Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Azioni, risorse e codici di condizione per Amazon CloudWatch Logs
Amazon CloudWatch Logs (prefisso del servizio:logs) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione. IAM
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle APIoperazioni disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le politiche di IAM autorizzazione.
Argomenti
Azioni definite da Amazon CloudWatch Logs
È possibile specificare le seguenti azioni nell'Actionelemento di una dichiarazione IAM politica. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una politica, in genere si consente o si nega l'accesso all'APIoperazione o al CLI comando con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, è possibile specificarne uno ARN di quel tipo in un'istruzione con tale azione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'Resourceelemento di una IAM policy, è necessario includere uno schema ARN o per ogni tipo di risorsa richiesto. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AssociateKmsKey | Concede l'autorizzazione ad associare la AWS chiave master del cliente Key Management Service (AWS KMS) specificata (CMK) al gruppo di log specificato | Scrittura | |||
| CancelExportTask | Concede l'autorizzazione ad annullare un'attività di esportazione se è attiva o in PENDING uno stato RUNNING | Scrittura | |||
| CreateDelivery | Concede l'autorizzazione per creare una consegna che collega un'origine di consegna a una destinazione di consegna | Scrittura | |||
| CreateExportTask | Concede l'autorizzazione a creare un file ExportTask che consente di esportare in modo efficiente i dati da un gruppo di log al bucket Amazon S3 | Scrittura | |||
| CreateLogAnomalyDetector | Concede l'autorizzazione per creare un rilevatore di anomalie di log | Scrittura | |||
| CreateLogDelivery [solo autorizzazione] | Concede l'autorizzazione per creare la consegna di log | Scrittura | |||
| CreateLogGroup | Concede l'autorizzazione per creare un nuovo gruppo di log con il nome specificato | Scrittura | |||
| CreateLogStream | Concede l'autorizzazione per creare un nuovo flusso di log con il nome specificato | Scrittura | |||
| DeleteAccountPolicy | Concede l'autorizzazione a eliminare una policy di protezione dati collegata a un account | Scrittura | |||
| DeleteDataProtectionPolicy | Concede l'autorizzazione per eliminare una policy di protezione dati collegata a un gruppo di log | Scrittura | |||
| DeleteDelivery | Concede l'autorizzazione per eliminare una consegna | Scrittura | |||
| DeleteDeliveryDestination | Concede l'autorizzazione per eliminare una destinazione di consegna dopo l'eliminazione di tutte le consegne associate | Scrittura | |||
| DeleteDeliveryDestinationPolicy | Concede l'autorizzazione per eliminare una policy sulla destinazione di consegna associata a una destinazione di consegna | Scrittura | |||
| DeleteDeliverySource | Concede l'autorizzazione per eliminare un'origine di consegna dopo l'eliminazione di tutte le consegne associate | Scrittura | |||
| DeleteDestination | Concede l'autorizzazione per eliminare la destinazione con il nome specificato | Scrittura | |||
| DeleteLogAnomalyDetector | Concede l'autorizzazione per eliminare un rilevatore di anomalie di log | Scrittura | |||
| DeleteLogDelivery [solo autorizzazione] | Concede l'autorizzazione per eliminare le informazioni di consegna dei log per la consegna dei log specificata | Scrittura | |||
| DeleteLogGroup | Concede l'autorizzazione per eliminare il gruppo di log con il nome specificato | Scrittura | |||
| DeleteLogStream | Concede l'autorizzazione per eliminare un flusso di log | Scrittura | |||
| DeleteMetricFilter | Concede l'autorizzazione per eliminare un filtro di parametri associato al gruppo di log specificato | Scrittura | |||
| DeleteQueryDefinition | Concede l'autorizzazione a eliminare una definizione di query salvata in Logs Insights CloudWatch | Scrittura | |||
| DeleteResourcePolicy | Concede l'autorizzazione per eliminare una policy delle risorse da questo account | Gestione delle autorizzazioni | |||
| DeleteRetentionPolicy | Concede l'autorizzazione per eliminare la policy di conservazione del gruppo di log specificato | Scrittura | |||
| DeleteSubscriptionFilter | Concede l'autorizzazione per eliminare un filtro di sottoscrizione associato al gruppo di log specificato | Scrittura | |||
| DescribeAccountPolicies | Concede l'autorizzazione a recuperare una policy di protezione dati collegata a un account | Elenco | |||
| DescribeConfigurationTemplates | Concede l'autorizzazione a recuperare un elenco di modelli di configurazione dei tipi di log disponibili | Elenco | |||
| DescribeDeliveries | Concede l'autorizzazione per recuperare un elenco di consegne in un account | Elenco | |||
