| DescribeDeliveries | Concede permiso para recuperar una lista de entregas de una cuenta | Enumeración | |||
| DescribeDeliveryDestinations | Concede permisos para recuperar una lista de destinos de entrega dentro de una cuenta | Enumeración | |||
| DescribeDeliverySources | Concede permiso para recuperar una lista de origen de entrega en una cuenta | Enumeración | |||
| DescribeDestinations | Otorga permiso para devolver todos los destinos asociados Cuenta de AWS a la solicitud | Enumeración | |||
| DescribeExportTasks | Otorga permiso para devolver todas las tareas de exportación asociadas a la Cuenta de AWS realización de la solicitud | Enumeración | |||
| DescribeFieldIndexes | Otorga permiso para devolver todos los atributos de indexación adjuntos a los grupos de registros | Enumeración | |||
| DescribeIndexPolicies | Otorga permiso para devolver todas las políticas de indexación adjuntas a los grupos de registros | Enumeración | |||
| DescribeLogGroups | Otorga permiso para devolver todos los grupos de registros asociados Cuenta de AWS a la solicitud | Enumeración | |||
| DescribeLogStreams | Otorga permiso para devolver todos los flujos de registro que están asociados al grupo de registro especificado | Enumeración | |||
| DescribeMetricFilters | Otorga permiso para devolver todos los filtros de métricas asociados al grupo de registro especificado | Enumeración | |||
| DescribeQueries | Otorga permiso para devolver una lista de las consultas de CloudWatch Logs Insights que están programadas, en ejecución o que se han ejecutado recientemente en esta cuenta | Enumeración | |||
| DescribeQueryDefinitions | Otorga permiso para devolver una lista paginada de las definiciones de consultas de CloudWatch Logs Insights guardadas | Enumeración | |||
| DescribeResourcePolicies | Otorga permiso para devolver todas las políticas de recursos en esta cuenta | Enumeración | |||
| DescribeSubscriptionFilters | Otorga permiso para devolver todos los filtros de suscripción asociados al grupo de registro especificado | Enumeración | |||
| DisassociateKmsKey | Otorga permiso para desasociar la AWS clave maestra del cliente (CMK) del Servicio de administración de claves (AWS KMS) asociada del grupo de registros especificado | Escritura | |||
| FilterLogEvents | Otorga permiso para recuperar los eventos de registro, que se filtran de forma opcional por un patrón de filtro del grupo de registro especificado | Lectura | |||
| GetDataProtectionPolicy | Otorga permiso para recuperar una política de protección de datos adjunta a un grupo de registro | Lectura | |||
| GetDelivery | Concede permiso para recuperar una entrega única | Lectura | |||
| GetDeliveryDestination | Concede permiso para recuperar un único destino de entrega | Lectura | |||
| GetDeliveryDestinationPolicy | Concede permiso para recuperar una política de destino de entrega adjunta a un destino de entrega | Lectura | |||
| GetDeliverySource | Concede permiso para recuperar un origen de entrega única | Lectura | |||
| GetIntegration | Otorga permiso para recuperar una sola integración | Lectura | |||
| GetLogAnomalyDetector | Otorga permiso para obtener una lista de detectores de anomalías de registro | Lectura | |||
| GetLogDelivery [solo permiso] | Otorga permiso para obtener la información de entrega de registros de la entrega de registros especificada | Lectura | |||
| GetLogEvents | Otorga permiso para recuperar los eventos de registro del flujo de registro especificado | Lectura | |||
| GetLogGroupFields | Otorga permiso para devolver una lista de los campos que se incluyen en los eventos de registro en el grupo de registro especificado, junto con el porcentaje de eventos de registro que contiene cada campo | Lectura | |||
| GetLogRecord | Otorga permiso para recuperar todos los campos y valores de un único evento de registro | Lectura | |||
| GetQueryResults | Otorga permiso para devolver los resultados de la consulta especificada | Lectura | |||
| GetTransformer | Otorga permiso para devolver el transformador asociado al grupo de registros especificado | Lectura | |||
| Link [solo permiso] | Otorga permiso para compartir CloudWatch recursos con una cuenta de supervisión | Escritura | |||
| ListAnomalies | Otorga permiso para enumerar todas las anomalías detectadas al Cuenta de AWS realizar la solicitud | Enumeración | |||
| ListEntitiesForLogGroup [solo permiso] | Otorga permiso para recuperar todas las entidades asociadas al grupo de registros | Enumeración | |||
| ListIntegrations | Otorga permiso para enumerar todas las integraciones asociadas a la Cuenta de AWS realización de la solicitud | Enumeración | |||
| ListLogAnomalyDetectors | Otorga permiso para devolver todos los detectores de anomalías asociados a la Cuenta de AWS solicitud | Enumeración | |||
| ListLogDeliveries [solo permiso] | Otorga permiso para enumerar todas las entregas de registros de la cuenta u origen de registros que se especifica | Enumeración | |||
| ListLogGroupsForEntity [solo permiso] | Otorga permiso para recuperar todos los grupos de registros asociados a la entidad | Enumeración | |||
| ListLogGroupsForQuery | Otorga permiso para devolver todos los grupos de registros asociados a la consulta especificada | Enumeración | |||
| ListTagsForResource | Otorga permiso para enumerar las etiquetas del recurso especificado | Enumeración | |||
| ListTagsLogGroup | Otorga permiso para enumerar las etiquetas para el grupo de registro especificado | Enumeración | |||
