Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon CloudWatch Logs
Amazon CloudWatch Logs (préfixe de service :logs) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par Amazon CloudWatch Logs
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AssociateKmsKey | Accorde l'autorisation d'associer la AWS clé principale du client (CMK) du service de gestion des clés (AWS KMS) spécifiée au groupe de journaux spécifié | Écrire | |||
| CancelExportTask | Accorde l'autorisation d'annuler une tâche d'exportation si elle affiche l'état PENDING ou RUNNING | Écrire | |||
| CreateDelivery | Accorde l'autorisation de créer une diffusion connectant une source de diffusion à une destination de diffusion | Écrire | |||
| CreateExportTask | Accorde l'autorisation de créer un ExportTask qui vous permet d'exporter efficacement les données d'un groupe de journaux vers votre compartiment Amazon S3 | Écrire | |||
| CreateLogAnomalyDetector | Octroie l'autorisation de créer un détecteur d'anomalies de journaux. | Écrire | |||
| CreateLogDelivery [autorisation uniquement] | Accorde l'autorisation de créer une diffusion de journaux | Écrire | |||
| CreateLogGroup | Accorde l'autorisation de créer un groupe de journaux avec le nom spécifié | Écrire | |||
| CreateLogStream | Accorde l'autorisation de créer un flux de journaux avec le nom spécifié | Écrire | |||
| DeleteAccountPolicy | Accorde l'autorisation de supprimer une politique de compte | Écrire | |||
| DeleteDataProtectionPolicy | Accorde l'autorisation de supprimer une politique de protection des données attachée à un groupe de journaux | Écrire | |||
| DeleteDelivery | Accorde l'autorisation de supprimer une livraison | Écrire | |||
| DeleteDeliveryDestination | Accorde l'autorisation de supprimer une destination de livraison une fois toutes les livraisons associées supprimées | Écrire | |||
| DeleteDeliveryDestinationPolicy | Accorde l'autorisation de supprimer une stratégie de destination de livraison associée à une destination de livraison | Écrire | |||
| DeleteDeliverySource | Accorde l'autorisation de supprimer une source de livraison une fois toutes les livraisons associées supprimées | Écrire | |||
| DeleteDestination | Accorde l'autorisation de supprimer la destination avec le nom spécifié | Écrire | |||
| DeleteIndexPolicy | Accorde l'autorisation de supprimer une politique d'index attachée à un groupe de journaux | Écrire | |||
| DeleteIntegration | Accorde l'autorisation de supprimer l'intégration | Écrire | |||
| DeleteLogAnomalyDetector | Octroie l'autorisation de supprimer un détecteur d'anomalies de journaux. | Écrire | |||
| DeleteLogDelivery [autorisation uniquement] | Accorde l'autorisation de supprimer les informations de livraison de journaux pour la livraison de journaux spécifiée | Écrire | |||
| DeleteLogGroup | Accorde l'autorisation de supprimer le groupe de journaux avec le nom spécifié | Écrire | |||
| DeleteLogStream | Accorde l'autorisation de supprimer un flux de journaux | Écrire | |||
| DeleteMetricFilter | Accorde l'autorisation de supprimer un filtre de métrique associé au groupe de journaux spécifié | Écrire | |||
| DeleteQueryDefinition | Autorise la suppression d'une définition de requête CloudWatch Logs Insights enregistrée | Écrire | |||
| DeleteResourcePolicy | Accorde l'autorisation de supprimer une politique de ressource dans ce compte | Gestion des autorisations | |||
| DeleteRetentionPolicy | Accorde l'autorisation de supprimer la politique de conservation du groupe de journaux spécifié | Écrire | |||
| DeleteSubscriptionFilter | Accorde l'autorisation de supprimer un filtre d'abonnement associé au groupe de journaux spécifié | Écrire | |||
| DeleteTransformer | Accorde l'autorisation de supprimer un transformateur associé au groupe de journaux spécifié | Écrire | |||
| DescribeAccountPolicies | Accorde l'autorisation de récupérer les politiques du compte | Liste | |||
| DescribeConfigurationTemplates | Accorde l'autorisation de récupérer une liste de modèles de configuration des types de journaux disponibles | Liste | |||
| DescribeDeliveries | Accorde l'autorisation de récupérer une liste de livraisons dans un compte | Liste | |||
| DescribeDeliveryDestinations | Accorde l'autorisation de récupérer une liste de destinations de livraison dans un compte | Liste | |||
| DescribeDeliverySources | Accorde l'autorisation de récupérer une liste de sources de livraison dans un compte | Liste | |||
| DescribeDestinations | Accorde l'autorisation de renvoyer toutes les destinations associées Compte AWS à la demande | Liste | |||
| DescribeExportTasks | Accorde l'autorisation de renvoyer toutes les tâches d'exportation associées Compte AWS à la demande | Liste | |||
| DescribeFieldIndexes | Accorde l'autorisation de renvoyer tous les attributs d'indexation attachés aux groupes de journaux | Liste | |||
| DescribeIndexPolicies | Accorde l'autorisation de renvoyer toutes les politiques d'index associées aux groupes de journaux | Liste | |||
