Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci kondisi untuk Amazon CloudWatch Logs
Amazon CloudWatch Logs (awalan layanan:logs) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar Operasi API yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.
Topik
Tindakan yang ditentukan oleh Amazon CloudWatch Logs
Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| AssociateKmsKey | Memberikan izin untuk mengaitkan AWS kunci master pelanggan (CMK) Layanan Manajemen Kunci (AWS KMS) yang ditentukan dengan grup log yang ditentukan | Tulis | |||
| CancelExportTask | Memberikan izin untuk membatalkan tugas ekspor jika dalam status PENDING atau RUNNING | Tulis | |||
| CreateDelivery | Memberikan izin untuk membuat pengiriman yang menghubungkan sumber pengiriman ke tujuan pengiriman | Tulis | |||
| CreateExportTask | Memberikan izin untuk membuat ExportTask yang memungkinkan Anda mengekspor data secara efisien dari Grup Log ke bucket Amazon S3 | Tulis | |||
| CreateLogAnomalyDetector | Memberikan izin untuk membuat detektor anomali log | Tulis | |||
| CreateLogDelivery[hanya izin] | Memberikan izin untuk membuat pengiriman log | Tulis | |||
| CreateLogGroup | Memberikan izin untuk membuat grup log baru dengan nama yang ditentukan | Tulis | |||
| CreateLogStream | Memberikan izin untuk membuat aliran log baru dengan nama yang ditentukan | Tulis | |||
| DeleteAccountPolicy | Memberikan izin untuk menghapus kebijakan akun | Tulis | |||
| DeleteDataProtectionPolicy | Memberikan izin untuk menghapus kebijakan perlindungan data yang dilampirkan ke grup log | Tulis | |||
| DeleteDelivery | Memberikan izin untuk menghapus pengiriman | Tulis | |||
| DeleteDeliveryDestination | Memberikan izin untuk menghapus tujuan pengiriman setelah semua pengiriman terkait dihapus | Tulis | |||
| DeleteDeliveryDestinationPolicy | Memberikan izin untuk menghapus kebijakan tujuan pengiriman yang terkait dengan tujuan pengiriman | Tulis | |||
| DeleteDeliverySource | Memberikan izin untuk menghapus sumber pengiriman setelah semua pengiriman terkait dihapus | Tulis | |||
| DeleteDestination | Memberikan izin untuk menghapus tujuan dengan nama yang ditentukan | Tulis | |||
| DeleteIndexPolicy | Memberikan izin untuk menghapus kebijakan indeks yang dilampirkan ke grup log | Tulis | |||
| DeleteIntegration | Memberikan izin untuk menghapus integrasi | Tulis | |||
| DeleteLogAnomalyDetector | Memberikan izin untuk menghapus detektor anomali log | Tulis | |||
| DeleteLogDelivery[hanya izin] | Memberikan izin untuk menghapus informasi pengiriman log untuk pengiriman log tertentu | Tulis | |||
| DeleteLogGroup | Memberikan izin untuk menghapus grup log dengan nama yang ditentukan | Tulis | |||
| DeleteLogStream | Memberikan izin untuk menghapus aliran log | Tulis | |||
| DeleteMetricFilter | Memberikan izin untuk menghapus filter metrik yang terkait dengan grup log yang ditentukan | Tulis | |||
| DeleteQueryDefinition | Memberikan izin untuk menghapus definisi kueri CloudWatch Log Insights yang disimpan | Tulis | |||
| DeleteResourcePolicy | Memberikan izin untuk menghapus kebijakan sumber daya dari akun ini | Manajemen izin | |||
| DeleteRetentionPolicy | Memberikan izin untuk menghapus kebijakan penyimpanan grup log yang ditentukan | Tulis | |||
| DeleteSubscriptionFilter | Memberikan izin untuk menghapus filter langganan yang terkait dengan grup log yang ditentukan | Tulis | |||
| DeleteTransformer | Memberikan izin untuk menghapus transformator yang terkait dengan grup log yang ditentukan | Tulis | |||
