Risorse e operazioni Informazioni sulla proprietà delle risorse Gestione dell'accesso alle risorse Specifica degli elementi delle policy: operazioni, effetti e principali Specifica delle condizioni in una policy

Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs CloudWatch

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Utenti e gruppi in: AWS IAM Identity Center

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creare un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
IAMutenti:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate in Creare un ruolo per un IAM utente nella Guida per l'IAMutente.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.

Argomenti

CloudWatch Registra risorse e operazioni
Informazioni sulla proprietà delle risorse
Gestione dell'accesso alle risorse
Specifica degli elementi delle policy: operazioni, effetti e principali
Specifica delle condizioni in una policy

CloudWatch Registra risorse e operazioni

In CloudWatch Logs le risorse principali sono i gruppi di log, i flussi di log e le destinazioni. CloudWatch Logs non supporta le risorse secondarie (altre risorse da utilizzare con la risorsa principale).

A queste risorse e sottorisorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.

Tipo di risorsa ARN formato

Tipo di risorsa	ARN formato
Gruppo di log	Si utilizzano entrambi i seguenti elementi. Il secondo, con la `:` fine, è ciò che viene restituito dal `describe-log-groups` CLI comando e da. DescribeLogGroupsAPI arn:aws:logs: ::log-group: `region` `account-id` `log_group_name` arn:aws:logs: `region` `account-id` ::log-group:: `log_group_name` Usa la prima versione, senza la parte finale, nelle seguenti situazioni: `:` Nel campo `logGroupIdentifier` di immissione in molti CloudWatch Logs APIs. Sul `resourceArn` campo, nel tagging APIs Nelle IAM politiche, quando si specificano le autorizzazioni per TagResource, e UntagResource. ListTagsForResource Utilizza la seconda versione, con la fine`:`, per fare riferimento a ARN quando si specificano le autorizzazioni nelle IAM politiche per tutte le altre azioni. API
Flusso di log	arn:aws:logs: :log-group ::log-stream: `region` `account-id` `log_group_name` `log-stream-name`
Destinazione	arn:aws:logs: `region` :destinazione: `account-id` `destination_name`

Gruppo di log

Si utilizzano entrambi i seguenti elementi. Il secondo, con la :* fine, è ciò che viene restituito dal describe-log-groups CLI comando e da. DescribeLogGroupsAPI

arn:aws:logs: ::log-group: region account-id log_group_name

arn:aws:logs: region account-id ::log-group:: * log_group_name

Usa la prima versione, senza la parte finale, nelle seguenti situazioni: :*

Nel campo logGroupIdentifier di immissione in molti CloudWatch Logs APIs.
Sul resourceArn campo, nel tagging APIs
Nelle IAM politiche, quando si specificano le autorizzazioni per TagResource, e UntagResource. ListTagsForResource

Utilizza la seconda versione, con la fine:*, per fare riferimento a ARN quando si specificano le autorizzazioni nelle IAM politiche per tutte le altre azioni. API

Flusso di log

arn:aws:logs: :log-group ::log-stream: region account-id log_group_name log-stream-name

Destinazione

arn:aws:logs: region :destinazione: account-id destination_name

Per ulteriori informazioni in merito, consulta la Guida per l'utente. ARNs ARNsIAM Per informazioni sui CloudWatch logARNs, consulta Amazon Resource Names (ARNs) in Riferimenti generali di Amazon Web Services. Per un esempio di politica che copre CloudWatch i log, consulta. Utilizzo di politiche (politiche) IAM basate sull'identità per i registri CloudWatch

CloudWatch Logs fornisce una serie di operazioni per lavorare con le risorse CloudWatch Logs. Per un elenco di operazioni disponibili, consulta la sezione CloudWatch Registra il riferimento alle autorizzazioni.

Informazioni sulla proprietà delle risorse

L' AWS account possiede le risorse create nell'account, indipendentemente da chi ha creato le risorse. In particolare, il proprietario della risorsa è l' AWS account dell'entità principale (ovvero l'account root, un utente o un IAM ruolo) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:

Se utilizzi le credenziali dell'account root del tuo AWS account per creare un gruppo di log, quest'ultimo è il AWS proprietario della CloudWatch risorsa Logs.
Se crei un utente nel tuo AWS account e concedi le autorizzazioni per creare risorse CloudWatch Logs a quell'utente, l'utente può creare risorse Logs. CloudWatch Tuttavia, l' AWS account a cui appartiene l'utente è proprietario delle risorse Logs. CloudWatch
Se crei un IAM ruolo nel tuo AWS account con le autorizzazioni per creare risorse CloudWatch Logs, chiunque possa assumere il ruolo può creare CloudWatch risorse Logs. Il tuo AWS account, a cui appartiene il ruolo, possiede le CloudWatch risorse Logs.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo IAM nel contesto dei CloudWatch registri. Non fornisce informazioni dettagliate sul servizio IAM. Per la IAM documentazione completa, consulta What is? IAM nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM politiche, vedere il riferimento alle IAM politiche nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (IAMpolitiche) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse. CloudWatch Logs supporta politiche basate sull'identità e politiche basate sulle risorse per le destinazioni, utilizzate per abilitare gli abbonamenti tra più account. Per ulteriori informazioni, consulta Abbonamenti tra più account e più regioni.