| DescribeLogGroups | Accorde l'autorisation de renvoyer tous les groupes de journaux associés Compte AWS à la demande | Liste | |||
| DescribeLogStreams | Accorde l'autorisation de renvoyer tous les flux de journaux associés au groupe de journaux spécifié | Liste | |||
| DescribeMetricFilters | Accorde l'autorisation de renvoyer tous les filtres de métriques associés au groupe de journaux spécifié | Liste | |||
| DescribeQueries | Accorde l'autorisation de renvoyer une liste de requêtes CloudWatch Logs Insights planifiées, exécutées ou exécutées récemment dans ce compte | Liste | |||
| DescribeQueryDefinitions | Accorde l'autorisation de renvoyer une liste paginée de vos définitions de requêtes CloudWatch Logs Insights enregistrées | Liste | |||
| DescribeResourcePolicies | Accorde l'autorisation pour renvoyer toutes les politiques de ressources de ce compte | Liste | |||
| DescribeSubscriptionFilters | Accorde l'autorisation de renvoyer tous les filtres d'abonnement associés au groupe de journaux spécifié | Liste | |||
| DisassociateKmsKey | Accorde l'autorisation de dissocier la AWS clé principale du client (CMK) associée au service de gestion des clés (AWS KMS) du groupe de journaux spécifié | Écrire | |||
| FilterLogEvents | Accorde l'autorisation d'extraire les événements de journaux, éventuellement filtrés par un modèle de filtre, du groupe de journaux spécifié | Lecture | |||
| GetDataProtectionPolicy | Accorde l'autorisation de récupérer une politique de protection des données attachée à un groupe de journaux | Lecture | |||
| GetDelivery | Accorde l'autorisation de récupérer une livraison unique | Lecture | |||
| GetDeliveryDestination | Accorde l'autorisation de récupérer une destination de livraison unique | Lecture | |||
| GetDeliveryDestinationPolicy | Accorde l'autorisation de récupérer une stratégie de destination de livraison attachée à une destination de livraison | Lecture | |||
| GetDeliverySource | Accorde l'autorisation de récupérer une source de livraison unique | Lecture | |||
| GetIntegration | Accorde l'autorisation de récupérer une seule intégration | Lecture | |||
| GetLogAnomalyDetector | Octroie l'autorisation d'obtenir un détecteur d'anomalies de journaux. | Lecture | |||
| GetLogDelivery [autorisation uniquement] | Accorde l'autorisation d'obtenir les informations de livraison de journal pour la livraison de journal spécifiée | Lecture | |||
| GetLogEvents | Accorde l'autorisation de récupérer les événements de journaux du flux de journaux spécifié | Lecture | |||
| GetLogGroupFields | Accorde l'autorisation de renvoyer la liste des champs inclus dans les événements de journaux dans le groupe de journaux spécifié, ainsi que le pourcentage d'événements de journaux contenant chaque champ | Lecture | |||
| GetLogRecord | Accorde l'autorisation de récupérer tous les champs et les valeurs d'un événement de journal unique | Lecture | |||
| GetQueryResults | Accorde l'autorisation pour retourner les résultats de la requête spécifiée | Lecture | |||
| GetTransformer | Accorde l'autorisation de renvoyer le transformateur associé au groupe de journaux spécifié | Lecture | |||
| Link [autorisation uniquement] | Accorde l'autorisation de partager CloudWatch des ressources avec un compte de surveillance | Écrire | |||
| ListAnomalies | Permet de répertorier toutes les anomalies détectées lors Compte AWS de la demande | Liste | |||
| ListEntitiesForLogGroup [autorisation uniquement] | Accorde l'autorisation de récupérer toutes les entités associées au groupe de journaux | Liste | |||
| ListIntegrations | Accorde l'autorisation de répertorier toutes les intégrations associées à la présentation Compte AWS de la demande | Liste | |||
| ListLogAnomalyDetectors | Autorise le renvoi de tous les détecteurs d'anomalies associés à Compte AWS la demande | Liste | |||
| ListLogDeliveries [autorisation uniquement] | Accorde l'autorisation de répertorier toutes les livraisons de journaux pour le compte et/ou la source des journaux spécifié | Liste | |||
| ListLogGroupsForEntity [autorisation uniquement] | Accorde l'autorisation de récupérer tous les groupes de journaux associés à l'entité | Liste | |||
| ListLogGroupsForQuery | Accorde l'autorisation de renvoyer tous les groupes de journaux associés à la requête spécifiée | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier des balises pour la ressource spécifiée | Liste | |||
| ListTagsLogGroup | Accorde l'autorisation de répertorier les balises pour le groupe de journaux spécifié | Liste | |||
| PutAccountPolicy | Accorde l'autorisation de joindre une politique de compte | Écrire | |||
| PutDataProtectionPolicy | Accorde l'autorisation de joindre une politique de protection des données afin de détecter et de supprimer les informations sensibles des événements du journal | Écrire | |||
| PutDeliveryDestination | Accorde l'autorisation de créer/mettre à jour une destination de livraison | Écrire | |||
