Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Claves de condición, recursos y acciones de Amazon CloudWatch Logs
Amazon CloudWatch Logs (prefijo de servicio:logs) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon CloudWatch Logs
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Nivel de acceso de la tabla Acciones describe cómo se clasifica la acción (lista, lectura, administración de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte Niveles de acceso en los resúmenes de políticas.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
La columna Acciones dependientes de la tabla Acciones muestra los permisos adicionales que pueden ser necesarios para llamar a una acción correctamente. Es posible que estos permisos sean necesarios además del permiso para la acción en sí. Cuando una acción especifica acciones dependientes, esas dependencias pueden aplicarse a los recursos adicionales definidos para esa acción, no solo al primer recurso de la tabla.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AssociateKmsKey | Otorga permiso para asociar la AWS clave maestra del cliente (CMK) del Servicio de administración de claves (AWS KMS) especificada al grupo de registros especificado | Escritura | |||
| AssociateSourceToS3TableIntegration | Otorga permiso para asociar una fuente de registro a una integración de S3 Tables | Escritura | |||
| CancelExportTask | Otorga permiso para cancelar una tarea de exportación si se encuentra en estado PENDING (Pendiente) o RUNNING (En ejecución) | Escritura | |||
| CancelImportTask | Otorga permiso para cancelar una importación de CloudTrail Lake a CloudWatch | Escritura | |||
| CreateDelivery | Concede permiso para crear una entrega que conecte una fuente de entrega a un destino de entrega | Escritura | |||
| CreateExportTask | Otorga permiso para crear un ExportTask que le permite exportar datos de manera eficiente desde un grupo de registros a su bucket de Amazon S3 | Escritura | |||
| CreateImportTask | Otorga permiso para iniciar un proceso asíncrono de importación de datos de un almacén de datos de eventos de CloudTrail Lake a un grupo de registros administrado en CloudWatch | Escritura | |||
| CreateLogAnomalyDetector | Otorga permiso para crear un detector de anomalías de registro | Escritura | |||
| CreateLogDelivery [solo permiso] | Otorga permiso para crear la entrega de registros | Escritura | |||
| CreateLogGroup | Otorga permiso para crear un nuevo grupo de registro con el nombre especificado | Escritura | |||
| CreateLogStream | Otorga permiso para crear un nuevo flujo de registro con el nombre especificado | Escritura | |||
| CreateScheduledQuery | Otorga permiso para crear una consulta programada | Escritura | |||
| DeleteAccountPolicy | Concede permiso para eliminar una política de cuenta. | Escritura | |||
| DeleteDataProtectionPolicy | Otorga permiso para eliminar una política de protección de datos adjunta a un grupo de registro | Escritura | |||
| DeleteDelivery | Concede permiso para eliminar una entrega | Escritura | |||
| DeleteDeliveryDestination | Concede permiso para eliminar un destino de entrega una vez que se eliminen todas las entregas asociadas | Escritura | |||
| DeleteDeliveryDestinationPolicy | Concede permiso para eliminar una política de destino de entrega asociada a un destino de entrega | Escritura | |||
| DeleteDeliverySource | Concede permiso para eliminar un origen de entrega una vez que se eliminen todos los envíos asociados | Escritura | |||
| DeleteDestination | Otorga permiso para eliminar el destino con el nombre especificado | Escritura | |||
| DeleteIndexPolicy | Concede permiso para eliminar una política de indexación adjunta a un grupo de registro. | Escritura | |||
| DeleteIntegration | Concede permiso para eliminar la integración. | Escritura | |||
| DeleteLogAnomalyDetector | Otorga permiso para eliminar un detector de anomalías de registro | Escritura | |||
| DeleteLogDelivery [solo permiso] | Otorga permiso para eliminar la información de entrega de registros de la entrega de registros especificada | Escritura | |||
| DeleteLogGroup | Otorga permiso para eliminar el grupo de registro con el nombre especificado | Escritura | |||
| DeleteLogStream | Otorga permiso para eliminar un flujo de registro | Escritura | |||
| DeleteMetricFilter | Otorga permiso para eliminar un filtro de métricas asociado al grupo de registro especificado | Escritura | |||
| DeletePipelineRule [solo permiso] | Otorga permiso para eliminar la canalización de telemetría | Escritura | |||
| DeleteQueryDefinition | Otorga permiso para eliminar una definición de consulta de CloudWatch Logs Insights guardada | Escritura | |||
| DeleteResourcePolicy | Otorga permiso para eliminar una política de recursos de esta cuenta | Administración de permisos | |||
