Azioni, risorse e codici di condizione per Amazon CloudWatch Logs - Service Authorization Reference

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Azioni, risorse e codici di condizione per Amazon CloudWatch Logs

Amazon CloudWatch Logs (prefisso del servizio:logs) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione IAM.

Riferimenti:

Azioni definite da Amazon CloudWatch Logs

Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.

La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.

La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.

Nota

Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.

Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.

Operazioni Descrizione Livello di accesso Tipi di risorsa (*obbligatorio) Chiavi di condizione Operazioni dipendenti
AssociateKmsKey Concede l'autorizzazione ad associare la AWS chiave master (CMK) del cliente (CMK) specificata del AWS Key Management Service (KMS) al gruppo di log specificato Scrittura

log-group*

CancelExportTask Concede l'autorizzazione per annullare un'attività di esportazione se si trova nello stato IN SOSPESO o IN ESECUZIONE Scrittura
CreateDelivery Concede l'autorizzazione per creare una consegna che collega un'origine di consegna a una destinazione di consegna Scrittura

delivery*

delivery-destination*

delivery-source*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateExportTask Concede l'autorizzazione a creare un file ExportTask che ti consenta di esportare in modo efficiente i dati da un gruppo di log al tuo bucket Amazon S3 Scrittura

log-group*

CreateLogAnomalyDetector Concede l'autorizzazione per creare un rilevatore di anomalie di log Scrittura

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLogDelivery [solo autorizzazione] Concede l'autorizzazione per creare la consegna di log Scrittura
CreateLogGroup Concede l'autorizzazione per creare un nuovo gruppo di log con il nome specificato Scrittura

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLogStream Concede l'autorizzazione per creare un nuovo flusso di log con il nome specificato Scrittura

log-stream*

DeleteAccountPolicy Concede l'autorizzazione a eliminare una politica dell'account Scrittura
DeleteDataProtectionPolicy Concede l'autorizzazione per eliminare una policy di protezione dati collegata a un gruppo di log Scrittura

log-group*

DeleteDelivery Concede l'autorizzazione per eliminare una consegna Scrittura

delivery*

DeleteDeliveryDestination Concede l'autorizzazione per eliminare una destinazione di consegna dopo l'eliminazione di tutte le consegne associate Scrittura

delivery-destination*

DeleteDeliveryDestinationPolicy Concede l'autorizzazione per eliminare una policy sulla destinazione di consegna associata a una destinazione di consegna Scrittura

delivery-destination*

DeleteDeliverySource Concede l'autorizzazione per eliminare un'origine di consegna dopo l'eliminazione di tutte le consegne associate Scrittura

delivery-destination*

DeleteDestination Concede l'autorizzazione per eliminare la destinazione con il nome specificato Scrittura

destination*

DeleteIndexPolicy Concede l'autorizzazione a eliminare una politica di indicizzazione allegata a un gruppo di log Scrittura
DeleteIntegration Concede l'autorizzazione per eliminare l'integrazione Scrittura
DeleteLogAnomalyDetector Concede l'autorizzazione per eliminare un rilevatore di anomalie di log Scrittura

anomaly-detector*

DeleteLogDelivery [solo autorizzazione] Concede l'autorizzazione per eliminare le informazioni di consegna dei log per la consegna dei log specificata Scrittura
DeleteLogGroup Concede l'autorizzazione per eliminare il gruppo di log con il nome specificato Scrittura

log-group*

DeleteLogStream Concede l'autorizzazione per eliminare un flusso di log Scrittura

log-stream*

DeleteMetricFilter Concede l'autorizzazione per eliminare un filtro di parametri associato al gruppo di log specificato Scrittura

log-group*

DeleteQueryDefinition Concede l'autorizzazione a eliminare una definizione di query di CloudWatch Logs Insights salvata Scrittura
DeleteResourcePolicy Concede l'autorizzazione per eliminare una policy delle risorse da questo account Gestione delle autorizzazioni
DeleteRetentionPolicy Concede l'autorizzazione per eliminare la policy di conservazione del gruppo di log specificato Scrittura