| DescribeAccountPolicies | Memberikan izin untuk mengambil kebijakan akun | Daftar | |||
| DescribeConfigurationTemplates | Memberikan izin untuk mengambil daftar templat konfigurasi jenis log yang tersedia | Daftar | |||
| DescribeDeliveries | Memberikan izin untuk mengambil daftar pengiriman akun | Daftar | |||
| DescribeDeliveryDestinations | Memberikan izin untuk mengambil daftar tujuan pengiriman akun | Daftar | |||
| DescribeDeliverySources | Memberikan izin untuk mengambil daftar sumber pengiriman di akun | Daftar | |||
| DescribeDestinations | Memberikan izin untuk mengembalikan semua tujuan yang terkait dengan Akun AWS pembuatan permintaan | Daftar | |||
| DescribeExportTasks | Memberikan izin untuk mengembalikan semua tugas ekspor yang terkait dengan Akun AWS pembuatan permintaan | Daftar | |||
| DescribeFieldIndexes | Memberikan izin untuk mengembalikan semua atribut pengindeksan yang dilampirkan dengan grup log | Daftar | |||
| DescribeIndexPolicies | Memberikan izin untuk mengembalikan semua kebijakan indeks yang dilampirkan dengan grup log | Daftar | |||
| DescribeLogGroups | Memberikan izin untuk mengembalikan semua grup log yang terkait dengan Akun AWS pembuatan permintaan | Daftar | |||
| DescribeLogStreams | Memberikan izin untuk mengembalikan semua aliran log yang terkait dengan grup log yang ditentukan | Daftar | |||
| DescribeMetricFilters | Memberikan izin untuk mengembalikan semua filter metrik yang terkait dengan grup log yang ditentukan | Daftar | |||
| DescribeQueries | Memberikan izin untuk mengembalikan daftar kueri Wawasan CloudWatch Log yang dijadwalkan, dijalankan, atau telah dieksekusi baru-baru ini di akun ini | Daftar | |||
| DescribeQueryDefinitions | Memberikan izin untuk mengembalikan daftar paginasi definisi kueri Wawasan CloudWatch Log yang disimpan | Daftar | |||
| DescribeResourcePolicies | Memberikan izin untuk mengembalikan semua kebijakan sumber daya di akun ini | Daftar | |||
| DescribeSubscriptionFilters | Memberikan izin untuk mengembalikan semua filter langganan yang terkait dengan grup log yang ditentukan | Daftar | |||
| DisassociateKmsKey | Memberikan izin untuk memisahkan AWS kunci master pelanggan (CMK) Layanan Manajemen Kunci (AWS KMS) terkait dari grup log yang ditentukan | Tulis | |||
| FilterLogEvents | Memberikan izin untuk mengambil peristiwa log, secara opsional difilter oleh pola filter dari grup log yang ditentukan | Baca | |||
| GetDataProtectionPolicy | Memberikan izin untuk mengambil kebijakan perlindungan data yang dilampirkan ke grup log | Baca | |||
| GetDelivery | Memberikan izin untuk mengambil satu pengiriman | Baca | |||
| GetDeliveryDestination | Memberikan izin untuk mengambil satu tujuan pengiriman | Baca | |||
| GetDeliveryDestinationPolicy | Memberikan izin untuk mengambil kebijakan tujuan pengiriman yang dilampirkan ke tujuan pengiriman | Baca | |||
| GetDeliverySource | Memberikan izin untuk mengambil satu sumber pengiriman | Baca | |||
| GetIntegration | Memberikan izin untuk mengambil satu integrasi | Baca | |||
| GetLogAnomalyDetector | Memberikan izin untuk mendapatkan detektor anomali log | Baca | |||
| GetLogDelivery[hanya izin] | Memberikan izin untuk mendapatkan informasi pengiriman log untuk pengiriman log tertentu | Baca | |||
| GetLogEvents | Memberikan izin untuk mengambil peristiwa log dari aliran log yang ditentukan | Baca | |||