| DeleteRetentionPolicy | Otorga permiso para eliminar la política de retención del grupo de registro especificado | Escritura | |||
| DeleteScheduledQuery | Otorga permiso para eliminar una consulta programada | Escritura | |||
| DeleteSubscriptionFilter | Otorga permiso para eliminar un filtro de suscripción asociado al grupo de registro especificado | Escritura | |||
| DeleteTransformer | Concede permiso para eliminar un transformador asociado al grupo de registro especificado. | Escritura | |||
| DescribeAccountPolicies | Concede permiso para recuperar las políticas de la cuenta. | Enumeración | |||
| DescribeConfigurationTemplates | Concede permiso para recuperar una lista de plantillas de configuración de los tipos de registro disponibles | Enumeración | |||
| DescribeDeliveries | Concede permiso para recuperar una lista de entregas de una cuenta | Enumeración | |||
| DescribeDeliveryDestinations | Concede permisos para recuperar una lista de destinos de entrega dentro de una cuenta | Enumeración | |||
| DescribeDeliverySources | Concede permiso para recuperar una lista de origen de entrega en una cuenta | Enumeración | |||
| DescribeDestinations | Otorga permiso para devolver todos los destinos asociados a la Cuenta de AWS realización de la solicitud | Enumeración | |||
| DescribeExportTasks | Otorga permiso para devolver todas las tareas de exportación asociadas a la Cuenta de AWS realización de la solicitud | Enumeración | |||
| DescribeFieldIndexes | Concede permiso para devolver todos los atributos de indexación que están asociados a los grupos de registro. | Enumeración | |||
| DescribeImportTaskBatches | Otorga permiso para devolver información detallada sobre los lotes individuales de una tarea de importación, incluido el estado y cualquier error | Enumeración | |||
| DescribeImportTasks | Otorga permiso para devolver todas las tareas de importación asociadas a la Cuenta de AWS realización de la solicitud | Enumeración | |||
| DescribeIndexPolicies | Concede permiso para devolver todas las políticas de indexación que están asociadas a los grupos de registro. | Enumeración | |||
| DescribeLogGroups | Otorga permiso para devolver todos los grupos de registros asociados a la Cuenta de AWS realización de la solicitud | Enumeración | |||
| DescribeLogStreams | Otorga permiso para devolver todos los flujos de registro que están asociados al grupo de registro especificado | Enumeración | |||
| DescribeMetricFilters | Otorga permiso para devolver todos los filtros de métricas asociados al grupo de registro especificado | Enumeración | |||
| DescribeQueries | Otorga permiso para devolver una lista de las consultas de CloudWatch Logs Insights que están programadas, en ejecución o que se han ejecutado recientemente en esta cuenta | Enumeración | |||
| DescribeQueryDefinitions | Otorga permiso para devolver una lista paginada de las definiciones de consultas de CloudWatch Logs Insights guardadas | Enumeración | |||
| DescribeResourcePolicies | Otorga permiso para devolver todas las políticas de recursos en esta cuenta | Enumeración | |||
| DescribeSubscriptionFilters | Otorga permiso para devolver todos los filtros de suscripción asociados al grupo de registro especificado | Enumeración | |||
| DisassociateKmsKey | Otorga permiso para desasociar la AWS clave maestra del cliente (CMK) del Servicio de administración de claves (AWS KMS) asociada del grupo de registros especificado | Escritura | |||
| DisassociateSourceFromS3TableIntegration | Otorga permiso para desasociar una fuente de registro de una integración de S3 Tables | Escritura | |||
| FilterLogEvents | Otorga permiso para recuperar los eventos de registro, que se filtran de forma opcional por un patrón de filtro del grupo de registro especificado | Lectura | |||
| GetDataProtectionPolicy | Otorga permiso para recuperar una política de protección de datos adjunta a un grupo de registro | Lectura | |||
| GetDelivery | Concede permiso para recuperar una entrega única | Lectura | |||
| GetDeliveryDestination | Concede permiso para recuperar un único destino de entrega | Lectura | |||
| GetDeliveryDestinationPolicy | Concede permiso para recuperar una política de destino de entrega adjunta a un destino de entrega | Lectura | |||
| GetDeliverySource | Concede permiso para recuperar un origen de entrega única | Lectura | |||
| GetIntegration | Concede permiso para recuperar una integración única. | Lectura | |||
| GetLogAnomalyDetector | Otorga permiso para obtener una lista de detectores de anomalías de registro | Lectura | |||
| GetLogDelivery [solo permiso] | Otorga permiso para obtener la información de entrega de registros de la entrega de registros especificada | Lectura | |||