log-group*

DeleteSubscriptionFilter Concede l'autorizzazione per eliminare un filtro di sottoscrizione associato al gruppo di log specificato Scrittura

log-group*

DeleteTransformer Concede l'autorizzazione a eliminare un trasformatore associato al gruppo di log specificato Scrittura

log-group*

DescribeAccountPolicies Concede l'autorizzazione a recuperare le politiche dell'account Elenco
DescribeConfigurationTemplates Concede l'autorizzazione a recuperare un elenco di modelli di configurazione dei tipi di log disponibili Elenco
DescribeDeliveries Concede l'autorizzazione per recuperare un elenco di consegne in un account Elenco
DescribeDeliveryDestinations Concede l'autorizzazione per recuperare un elenco di destinazioni di consegna in un account Elenco
DescribeDeliverySources Concede l'autorizzazione per recuperare un elenco di origini di consegna in un account Elenco
DescribeDestinations Concede l'autorizzazione a restituire tutte le destinazioni associate alla Account AWS richiesta Elenco
DescribeExportTasks Concede l'autorizzazione a restituire tutte le attività di esportazione associate alla Account AWS richiesta Elenco
DescribeFieldIndexes Concede l'autorizzazione a restituire tutti gli attributi di indicizzazione allegati ai gruppi di log Elenco
DescribeIndexPolicies Concede l'autorizzazione a restituire tutte le politiche di indicizzazione allegate ai gruppi di log Elenco
DescribeLogGroups Concede l'autorizzazione a restituire tutti i gruppi di log associati alla Account AWS richiesta Elenco
DescribeLogStreams Concede l'autorizzazione per restituire tutti i flussi di log associati al gruppo di log specificato Elenco

log-group*

DescribeMetricFilters Concede l'autorizzazione per restituire tutti i filtri di parametri associati al gruppo di log specificato Elenco

log-group*

DescribeQueries Concede l'autorizzazione a restituire un elenco di query di CloudWatch Logs Insights che sono pianificate, in esecuzione o che sono state eseguite di recente in questo account Elenco
DescribeQueryDefinitions Concede l'autorizzazione a restituire un elenco impaginato delle definizioni delle query di Logs Insights salvate CloudWatch Elenco
DescribeResourcePolicies Concede l'autorizzazione per restituire tutte le policy delle risorse in questo account Elenco
DescribeSubscriptionFilters Concede l'autorizzazione per restituire tutti i filtri di sottoscrizione associati al gruppo di log specificato Elenco

log-group*

DisassociateKmsKey Concede l'autorizzazione a dissociare la AWS chiave master del cliente (CMK) associata del AWS Key Management Service (KMS) dal gruppo di log specificato Scrittura

log-group*

FilterLogEvents Concede l'autorizzazione per richiamare gli eventi di log, eventualmente filtrati attraverso un modello di filtro, provenienti dal gruppo di log specificato Lettura

log-group*

GetDataProtectionPolicy Concede l'autorizzazione per richiamare una policy di protezione dati collegata a un gruppo di log Lettura

log-group*

GetDelivery Concede l'autorizzazione per recuperare una singola consegna Lettura

delivery*

GetDeliveryDestination Concede l'autorizzazione per recuperare una destinazione di una singola consegna Lettura

delivery-destination*

GetDeliveryDestinationPolicy Concede l'autorizzazione per recuperare una policy sulla destinazione di consegna collegata a una destinazione di consegna Lettura

delivery-destination*

GetDeliverySource Concede l'autorizzazione per recuperare un'origine di una singola consegna Lettura

delivery-source*

GetIntegration Concede l'autorizzazione a recuperare una singola integrazione Lettura
GetLogAnomalyDetector Concede l'autorizzazione per ottenere un rilevatore di anomalie di log Lettura

anomaly-detector*

GetLogDelivery [solo autorizzazione] Concede l'autorizzazione per ottenere le informazioni di consegna dei log per la consegna dei log specificata Lettura
GetLogEvents Concede l'autorizzazione per richiamare gli eventi di log dal flusso di log specificato Lettura