| DescribeDeliveryDestinations | Concede l'autorizzazione per recuperare un elenco di destinazioni di consegna in un account | Elenco | |||
| DescribeDeliverySources | Concede l'autorizzazione per recuperare un elenco di origini di consegna in un account | Elenco | |||
| DescribeDestinations | Concede l'autorizzazione a restituire tutte le destinazioni associate alla Account AWS richiesta | Elenco | |||
| DescribeExportTasks | Concede l'autorizzazione a restituire tutte le attività di esportazione associate alla Account AWS richiesta | Elenco | |||
| DescribeLogGroups | Concede l'autorizzazione a restituire tutti i gruppi di log associati alla Account AWS richiesta | Elenco | |||
| DescribeLogStreams | Concede l'autorizzazione per restituire tutti i flussi di log associati al gruppo di log specificato | Elenco | |||
| DescribeMetricFilters | Concede l'autorizzazione per restituire tutti i filtri di parametri associati al gruppo di log specificato | Elenco | |||
| DescribeQueries | Concede l'autorizzazione a restituire un elenco di query di CloudWatch Logs Insights che sono pianificate, in esecuzione o che sono state eseguite di recente in questo account | Elenco | |||
| DescribeQueryDefinitions | Concede l'autorizzazione a restituire un elenco impaginato delle definizioni delle query di Logs Insights salvate CloudWatch | Elenco | |||
| DescribeResourcePolicies | Concede l'autorizzazione per restituire tutte le policy delle risorse in questo account | Elenco | |||
| DescribeSubscriptionFilters | Concede l'autorizzazione per restituire tutti i filtri di sottoscrizione associati al gruppo di log specificato | Elenco | |||
| DisassociateKmsKey | Concede l'autorizzazione a dissociare la AWS chiave master () del cliente () associata al Key Management Service (AWS KMS) dal gruppo di log specificato CMK | Scrittura | |||
| FilterLogEvents | Concede l'autorizzazione per richiamare gli eventi di log, eventualmente filtrati attraverso un modello di filtro, provenienti dal gruppo di log specificato | Lettura | |||
| GetDataProtectionPolicy | Concede l'autorizzazione per richiamare una policy di protezione dati collegata a un gruppo di log | Lettura | |||
| GetDelivery | Concede l'autorizzazione per recuperare una singola consegna | Lettura | |||
| GetDeliveryDestination | Concede l'autorizzazione per recuperare una destinazione di una singola consegna | Lettura | |||
| GetDeliveryDestinationPolicy | Concede l'autorizzazione per recuperare una policy sulla destinazione di consegna collegata a una destinazione di consegna | Lettura | |||
| GetDeliverySource | Concede l'autorizzazione per recuperare un'origine di una singola consegna | Lettura | |||
| GetLogAnomalyDetector | Concede l'autorizzazione per ottenere un rilevatore di anomalie di log | Lettura | |||
| GetLogDelivery [solo autorizzazione] | Concede l'autorizzazione per ottenere le informazioni di consegna dei log per la consegna dei log specificata | Lettura | |||
| GetLogEvents | Concede l'autorizzazione per richiamare gli eventi di log dal flusso di log specificato | Lettura | |||
| GetLogGroupFields | Concede l'autorizzazione per restituire un elenco di campi che sono inclusi negli eventi di log nel gruppo di log specificato, insieme alla percentuale di eventi di log che contiene ognuno dei campi | Lettura | |||
| GetLogRecord | Concede le autorizzazioni per richiamare tutti i campi e i valori di un singolo evento di log | Lettura | |||
| GetQueryResults | Concede l'autorizzazione per restituire i risultati della query specificata | Lettura | |||
| Link [solo autorizzazione] | Concede l'autorizzazione a condividere CloudWatch risorse con un account di monitoraggio | Scrittura | |||
| ListAnomalies | Concede l'autorizzazione a elencare tutte le anomalie rilevate durante la richiesta Account AWS | Elenco | |||
| ListLogAnomalyDetectors | Concede l'autorizzazione a restituire tutti i rilevatori di anomalie associati alla richiesta Account AWS | Elenco | |||
| ListLogDeliveries [solo autorizzazione] | Concede l'autorizzazione per elencare tutte le consegne dei log per l'account specificato e/o l'origine di log specificata | Elenco | |||
| ListTagsForResource | Concede l'autorizzazione per elencare i tag per la risorsa specificata | Elenco | |||
| ListTagsLogGroup | Concede l'autorizzazione per elencare i tag per il gruppo di log specificato | Elenco | |||
| PutAccountPolicy | Concede l'autorizzazione ad allegare una policy di protezione dati al livello di account per rilevare e redigere le informazioni sensibili dagli eventi di log | Scrittura | |||
| PutDataProtectionPolicy | Concede l'autorizzazione per allegare una policy di protezione dei dati per rilevare e redarre le informazioni sensibili dagli eventi di log | Scrittura | |||
| PutDeliveryDestination | Concede l'autorizzazione per creare/aggiornare una destinazione di consegna | Scrittura | |||