| GetLogEvents | Otorga permiso para recuperar los eventos de registro del flujo de registro especificado | Lectura | |||
| GetLogFields | Otorga permiso para recuperar una lista de campos de registro para una fuente de datos | Lectura | |||
| GetLogGroupFields | Otorga permiso para devolver una lista de los campos que se incluyen en los eventos de registro en el grupo de registro especificado, junto con el porcentaje de eventos de registro que contiene cada campo | Lectura | |||
| GetLogRecord | Otorga permiso para recuperar todos los campos y valores de un único evento de registro | Lectura | |||
| GetQueryResults | Otorga permiso para devolver los resultados de la consulta especificada | Lectura | |||
| GetScheduledQuery | Otorga permiso para recuperar información sobre una consulta programada específica | Lectura | |||
| GetScheduledQueryHistory | Otorga permiso para devolver el historial de ejecución de una consulta programada especificada | Lectura | |||
| GetTransformer | Concede permiso para devolver un transformador asociado al grupo de registro especificado. | Lectura | |||
| IntegrateWithS3Table [solo permiso] | Otorga permiso para entregar los eventos de registro a las tablas de S3 | Escritura | |||
| Link [solo permiso] | Otorga permiso para compartir CloudWatch recursos con una cuenta de monitoreo | Escritura | |||
| ListAggregateLogGroupSummaries | Otorga permiso para devolver un resumen agregado de todos los grupos de registros de la región agrupados según las características específicas de la fuente de datos | Enumeración | |||
| ListAnomalies | Otorga permiso para enumerar todas las anomalías detectadas al realizar la solicitud Cuenta de AWS | Enumeración | |||
| ListEntitiesForLogGroup [solo permiso] | Concede permiso para recuperar todas las entidades asociadas al grupo de registro. | Enumeración | |||
| ListIntegrations | Otorga permiso para enumerar todas las integraciones asociadas a la presentación de la solicitud Cuenta de AWS | Enumeración | |||
| ListLogAnomalyDetectors | Otorga permiso para devolver todos los detectores de anomalías asociados a la Cuenta de AWS solicitud | Enumeración | |||
| ListLogDeliveries [solo permiso] | Otorga permiso para enumerar todas las entregas de registros de una fuente de and/or registro de cuentas específica | Enumeración | |||
| ListLogGroups | Otorga permiso para devolver todos los grupos de registros asociados Cuenta de AWS a la solicitud | Enumeración | |||
| ListLogGroupsForEntity [solo permiso] | Concede permiso para recuperar todos los grupos de registro asociados con la entidad. | Enumeración | |||
| ListLogGroupsForQuery | Concede permiso para devolver todos los grupos de registro asociados con la consulta especificada. | Enumeración | |||
| ListScheduledQueries | Otorga permiso para devolver todas las consultas programadas asociadas a la Cuenta de AWS realización de la solicitud | Enumeración | |||
| ListSourcesForS3TableIntegration | Otorga permiso para devolver todas las fuentes de registro asociadas a una integración de S3 Tables | Enumeración | |||
| ListTagsForResource | Otorga permiso para enumerar las etiquetas del recurso especificado | Enumeración | |||
| ListTagsLogGroup | Otorga permiso para enumerar las etiquetas para el grupo de registro especificado | Enumeración | |||
| ProcessWithPipeline [solo permiso] | Otorga permiso para procesar y transformar los eventos de registro mediante transformadores de canalización antes del almacenamiento | Escritura | |||
| PutAccountPolicy | Concede permiso para adjuntar una política de cuenta. | Escritura | |||
| PutDataProtectionPolicy | Otorga permiso para adjuntar una política de protección de datos para detectar y eliminar información confidencial de los eventos de registro | Escritura | |||
| PutDeliveryDestination | Otorga permiso a create/update un destino de entrega | Escritura | |||
| PutDeliveryDestinationPolicy | Concede permiso para adjuntar una política de destino de entrega a un destino de entrega | Escritura | |||
| PutDeliverySource | Otorga permiso a create/update una fuente de entrega | Escritura | |||
| PutDestination | Otorga permiso para crear o actualizar un destino | Escritura |
iam:PassRole |
||
| PutDestinationPolicy | Otorga permiso para crear o actualizar una política de acceso asociada a un destino existente | Escritura | |||
| PutIndexPolicy | Concede permiso para adjuntar una política de indexación a nivel de grupo de registro y optimizar la búsqueda y las consultas. | Escritura | |||
| PutIntegration | Concede permiso para crear una integración entre los registros de CloudWatch y OpenSearch. | Escritura | |||
| PutLogEvents | Otorga permiso para cargar un lote de eventos de registro en el flujo de registro especificado | Escritura | |||
