CloudWatch Référence des autorisations de journalisation

Lorsque vous configurez Contrôle d’accès et les stratégies d'autorisation d'écriture que vous pouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser le tableau ci-dessous comme référence. Le tableau répertorie chaque API opération CloudWatch Logs et les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action. Vous spécifiez les actions dans le champ Action de la politique. Pour le Resource champ, vous pouvez spécifier un groupe ARN de journaux ou un flux de journaux, ou spécifier * pour représenter toutes les ressources de CloudWatch journaux.

Vous pouvez utiliser des AWS clés de condition larges dans vos politiques de CloudWatch journalisation pour exprimer des conditions. Pour obtenir la liste complète des clés « AWS wide », reportez-vous à la section Clés IAM contextuelles AWS globales et conditionnelles du guide de IAM l'utilisateur.

Note

Pour spécifier une action, utilisez le logs: préfixe suivi du nom de l'APIopération. Par exemple : logs:CreateLogGrouplogs:CreateLogStream, ou logs:* (pour toutes les actions CloudWatch Logs).

CloudWatch Journalise API les opérations et les autorisations requises pour les actions
CloudWatch APIOpérations de journalisation	Autorisations requises (APIactions)
CancelExportTask	`logs:CancelExportTask` Exigé pour annuler une tâche d'exportation en attente ou en cours d'exécution.
CreateExportTask	`logs:CreateExportTask` Exigé pour exporter des données d'un groupe de journaux vers un compartiment Amazon S3.
CreateLogGroup	`logs:CreateLogGroup` Exigé pour créer un nouveau groupe de journaux.
CreateLogStream	`logs:CreateLogStream` Exigé pour créer un nouveau flux de journaux dans un groupe de journaux.
DeleteDestination	`logs:DeleteDestination` Exigé pour supprimer une destination de journal et désactive tous les filtres d'abonnement connexes.
DeleteLogGroup	`logs:DeleteLogGroup` Exigé pour supprimer un groupe de journaux et tous les événements du journal archivés associés.
DeleteLogStream	`logs:DeleteLogStream` Exigé pour supprimer un flux de journaux et tous les événements du journal archivés associés.
DeleteMetricFilter	`logs:DeleteMetricFilter` Exigé pour supprimer un filtre de métrique associé à un groupe de journaux.
DeleteQueryDefinition	`logs:DeleteQueryDefinition` Nécessaire pour supprimer une définition de requête enregistrée dans CloudWatch Logs Insights.
DeleteResourcePolicy	`logs:DeleteResourcePolicy` Nécessaire pour supprimer une politique de ressources CloudWatch Logs.
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` Exigé pour supprimer la politique de rétention d'un groupe de journaux.
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` Exigé pour supprimer le filtre d'abonnement associé à un groupe de journaux.
DescribeDestinations	`logs:DescribeDestinations` Exigé pour afficher toutes les destinations associées au compte.
DescribeExportTasks	`logs:DescribeExportTasks` Exigé pour afficher toutes les tâches d'exportation associées au compte.
DescribeLogGroups	`logs:DescribeLogGroups` Exigé pour afficher tous les groupes de journaux associés au compte.
DescribeLogStreams	`logs:DescribeLogStreams` Exigé pour afficher tous les flux de journaux associés à un groupe de journaux.
DescribeMetricFilters	`logs:DescribeMetricFilters` Exigé pour afficher toutes les métriques associées à un groupe de journaux.
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` Nécessaire pour voir la liste des définitions de requêtes enregistrées dans CloudWatch Logs Insights.
DescribeQueries	`logs:DescribeQueries` Obligatoire pour voir la liste des requêtes CloudWatch Logs Insights planifiées, en cours d'exécution ou récemment exécutées.
DescribeResourcePolicies	`logs:DescribeResourcePolicies` Obligatoire pour consulter la liste des politiques relatives CloudWatch aux ressources des journaux.
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` Exigé pour afficher tous les filtres d'abonnement associés à un groupe de journaux.
FilterLogEvents	`logs:FilterLogEvents` Exigé pour trier les événements du journal par modèle de filtres de groupes de journaux.
GetLogEvents	`logs:GetLogEvents` Exigé pour récupérer les événements du journal à partir d'un flux de journaux.
GetLogGroupFields	`logs:GetLogGroupFields` Obligatoire pour récupérer la liste des champs qui sont inclus dans les événements du journal d'un groupe de journaux.
GetLogRecord	`logs:GetLogRecord` Obligatoire pour récupérer des informations à partir d'un seul événement du journal.
GetQueryResults	`logs:GetQueryResults` Nécessaire pour récupérer les résultats des requêtes CloudWatch Logs Insights.
ListEntitiesForLogGroup (autorisation CloudWatch réservée à la console)	`logs:ListEntitiesForLogGroup` Obligatoire pour trouver les entités associées à un groupe de journaux. Nécessaire pour explorer les journaux associés dans la CloudWatch console.
ListLogGroupsForEntity (autorisation CloudWatch réservée à la console)	`logs:ListLogGroupsForEntity` Nécessaire pour trouver les groupes de journaux associés à une entité. Nécessaire pour explorer les journaux associés dans la CloudWatch console.
ListTagsLogGroup	`logs:ListTagsLogGroup` Exigé pour afficher toutes les étiquettes associées à un groupe de journaux.
PutDestination	`logs:PutDestination` Exigé pour créer ou mettre à jour un flux de journaux de destination (comme un flux Kinesis).
PutDestinationPolicy	`logs:PutDestinationPolicy` Exigé pour créer ou mettre à jour une politique d'accès associée à une destination de journal existante.
PutLogEvents	`logs:PutLogEvents` Exigé pour charger un lot d'événements du journal dans un flux de journaux.
PutMetricFilter	`logs:PutMetricFilter` Exigé pour créer ou mettre à jour un filtre de métrique et l'associer à un groupe de journaux.
PutQueryDefinition	`logs:PutQueryDefinition` Nécessaire pour enregistrer une requête dans CloudWatch Logs Insights.
PutResourcePolicy	`logs:PutResourcePolicy` Nécessaire pour créer une politique de ressources CloudWatch Logs.
PutRetentionPolicy	`logs:PutRetentionPolicy` Exigé pour définir le nombre de jours de conservation des événements du journal (rétention) dans un groupe de journaux.
PutSubscriptionFilter	`logs:PutSubscriptionFilter` Exigé pour créer ou mettre à jour un filtre d'abonnement et l'associer à un groupe de journaux.
StartQuery	`logs:StartQuery` Nécessaire pour démarrer CloudWatch les requêtes Logs Insights.
StopQuery	`logs:StopQuery` Nécessaire pour arrêter une requête CloudWatch Logs Insights en cours.
TagLogGroup	`logs:TagLogGroup` Exigé pour ajouter ou mettre à jour des étiquettes de groupe de journaux.
TestMetricFilter	`logs:TestMetricFilter` Exigé pour tester un modèle de filtre par rapport à un échantillonnage de messages d'événements du journal.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de politiques basées sur l'identité (politiques) IAM

Utilisation des rôles liés à un service