Sumber daya dan operasi Memahami kepemilikan sumber daya Mengelola akses ke sumber daya Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab Menentukan kondisi dalam kebijakan

Ikhtisar mengelola izin akses ke sumber daya CloudWatch Log Anda

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
Pengguna yang dikelola IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti petunjuk di Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
IAMpengguna:
- Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk di Buat peran untuk IAM pengguna di Panduan IAM Pengguna.
- (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.

Topik

CloudWatch Log sumber daya dan operasi
Memahami kepemilikan sumber daya
Mengelola akses ke sumber daya
Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab
Menentukan kondisi dalam kebijakan

CloudWatch Log sumber daya dan operasi

Di CloudWatch Log, sumber daya utama adalah grup log, aliran log, dan tujuan. CloudWatch Log tidak mendukung subsumber daya (sumber daya lain untuk digunakan dengan sumber daya utama).

Sumber daya dan subsumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya seperti yang ditunjukkan pada tabel berikut.

Jenis sumber daya ARNformat

Jenis sumber daya	ARNformat
Grup log	Kedua hal berikut ini digunakan. Yang kedua, dengan `:` di akhir, adalah apa yang dikembalikan oleh `describe-log-groups` CLI perintah dan DescribeLogGroupsAPI. arn:aws:logs: ::log-group: `region` `account-id` `log_group_name` arn:aws:logs: ::log-group:: `region` `account-id` `log_group_name` Gunakan versi pertama, tanpa trailing`:`, dalam situasi berikut: Di bidang `logGroupIdentifier` input di banyak CloudWatch Logs APIs. Di `resourceArn` lapangan dalam penandaan APIs Dalam IAM kebijakan, saat menentukan izin untuk TagResource, UntagResource, dan. ListTagsForResource Gunakan versi kedua, dengan tambahan`:`, untuk merujuk pada ARN saat menentukan izin dalam IAM kebijakan untuk semua tindakan lainnya. API
Pengaliran log	arn:aws:logs: ::log-group ::log-stream: `region` `account-id` `log_group_name` `log-stream-name`
Tujuan	arn:aws:logs: ::tujuan: `region` `account-id` `destination_name`

Grup log

Kedua hal berikut ini digunakan. Yang kedua, dengan :* di akhir, adalah apa yang dikembalikan oleh describe-log-groups CLI perintah dan DescribeLogGroupsAPI.

arn:aws:logs: ::log-group: region account-id log_group_name

arn:aws:logs: ::log-group:: * region account-id log_group_name

Gunakan versi pertama, tanpa trailing:*, dalam situasi berikut:

Di bidang logGroupIdentifier input di banyak CloudWatch Logs APIs.
Di resourceArn lapangan dalam penandaan APIs
Dalam IAM kebijakan, saat menentukan izin untuk TagResource, UntagResource, dan. ListTagsForResource

Gunakan versi kedua, dengan tambahan:*, untuk merujuk pada ARN saat menentukan izin dalam IAM kebijakan untuk semua tindakan lainnya. API

Pengaliran log

arn:aws:logs: ::log-group ::log-stream: region account-id log_group_name log-stream-name

Tujuan

arn:aws:logs: ::tujuan: region account-id destination_name

Untuk informasi selengkapnyaARNs, lihat ARNsdi Panduan IAM Pengguna. Untuk informasi tentang CloudWatch LogARNs, lihat Amazon Resource Names (ARNs) di Referensi Umum Amazon Web Services. Untuk contoh kebijakan yang mencakup CloudWatch Log, lihatMenggunakan kebijakan (IAMkebijakan) berbasis identitas untuk Log CloudWatch .

CloudWatch Log menyediakan serangkaian operasi untuk bekerja dengan sumber daya CloudWatch Log. Untuk daftar operasi yang tersedia, lihat CloudWatch Referensi izin log.