| PutDeliveryDestinationPolicy | Accorde l'autorisation d’attacher une stratégie de destination de livraison à une destination de livraison | Écrire | |||
| PutDeliverySource | Accorde l'autorisation de créer/mettre à jour une source de diffusion | Écrire | |||
| PutDestination | Accorde l'autorisation de créer ou de mettre à jour une destination | Écrire |
iam:PassRole |
||
| PutDestinationPolicy | Accorde l'autorisation de créer ou de mettre à jour une stratégie d'accès associée à une destination existante | Écrire | |||
| PutIndexPolicy | Accorde l'autorisation d'associer une politique d'index au niveau du groupe de journaux afin d'optimiser la recherche et les requêtes | Écrire | |||
| PutIntegration | Autorise la création d'une intégration entre Cloudwatch Logs et OpenSearch | Écrire | |||
| PutLogEvents | Accorde l'autorisation de charger un lot d'événements de journaux dans le flux de journaux spécifié | Écrire | |||
| PutMetricFilter | Accorde l'autorisation de créer ou de mettre à jour un filtre de métrique et de l'associer au groupe de journaux spécifié | Écrire | |||
| PutQueryDefinition | Accorde l'autorisation de créer ou de mettre à jour une définition de requête | Écrire | |||
| PutResourcePolicy | Accorde l'autorisation de créer ou de mettre à jour une politique de ressources autorisant d'autres AWS services à enregistrer des événements sur ce compte | Gestion des autorisations | |||
| PutRetentionPolicy | Accorde l'autorisation pour définir la conservation du groupe de journaux spécifié | Écrire | |||
| PutSubscriptionFilter | Accorde l'autorisation de créer ou de mettre à jour un filtre d'abonnement et de l'associer au groupe de journaux spécifié | Écrire |
iam:PassRole |
||
| PutTransformer | Accorde l'autorisation de créer ou de mettre à jour un transformateur et l'associe au groupe de journaux spécifié | Écrire | |||
| StartLiveTail | Accorde l'autorisation de démarrer une session Live Tail dans CloudWatch Logs | Lecture | |||
| StartQuery | Accorde l'autorisation de planifier une requête auprès d'un groupe de journaux à l'aide de CloudWatch Logs Insights | Lecture | |||
| StopLiveTail [autorisation uniquement] | Accorde l'autorisation d'arrêter une session Live Tail en cours | Lecture | |||
| StopQuery | Autorise l'arrêt d'une requête CloudWatch Logs Insights en cours | Lecture | |||
| TagLogGroup | Accorde l'autorisation d'ajouter ou de mettre à jour les balises spécifiées pour le groupe de journaux spécifié | Identification | |||
| TagResource | Accorde l'autorisation d'ajouter ou de mettre à jour les balises spécifiées pour la ressource spécifiée | Identification | |||
| TestMetricFilter | Accorde l'autorisation de tester le modèle de filtre d'un filtre de métrique sur un exemple de messages d'événements de journaux | Lecture | |||
| TestTransformer | Accorde l'autorisation de tester le transformateur par rapport à un échantillon de messages d'événements du journal | Lecture | |||
| Unmask [autorisation uniquement] | Accorde l'autorisation de récupérer les événements de journaux démasqués qui ont été supprimés par une politique de protection des données | Lecture | |||
| UntagLogGroup | Accorde l'autorisation de supprimer les balises spécifiées du groupe de journaux spécifié | Identification | |||
| UntagResource | Accorde l'autorisation de supprimer les balises spécifiées de la ressource spécifiée | Identification | |||
| UpdateAnomaly | Octroie l'autorisation de mettre à jour une anomalie signalée par un détecteur d'anomalies de journaux. | Écrire | |||
| UpdateDeliveryConfiguration | Accorde l'autorisation de mettre à jour la configuration associée à une livraison | Écrire | |||
| UpdateLogAnomalyDetector | Octroie l'autorisation de mettre à jour un détecteur d'anomalies de journaux. | Écrire | |||
| UpdateLogDelivery [autorisation uniquement] | Accorde l'autorisation de mettre à jour les informations de livraison de journaux pour la livraison de journaux spécifiée | Écrire |
Types de ressources définis par Amazon CloudWatch Logs
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| log-group |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
|
|
| log-stream |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
|
|
| destination |
arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}
|
|
| delivery-source |
arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}
|
|
| delivery |
arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}
|
|
| delivery-destination |
arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}
|
|
| anomaly-detector |
arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}
|
Clés de condition pour Amazon CloudWatch Logs
Amazon CloudWatch Logs définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |
| logs:DeliveryDestinationResourceArn | Filtre l'accès en par l'ARN de destination Log Destination transmis dans la requête | ARN |
| logs:LogGeneratingResourceArns | Filtre l'accès par la ressource génératrice de journaux ARNs transmise dans la demande | ArrayOfARN |