log-stream*

GetLogGroupFields Concede l'autorizzazione per restituire un elenco di campi che sono inclusi negli eventi di log nel gruppo di log specificato, insieme alla percentuale di eventi di log che contiene ognuno dei campi Lettura

log-group*

GetLogRecord Concede le autorizzazioni per richiamare tutti i campi e i valori di un singolo evento di log Lettura

log-group*

GetQueryResults Concede l'autorizzazione per restituire i risultati della query specificata Lettura

log-group*

GetTransformer Concede l'autorizzazione a restituire il trasformatore associato al gruppo di log specificato Lettura

log-group*

Concede l'autorizzazione a condividere CloudWatch risorse con un account di monitoraggio Scrittura
ListAnomalies Concede l'autorizzazione a elencare tutte le anomalie rilevate durante la richiesta Account AWS Elenco

anomaly-detector

ListEntitiesForLogGroup [solo autorizzazione] Concede il permesso di recuperare tutte le entità associate al gruppo di log Elenco
ListIntegrations Concede l'autorizzazione a elencare tutte le integrazioni associate alla richiesta Account AWS Elenco
ListLogAnomalyDetectors Concede l'autorizzazione a restituire tutti i rilevatori di anomalie associati alla richiesta Account AWS Elenco

anomaly-detector

ListLogDeliveries [solo autorizzazione] Concede l'autorizzazione per elencare tutte le consegne dei log per l'account specificato e/o l'origine di log specificata Elenco
ListLogGroupsForEntity [solo autorizzazione] Concede l'autorizzazione a recuperare tutti i gruppi di log associati all'entità Elenco
ListLogGroupsForQuery Concede l'autorizzazione a restituire tutti i gruppi di log associati alla query specificata Elenco
ListTagsForResource Concede l'autorizzazione per elencare i tag per la risorsa specificata Elenco

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

ListTagsLogGroup Concede l'autorizzazione per elencare i tag per il gruppo di log specificato Elenco

log-group*

PutAccountPolicy Concede l'autorizzazione ad allegare una politica dell'account Scrittura
PutDataProtectionPolicy Concede l'autorizzazione per allegare una policy di protezione dei dati per rilevare e redarre le informazioni sensibili dagli eventi di log Scrittura

log-group*

PutDeliveryDestination Concede l'autorizzazione per creare/aggiornare una destinazione di consegna Scrittura

delivery-destination*

aws:TagKeys

aws:RequestTag/${TagKey}

logs:DeliveryDestinationResourceArn

PutDeliveryDestinationPolicy Concede l'autorizzazione per collegare una policy sulla destinazione di consegna a una destinazione di consegna Scrittura

delivery-destination*

PutDeliverySource Concede l'autorizzazione per creare/aggiornare un'origine di consegna Scrittura

delivery-source*

aws:TagKeys

aws:RequestTag/${TagKey}

logs:LogGeneratingResourceArns

PutDestination Concede l'autorizzazione per creare o aggiornare una destinazione Scrittura

destination*

iam:PassRole

aws:TagKeys

aws:RequestTag/${TagKey}

PutDestinationPolicy Concede l'autorizzazione per creare o aggiornare una policy di accesso associata a una destinazione esistente Scrittura

destination*

PutIndexPolicy Concede l'autorizzazione ad allegare una politica di indicizzazione a livello di gruppo di log per ottimizzare la ricerca e le interrogazioni Scrittura
PutIntegration Concede l'autorizzazione a creare integrazione tra cloudwatch logs e opensearch Scrittura
PutLogEvents Concede l'autorizzazione per caricare un batch di eventi di log sul flusso di log specificato Scrittura

log-stream*

PutMetricFilter Concede l'autorizzazione per creare o aggiornare un filtro di parametri e lo associa al gruppo di log specificato Scrittura

log-group*

PutQueryDefinition Concede l'autorizzazione per creare o aggiornare una definizione di query Scrittura
PutResourcePolicy Concede l'autorizzazione a creare o aggiornare una politica sulle risorse che consente ad altri AWS servizi di inserire eventi di registro su questo account Gestione delle autorizzazioni
PutRetentionPolicy Concede l'autorizzazione per impostare il periodo di conservazione del gruppo di log specificato Scrittura