| GetLogGroupFields | Memberikan izin untuk mengembalikan daftar bidang yang disertakan dalam peristiwa log di grup log tertentu, bersama dengan persentase peristiwa log yang berisi setiap bidang | Baca | |||
| GetLogRecord | Memberikan izin untuk mengambil semua bidang dan nilai dari peristiwa log tunggal | Baca | |||
| GetQueryResults | Memberikan izin untuk mengembalikan hasil dari kueri yang ditentukan | Baca | |||
| GetTransformer | Memberikan izin untuk mengembalikan transformator yang terkait dengan grup log yang ditentukan | Baca | |||
| Link[hanya izin] | Memberikan izin untuk berbagi CloudWatch sumber daya dengan akun pemantauan | Tulis | |||
| ListAnomalies | Memberikan izin untuk membuat daftar semua anomali yang terdeteksi dalam membuat permintaan Akun AWS | Daftar | |||
| ListEntitiesForLogGroup[hanya izin] | Memberikan izin untuk mengambil semua entitas yang terkait dengan grup log | Daftar | |||
| ListIntegrations | Memberikan izin untuk membuat daftar semua integrasi yang terkait dengan Akun AWS pembuatan permintaan | Daftar | |||
| ListLogAnomalyDetectors | Memberikan izin untuk mengembalikan semua detektor anomali yang terkait dengan pembuatan permintaan Akun AWS | Daftar | |||
| ListLogDeliveries[hanya izin] | Memberikan izin untuk membuat daftar semua pengiriman log untuk akun tertentu dan/atau sumber log | Daftar | |||
| ListLogGroupsForEntity[hanya izin] | Memberikan izin untuk mengambil semua grup log yang terkait dengan entitas | Daftar | |||
| ListLogGroupsForQuery | Memberikan izin untuk mengembalikan semua grup log yang terkait dengan kueri yang ditentukan | Daftar | |||
| ListTagsForResource | Memberikan izin untuk membuat daftar tag untuk sumber daya yang ditentukan | Daftar | |||
| ListTagsLogGroup | Memberikan izin untuk membuat daftar tag untuk grup log yang ditentukan | Daftar | |||
| PutAccountPolicy | Memberikan izin untuk melampirkan kebijakan akun | Tulis | |||
| PutDataProtectionPolicy | Memberikan izin untuk melampirkan kebijakan perlindungan data untuk mendeteksi dan menyunting informasi sensitif dari peristiwa log | Tulis | |||
| PutDeliveryDestination | Memberikan izin untuk membuat/memperbarui tujuan pengiriman | Tulis | |||
| PutDeliveryDestinationPolicy | Memberikan izin untuk melampirkan kebijakan tujuan pengiriman ke tujuan pengiriman | Tulis | |||
| PutDeliverySource | Memberikan izin untuk membuat/memperbarui sumber pengiriman | Tulis | |||
| PutDestination | Memberikan izin untuk membuat atau memperbarui Tujuan | Tulis |
iam:PassRole |
||
| PutDestinationPolicy | Memberikan izin untuk membuat atau memperbarui kebijakan akses yang terkait dengan Tujuan yang ada | Tulis | |||
| PutIndexPolicy | Memberikan izin untuk melampirkan kebijakan indeks di tingkat grup log untuk mengoptimalkan pencarian dan kueri | Tulis | |||
| PutIntegration | Memberikan izin untuk membuat integrasi antara log cloudwatch dan opensearch | Tulis | |||
| PutLogEvents | Memberikan izin untuk mengunggah sekumpulan peristiwa log ke aliran log yang ditentukan | Tulis | |||
| PutMetricFilter | Memberikan izin untuk membuat atau memperbarui filter metrik dan mengaitkannya dengan grup log yang ditentukan | Tulis | |||
| PutQueryDefinition | Memberikan izin untuk membuat atau memperbarui definisi kueri | Tulis | |||
| PutResourcePolicy | Memberikan izin untuk membuat atau memperbarui kebijakan sumber daya yang memungkinkan AWS layanan lain untuk menempatkan peristiwa log ke akun ini | Manajemen izin | |||