Memahami kepemilikan sumber daya

AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun entitas utama (yaitu, akun root, pengguna, atau IAM peran) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:

Jika Anda menggunakan kredensi akun root AWS akun Anda untuk membuat grup log, AWS akun Anda adalah pemilik sumber daya CloudWatch Log.
Jika Anda membuat pengguna di AWS akun Anda dan memberikan izin untuk membuat sumber daya CloudWatch Log kepada pengguna tersebut, pengguna dapat membuat sumber daya CloudWatch Log. Namun, AWS akun Anda, yang menjadi milik pengguna, memiliki sumber daya CloudWatch Log.
Jika Anda membuat IAM peran di AWS akun dengan izin untuk membuat sumber daya CloudWatch Log, siapa pun yang dapat mengambil peran tersebut dapat membuat sumber daya CloudWatch Log. AWS Akun Anda, yang menjadi milik peran tersebut, memiliki sumber daya CloudWatch Log.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks CloudWatch Log. Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi lengkap, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat referensi IAM kebijakan di IAMPanduan Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (IAMkebijakan) dan kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. CloudWatch Log mendukung kebijakan berbasis identitas, dan kebijakan berbasis sumber daya untuk tujuan, yang digunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat Langganan lintas akun Lintas wilayah.

Izin grup log dan Wawasan Kontributor

Contributor Insights adalah fitur CloudWatch yang memungkinkan Anda menganalisis data dari grup log dan membuat deret waktu yang menampilkan data kontributor. Anda dapat melihat metrik tentang kontributor N teratas, total kontributor unik, dan penggunaannya. Untuk informasi selengkapnya, lihat Menggunakan Wawasan Kontributor untuk Menganalisis Data Berkardinalitas Tinggi.

Saat Anda memberikan izin cloudwatch:PutInsightRule dan cloudwatch:GetInsightRuleReport izin kepada pengguna, pengguna tersebut dapat membuat aturan yang mengevaluasi grup log apa pun di CloudWatch Log dan kemudian melihat hasilnya. Hasil dapat memuat data kontributor untuk grup log tersebut. Pastikan untuk memberikan izin ini hanya kepada pengguna yang harus dapat melihat data ini.

Kebijakan berbasis sumber daya

CloudWatch Log mendukung kebijakan berbasis sumber daya untuk tujuan, yang dapat Anda gunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat Langkah 1: Buat tujuan. Tujuan dapat dibuat menggunakan PutDestinationAPI, dan Anda dapat menambahkan kebijakan sumber daya ke tujuan menggunakan PutDestinationPolicyAPI. Contoh berikut memungkinkan AWS akun lain dengan ID akun 111122223333 untuk berlangganan grup log mereka ke tujuan. arn:aws:logs:us-east-1:123456789012:destination:testDestination


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab

Untuk setiap sumber daya CloudWatch Log, layanan mendefinisikan serangkaian API operasi. Untuk memberikan izin untuk API operasi ini, CloudWatch Log mendefinisikan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa API operasi dapat memerlukan izin untuk lebih dari satu tindakan untuk melakukan API operasi. Untuk informasi selengkapnya tentang sumber daya dan API operasi, lihat CloudWatch Log sumber daya dan operasi danCloudWatch Referensi izin log.

Berikut ini adalah elemen-elemen kebijakan dasar:

Sumber Daya — Anda menggunakan Nama Sumber Daya Amazon (ARN) untuk mengidentifikasi sumber daya yang berlaku untuk kebijakan tersebut. Untuk informasi selengkapnya, lihat CloudWatch Log sumber daya dan operasi.
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin logs.DescribeLogGroups memungkinkan pengguna untuk melakukan DescribeLogGroups operasi.
Pengaruh – Anda menetapkan pengaruh, baik memperbolehkan atau menolak, ketika pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses memberikan kebijakan yang berbeda.
Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). CloudWatch Log mendukung kebijakan berbasis sumber daya untuk tujuan.

Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi IAM kebijakan, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Untuk tabel yang menunjukkan semua API tindakan CloudWatch Log dan sumber daya yang diterapkan, lihatCloudWatch Referensi izin log.

Menentukan kondisi dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan syarat kapan kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan IAM Pengguna.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Untuk daftar kunci konteks yang didukung oleh setiap AWS layanan dan daftar kunci kebijakan AWS-wide, lihat Kunci tindakan, sumber daya, dan kondisi untuk AWS layanan dan kunci konteks kondisi AWS global.

catatan

Anda dapat menggunakan tag untuk mengontrol akses ke sumber CloudWatch Log, termasuk grup log dan tujuan. Akses ke aliran log dikontrol pada tingkat grup log, karena hubungan hierarkis antara grup log dan aliran log. Untuk informasi selengkapnya tentang penggunaan tanda untuk mengendalikan akses, lihat Mengendalikan akses ke sumber daya Amazon Web Services menggunakan tanda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Manajemen identitas dan akses

Menggunakan kebijakan berbasis identitas (kebijakan IAM)