log-group*

PutSubscriptionFilter Concede l'autorizzazione per creare o aggiornare un filtro di sottoscrizione e lo associa al gruppo di log specificato Scrittura

log-group*

iam:PassRole

destination

PutTransformer Concede l'autorizzazione a creare o aggiornare un trasformatore e lo associa al gruppo di log specificato Scrittura

log-group*

StartLiveTail Concede il permesso di avviare una sessione Live Tail in Logs CloudWatch Lettura

log-group*

StartQuery Concede l'autorizzazione a pianificare un'interrogazione di un gruppo di log utilizzando Logs Insights CloudWatch Lettura

log-group*

StopLiveTail [solo autorizzazione] Concede l'autorizzazione per arrestare una sessione Live Tail in corso Lettura
StopQuery Concede l'autorizzazione a interrompere una query di CloudWatch Logs Insights in corso Lettura
TagLogGroup Concede l'autorizzazione per aggiungere o aggiornare i tag specificati per il gruppo di log specificato Assegnazione di tag

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

TagResource Concede l'autorizzazione per aggiungere o aggiornare i tag specificati per la risorsa specificata Assegnazione di tag

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

aws:TagKeys

aws:RequestTag/${TagKey}

TestMetricFilter Concede l'autorizzazione per eseguire un test del modello di filtro di un filtro di parametro su un campione di messaggi di eventi di log Lettura
TestTransformer Concede l'autorizzazione a testare il trasformatore rispetto a un campione di messaggi di eventi di registro Lettura
Unmask [solo autorizzazione] Concede l'autorizzazione per recuperare gli eventi di log non mascherati che sono stati redatti con una policy di protezione dei dati Lettura

log-group*

UntagLogGroup Concede l'autorizzazione per rimuovere i tag specificati dal gruppo di log specificato Assegnazione di tag

log-group*

aws:TagKeys

UntagResource Concede l'autorizzazione per rimuovere i tag specificati dalla risorsa specificata Assegnazione di tag

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

aws:TagKeys

UpdateAnomaly Concede l'autorizzazione per aggiornare un'anomalia segnalata da un rilevatore di anomalie di log Scrittura

anomaly-detector*

UpdateDeliveryConfiguration Concede l'autorizzazione ad aggiornare la configurazione relativa a una consegna Scrittura

delivery*

delivery-destination*

delivery-source*

aws:TagKeys

aws:RequestTag/${TagKey}

UpdateLogAnomalyDetector Concede l'autorizzazione per aggiornare un rilevatore di anomalie di log Scrittura

anomaly-detector*

UpdateLogDelivery [solo autorizzazione] Concede l'autorizzazione per aggiornare le informazioni di consegna dei log per la consegna dei log specificata Scrittura

Tipi di risorse definiti da Amazon CloudWatch Logs

I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.

Tipi di risorsa ARN Chiavi di condizione
log-group arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}

aws:ResourceTag/${TagKey}

log-stream arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}

aws:ResourceTag/${TagKey}

destination arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}

aws:ResourceTag/${TagKey}

delivery-source arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}

aws:ResourceTag/${TagKey}

delivery arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}

aws:ResourceTag/${TagKey}

delivery-destination arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}

aws:ResourceTag/${TagKey}

anomaly-detector arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}

aws:ResourceTag/${TagKey}

Chiavi di condizione per Amazon CloudWatch Logs

Amazon CloudWatch Logs definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.

Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.

Chiavi di condizione Descrizione Tipo
aws:RequestTag/${TagKey} Filtra l'accesso per i tag passati nella richiesta Stringa
aws:ResourceTag/${TagKey} Filtra l'accesso per i tag associati alla risorsa Stringa
aws:TagKeys Filtra l'accesso tramite le chiavi di tag passate nella richiesta ArrayOfString
logs:DeliveryDestinationResourceArn Filtra l'accesso in base all'ARN di destinazione del log passato nella richiesta ARN
logs:LogGeneratingResourceArns Filtra l'accesso da parte della Log Generating Resource ARNs passata nella richiesta ArrayOfARN