Argomenti

Autorizzazioni del gruppo di log e Contributor Insights
Policy basate su risorse

Autorizzazioni del gruppo di log e Contributor Insights

Contributor Insights è una funzionalità CloudWatch che consente di analizzare i dati dei gruppi di log e creare serie temporali che visualizzano i dati dei collaboratori. Puoi visualizzare i parametri relative ai primi N collaboratori, al numero totale di collaboratori univoci e al loro utilizzo. Per ulteriori informazioni, consulta Utilizzo di Contributor Insights per analizzare dati ad alta cardinalità.

Quando concedi a un utente le cloudwatch:GetInsightRuleReport autorizzazioni cloudwatch:PutInsightRule and, quell'utente può creare una regola che valuta qualsiasi gruppo di log in CloudWatch Logs e quindi visualizzare i risultati. I risultati possono contenere dati dei collaboratori per tali gruppi di log. Assicurarsi di concedere queste autorizzazioni solo a utenti che devono essere in grado di visualizzare questi dati.

Policy basate su risorse

CloudWatch Logs supporta politiche basate sulle risorse per le destinazioni, che puoi utilizzare per abilitare le sottoscrizioni tra account. Per ulteriori informazioni, consulta Passaggio 1: creazione di una destinazione. Le destinazioni possono essere create utilizzando PutDestinationAPI, ed è possibile aggiungere una politica delle risorse alla destinazione utilizzando. PutDestinationPolicyAPI L'esempio seguente consente a un altro AWS account con l'ID account 111122223333 di iscrivere i propri gruppi di log alla destinazione. arn:aws:logs:us-east-1:123456789012:destination:testDestination


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

Specifica degli elementi delle policy: operazioni, effetti e principali

Per ogni risorsa CloudWatch Logs, il servizio definisce una serie di operazioni. API Per concedere le autorizzazioni per queste API operazioni, CloudWatch Logs definisce una serie di azioni che è possibile specificare in una politica. Alcune API operazioni possono richiedere le autorizzazioni per più di un'azione per eseguire l'operazione. API Per ulteriori informazioni su risorse e API operazioni, vedere CloudWatch Registra risorse e operazioni eCloudWatch Registra il riferimento alle autorizzazioni.

Di seguito sono elencati gli elementi di base di una policy:

Risorsa: utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta CloudWatch Registra risorse e operazioni.
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'autorizzazione logs.DescribeLogGroups concede all'utente le autorizzazioni per eseguire l'operazione DescribeLogGroups.
Effetto: specifica l'effetto, ovvero l'autorizzazione o il rifiuto, quando l'utente richiede l'operazione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
Entità - nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è l'entità implicita. Per le politiche basate sulle risorse, specifichi l'utente, l'account, il servizio o l'altra entità a cui desideri ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). CloudWatch Logs supporta politiche basate sulle risorse per le destinazioni.

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle politiche, consulta IAM AWS IAMPolicy Reference nella Guida per l'utente. IAM

Per una tabella che mostra tutte le API azioni di CloudWatch Logs e le risorse a cui si applicano, vedere. CloudWatch Registra il riferimento alle autorizzazioni

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, vedere Condition nella Guida per l'IAMutente.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Per un elenco delle chiavi di contesto supportate da ciascun AWS servizio e un elenco delle chiavi di contesto a AWS livello di politica, consulta Azioni, risorse e chiavi di condizione per AWS i servizi e le chiavi di contesto delle condizioni AWS globali.

Nota

È possibile utilizzare i tag per controllare l'accesso alle risorse di CloudWatch Logs, inclusi i gruppi di log e le destinazioni. L'accesso ai flussi di log è controllato a livello di gruppo di log per via della relazione gerarchica tra i gruppi di log e i flussi di log. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle risorse, consulta Controllo dell'accesso alle risorse di Amazon Web Services utilizzando i tag.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dell'identità e degli accessi

Utilizzo di politiche (politiche) basate sull'identità IAM