| PutAccountPolicy | Otorga permiso para adjuntar una política de cuenta | Escritura | |||
| PutDataProtectionPolicy | Otorga permiso para adjuntar una política de protección de datos para detectar y eliminar información confidencial de los eventos de registro | Escritura | |||
| PutDeliveryDestination | Concede permiso para crear o actualizar un destino de entrega | Escritura | |||
| PutDeliveryDestinationPolicy | Concede permiso para adjuntar una política de destino de entrega a un destino de entrega | Escritura | |||
| PutDeliverySource | Concede permiso para crear o actualizar un origen de entrega | Escritura | |||
| PutDestination | Otorga permiso para crear o actualizar un destino | Escritura |
iam:PassRole |
||
| PutDestinationPolicy | Otorga permiso para crear o actualizar una política de acceso asociada a un destino existente | Escritura | |||
| PutIndexPolicy | Otorga permiso para adjuntar una política de indexación a nivel de grupo de registros para optimizar las búsquedas y consultas | Escritura | |||
| PutIntegration | Otorga permiso para crear una integración entre los registros de Cloudwatch y opensearch | Escritura | |||
| PutLogEvents | Otorga permiso para cargar un lote de eventos de registro en el flujo de registro especificado | Escritura | |||
| PutMetricFilter | Otorga permiso para crear o actualizar un filtro de métricas y lo asocia al grupo de registro especificado | Escritura | |||
| PutQueryDefinition | Otorga permiso para crear o actualizar una definición de consulta | Escritura | |||
| PutResourcePolicy | Otorga permiso para crear o actualizar una política de recursos que permita a otros AWS servicios colocar los eventos de registro en esta cuenta | Administración de permisos | |||
| PutRetentionPolicy | Otorga permiso para configurar la retención del grupo de registro especificado | Escritura | |||
| PutSubscriptionFilter | Otorga permiso para crear o actualizar un filtro de suscripciones y lo asocia al grupo de registro especificado | Escritura |
iam:PassRole |
||
| PutTransformer | Otorga permiso para crear o actualizar un transformador y lo asocia al grupo de registros especificado | Escritura | |||
| StartLiveTail | Otorga permiso para iniciar una sesión de Live Tail en CloudWatch Logs | Lectura | |||
| StartQuery | Otorga permiso para programar una consulta de un grupo de CloudWatch registros mediante Logs Insights | Lectura | |||
| StopLiveTail [solo permiso] | Concede permiso para detener una sesión de Live Tail que está en curso | Lectura | |||
| StopQuery | Otorga permiso para detener una consulta de CloudWatch Logs Insights que está en curso | Lectura | |||
| TagLogGroup | Otorga permiso para agregar o actualizar las etiquetas especificadas del grupo de registro especificado | Etiquetado | |||
| TagResource | Otorga permiso para agregar o actualizar las etiquetas especificadas para el recurso especificado | Etiquetado | |||
| TestMetricFilter | Otorga permiso para probar el patrón de filtro de un filtro de métricas y compararlo con una muestra de los mensajes de eventos de registro | Lectura | |||
| TestTransformer | Otorga permiso para probar el transformador con una muestra de mensajes de eventos de registro | Lectura | |||
| Unmask [solo permiso] | Otorga permiso para recuperar eventos de registro desenmascarados que se han eliminado con una política de protección de datos | Lectura | |||
| UntagLogGroup | Otorga permiso para quitar las etiquetas especificadas del grupo de registro especificado | Etiquetado | |||
| UntagResource | Otorga permiso para quitar las etiquetas especificadas de los recursos especificados | Etiquetado | |||
| UpdateAnomaly | Otorga permiso para actualizar una anomalía informada por un detector de anomalías de registro | Escritura | |||
| UpdateDeliveryConfiguration | Concede permiso para actualizar la configuración relacionada con una entrega | Escritura | |||
| UpdateLogAnomalyDetector | Otorga permiso para actualizar un detector de anomalías de registro | Escritura | |||
| UpdateLogDelivery [solo permiso] | Otorga permiso para actualizar la información de entrega de registros de la entrega de registros especificada | Escritura |
Tipos de recursos definidos por Amazon CloudWatch Logs
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| log-group |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
|
|
| log-stream |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
|
|
| destination |
arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}
|
|
| delivery-source |
arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}
|
|
| delivery |
arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}
|
|
| delivery-destination |
arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}
|
|
| anomaly-detector |
arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}
|
Claves de condición de Amazon CloudWatch Logs
Amazon CloudWatch Logs define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso por las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por las etiquetas asociadas al recurso | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
| logs:DeliveryDestinationResourceArn | Filtra el acceso por el ARN de destino del registro que se incluye en la solicitud | ARN |
| logs:LogGeneratingResourceArns | Filtra el acceso por el recurso generador de registros ARNs introducido en la solicitud | ArrayOfARN |