| PutLogGroupDeletionProtection | Otorga permiso para habilitar o deshabilitar la protección contra la eliminación para el grupo de registros especificado | Escritura | |||
| PutMetricFilter | Otorga permiso para crear o actualizar un filtro de métricas y lo asocia al grupo de registro especificado | Escritura | |||
| PutPipelineRule [solo permiso] | Otorga permiso para crear una canalización de telemetría | Escritura | |||
| PutQueryDefinition | Otorga permiso para crear o actualizar una definición de consulta | Escritura | |||
| PutResourcePolicy | Otorga permiso para crear o actualizar una política de recursos que permita a otros AWS servicios colocar los eventos de registro en esta cuenta | Administración de permisos | |||
| PutRetentionPolicy | Otorga permiso para configurar la retención del grupo de registro especificado | Escritura | |||
| PutSubscriptionFilter | Otorga permiso para crear o actualizar un filtro de suscripciones y lo asocia al grupo de registro especificado | Escritura |
iam:PassRole |
||
| PutTransformer | Concede permiso para crear o actualizar un transformador y asociarlo al grupo de registro especificado. | Escritura | |||
| StartLiveTail | Otorga permiso para iniciar una sesión de Live Tail en CloudWatch Logs | Lectura | |||
| StartQuery | Otorga permiso para programar una consulta de un grupo de CloudWatch registros mediante Logs Insights | Lectura | |||
| StopLiveTail [solo permiso] | Concede permiso para detener una sesión de Live Tail que está en curso | Lectura | |||
| StopQuery | Otorga permiso para detener una consulta de CloudWatch Logs Insights que está en curso | Lectura | |||
| TagLogGroup | Otorga permiso para agregar o actualizar las etiquetas especificadas del grupo de registro especificado | Etiquetado | |||
| TagResource | Otorga permiso para agregar o actualizar las etiquetas especificadas para el recurso especificado | Etiquetado | |||
| TestMetricFilter | Otorga permiso para probar el patrón de filtro de un filtro de métricas y compararlo con una muestra de los mensajes de eventos de registro | Lectura | |||
| TestTransformer | Concede permiso para probar el transformador y compararlo con una muestra de los mensajes de evento de registro. | Lectura | |||
| Unmask [solo permiso] | Otorga permiso para recuperar eventos de registro desenmascarados que se han eliminado con una política de protección de datos | Lectura | |||
| UntagLogGroup | Otorga permiso para quitar las etiquetas especificadas del grupo de registro especificado | Etiquetado | |||
| UntagResource | Otorga permiso para quitar las etiquetas especificadas de los recursos especificados | Etiquetado | |||
| UpdateAnomaly | Otorga permiso para actualizar una anomalía informada por un detector de anomalías de registro | Escritura | |||
| UpdateDeliveryConfiguration | Concede permiso para actualizar la configuración relacionada con una entrega | Escritura | |||
| UpdateLogAnomalyDetector | Otorga permiso para actualizar un detector de anomalías de registro | Escritura | |||
| UpdateLogDelivery [solo permiso] | Otorga permiso para actualizar la información de entrega de registros de la entrega de registros especificada | Escritura | |||
| UpdateScheduledQuery | Otorga permiso para actualizar una consulta programada | Escritura |
Tipos de recursos definidos por Amazon CloudWatch Logs
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| log-group |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
|
|
| log-stream |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
|
|
| destination |
arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}
|
|
| delivery-source |
arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}
|
|
| delivery |
arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}
|
|
| delivery-destination |
arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}
|
|
| anomaly-detector |
arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}
|
|
| scheduled-query |
arn:${Partition}:logs:${Region}:${Account}:scheduled-query:${ScheduledQueryId}
|
Claves de condición de Amazon CloudWatch Logs
Amazon CloudWatch Logs define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte AWS Claves de contexto de condición globales.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso por las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por las etiquetas asociadas al recurso | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
| logs:DeliveryDestinationResourceArn | Filtra el acceso por el ARN de destino del registro que se incluye en la solicitud | ARN |
| logs:LogGeneratingResourceArns | Filtra el acceso por el recurso generador de registros ARNs introducido en la solicitud | ArrayOfARN |