| PutRetentionPolicy | Memberikan izin untuk mengatur retensi grup log yang ditentukan | Tulis | |||
| PutSubscriptionFilter | Memberikan izin untuk membuat atau memperbarui filter langganan dan mengaitkannya dengan grup log yang ditentukan | Tulis |
iam:PassRole |
||
| PutTransformer | Memberikan izin untuk membuat atau memperbarui transformator dan mengaitkannya dengan grup log yang ditentukan | Tulis | |||
| StartLiveTail | Memberikan izin untuk memulai sesi Live Tail di CloudWatch Log | Baca | |||
| StartQuery | Memberikan izin untuk menjadwalkan kueri grup log menggunakan Wawasan CloudWatch Log | Baca | |||
| StopLiveTail[hanya izin] | Memberikan izin untuk menghentikan sesi Live Tail yang sedang berlangsung | Baca | |||
| StopQuery | Memberikan izin untuk menghentikan kueri Wawasan CloudWatch Log yang sedang berlangsung | Baca | |||
| TagLogGroup | Memberikan izin untuk menambah atau memperbarui tag yang ditentukan untuk grup log yang ditentukan | Penandaan | |||
| TagResource | Memberikan izin untuk menambah atau memperbarui tag yang ditentukan untuk sumber daya yang ditentukan | Penandaan | |||
| TestMetricFilter | Memberikan izin untuk menguji pola filter filter metrik terhadap sampel pesan peristiwa log | Baca | |||
| TestTransformer | Memberikan izin untuk menguji transformator terhadap sampel pesan peristiwa log | Baca | |||
| Unmask[hanya izin] | Memberikan izin untuk mengambil peristiwa log tanpa kedok yang telah disunting dengan kebijakan perlindungan data | Baca | |||
| UntagLogGroup | Memberikan izin untuk menghapus tag yang ditentukan dari grup log yang ditentukan | Penandaan | |||
| UntagResource | Memberikan izin untuk menghapus tag yang ditentukan dari sumber daya yang ditentukan | Penandaan | |||
| UpdateAnomaly | Memberikan izin untuk memperbarui anomali yang dilaporkan oleh detektor anomali log | Tulis | |||
| UpdateDeliveryConfiguration | Memberikan izin untuk memperbarui konfigurasi yang terkait dengan pengiriman | Tulis | |||
| UpdateLogAnomalyDetector | Memberikan izin untuk memperbarui detektor anomali log | Tulis | |||
| UpdateLogDelivery[hanya izin] | Memberikan izin untuk memperbarui informasi pengiriman log untuk pengiriman log tertentu | Tulis |
Jenis sumber daya yang ditentukan oleh Amazon CloudWatch Logs
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| log-group |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
|
|
| log-stream |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
|
|
| destination |
arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}
|
|
| delivery-source |
arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}
|
|
| delivery |
arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}
|
|
| delivery-destination |
arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}
|
|
| anomaly-detector |
arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}
|
Kunci kondisi untuk Amazon CloudWatch Logs
Amazon CloudWatch Logs mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Filter akses berdasarkan tanda yang diberikan dalam permintaan | String |
| aws:ResourceTag/${TagKey} | Filter akses dengan tanda yang terkait dengan sumber daya | String |
| aws:TagKeys | Filter akses berdasarkan kunci tanda yang diberikan dalam permintaan | ArrayOfString |
| logs:DeliveryDestinationResourceArn | Memfilter akses oleh ARN Tujuan Log yang diteruskan dalam permintaan | ARN |
| logs:LogGeneratingResourceArns | Memfilter akses oleh Sumber Daya Penghasil Log yang ARNs diteruskan dalam permintaan | ArrayOfARN |