| PutDeliveryDestinationPolicy | Concede l'autorizzazione per collegare una policy sulla destinazione di consegna a una destinazione di consegna | Scrittura | |||
| PutDeliverySource | Concede l'autorizzazione per creare/aggiornare un'origine di consegna | Scrittura | |||
| PutDestination | Concede l'autorizzazione per creare o aggiornare una destinazione | Scrittura |
iam:PassRole |
||
| PutDestinationPolicy | Concede l'autorizzazione per creare o aggiornare una policy di accesso associata a una destinazione esistente | Scrittura | |||
| PutLogEvents | Concede l'autorizzazione per caricare un batch di eventi di log sul flusso di log specificato | Scrittura | |||
| PutMetricFilter | Concede l'autorizzazione per creare o aggiornare un filtro di parametri e lo associa al gruppo di log specificato | Scrittura | |||
| PutQueryDefinition | Concede l'autorizzazione per creare o aggiornare una definizione di query | Scrittura | |||
| PutResourcePolicy | Concede l'autorizzazione a creare o aggiornare una politica delle risorse che consenta ad altri AWS servizi di inserire eventi di registro in questo account | Gestione delle autorizzazioni | |||
| PutRetentionPolicy | Concede l'autorizzazione per impostare il periodo di conservazione del gruppo di log specificato | Scrittura | |||
| PutSubscriptionFilter | Concede l'autorizzazione per creare o aggiornare un filtro di sottoscrizione e lo associa al gruppo di log specificato | Scrittura |
iam:PassRole |
||
| StartLiveTail | Concede il permesso di avviare una sessione Live Tail in Logs CloudWatch | Lettura | |||
| StartQuery | Concede l'autorizzazione a pianificare un'interrogazione di un gruppo di log utilizzando Logs Insights CloudWatch | Lettura | |||
| StopLiveTail [solo autorizzazione] | Concede l'autorizzazione per arrestare una sessione Live Tail in corso | Lettura | |||
| StopQuery | Concede l'autorizzazione a interrompere una query di CloudWatch Logs Insights in corso | Lettura | |||
| TagLogGroup | Concede l'autorizzazione per aggiungere o aggiornare i tag specificati per il gruppo di log specificato | Assegnazione di tag | |||
| TagResource | Concede l'autorizzazione per aggiungere o aggiornare i tag specificati per la risorsa specificata | Assegnazione di tag | |||
| TestMetricFilter | Concede l'autorizzazione per eseguire un test del modello di filtro di un filtro di parametro su un campione di messaggi di eventi di log | Lettura | |||
| Unmask [solo autorizzazione] | Concede l'autorizzazione per recuperare gli eventi di log non mascherati che sono stati redatti con una policy di protezione dei dati | Lettura | |||
| UntagLogGroup | Concede l'autorizzazione per rimuovere i tag specificati dal gruppo di log specificato | Assegnazione di tag | |||
| UntagResource | Concede l'autorizzazione per rimuovere i tag specificati dalla risorsa specificata | Assegnazione di tag | |||
| UpdateAnomaly | Concede l'autorizzazione per aggiornare un'anomalia segnalata da un rilevatore di anomalie di log | Scrittura | |||
| UpdateDeliveryConfiguration | Concede l'autorizzazione ad aggiornare la configurazione relativa a una consegna | Scrittura | |||
| UpdateLogAnomalyDetector | Concede l'autorizzazione per aggiornare un rilevatore di anomalie di log | Scrittura | |||
| UpdateLogDelivery [solo autorizzazione] | Concede l'autorizzazione per aggiornare le informazioni di consegna dei log per la consegna dei log specificata | Scrittura |
Tipi di risorse definiti da Amazon CloudWatch Logs
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'Resourceelemento delle dichiarazioni sulla politica di IAM autorizzazione. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| log-group |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
|
|
| log-stream |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
|
|
| destination |
arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}
|
|
| delivery-source |
arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}
|
|
| delivery |
arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}
|
|
| delivery-destination |
arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}
|
|
| anomaly-detector |
arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}
|
Chiavi di condizione per Amazon CloudWatch Logs
Amazon CloudWatch Logs definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una IAM policy. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso per i tag passati nella richiesta | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso per i tag associati alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso tramite le chiavi di tag passate nella richiesta | ArrayOfString |
| logs:DeliveryDestinationResourceArn | Filtra l'accesso in base alla destinazione dei log ARN inserita nella richiesta | ARN |
| logs:LogGeneratingResourceArns | Filtra l'accesso da parte della Log Generating Resource ARNs passata nella richiesta | ArrayOfARN |
