Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Azioni, risorse e codici di condizione per Amazon CloudWatch Logs
Amazon CloudWatch Logs (prefisso del servizio:logs) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione IAM.
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle operazioni API disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni IAM.
Argomenti
Azioni definite da Amazon CloudWatch Logs
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Livello di accesso della tabella Azioni descrive come viene classificata l'azione (elenco, lettura, gestione delle autorizzazioni o etichettatura). Questa classificazione può aiutare a comprendere il livello di accesso che un'operazione mette a disposizione quando viene utilizzata in una policy. Per ulteriori informazioni sui livelli di accesso, vedere Livelli di accesso nei riepiloghi delle politiche.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
La colonna Azioni dipendenti della tabella Azioni mostra le autorizzazioni aggiuntive che possono essere necessarie per eseguire correttamente un'azione. Queste autorizzazioni possono essere necessarie in aggiunta all'autorizzazione per l'azione stessa. Quando un'azione specifica azioni dipendenti, tali dipendenze possono applicarsi a risorse aggiuntive definite per quell'azione, non solo alla prima risorsa elencata nella tabella.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AssociateKmsKey | Concede l'autorizzazione ad associare la AWS chiave master del cliente (CMK) specificata del AWS Key Management Service (KMS) al gruppo di log specificato | Scrittura | |||
| AssociateSourceToS3TableIntegration | Concede l'autorizzazione ad associare una fonte di log a un'integrazione con S3 Tables | Scrittura | |||
| CancelExportTask | Concede l'autorizzazione per annullare un'attività di esportazione se si trova nello stato IN SOSPESO o IN ESECUZIONE | Scrittura | |||
| CancelImportTask | Concede l'autorizzazione ad annullare un'importazione da Lake a CloudTrail CloudWatch | Scrittura | |||
| CreateDelivery | Concede l'autorizzazione per creare una consegna che collega un'origine di consegna a una destinazione di consegna | Scrittura | |||
| CreateExportTask | Concede l'autorizzazione a creare un file ExportTask che consente di esportare in modo efficiente i dati da un gruppo di log al bucket Amazon S3 | Scrittura | |||
| CreateImportTask | Concede l'autorizzazione ad avviare un processo asincrono per importare dati da un data store di eventi CloudTrail Lake in un gruppo di log gestito in CloudWatch | Scrittura | |||
| CreateLogAnomalyDetector | Concede l'autorizzazione per creare un rilevatore di anomalie di log | Scrittura | |||
| CreateLogDelivery [solo autorizzazione] | Concede l'autorizzazione per creare la consegna di log | Scrittura | |||
| CreateLogGroup | Concede l'autorizzazione per creare un nuovo gruppo di log con il nome specificato | Scrittura | |||
| CreateLogStream | Concede l'autorizzazione per creare un nuovo flusso di log con il nome specificato | Scrittura | |||
| CreateScheduledQuery | Concede l'autorizzazione a creare una query pianificata | Scrittura | |||
| DeleteAccountPolicy | Concede l'autorizzazione a eliminare una politica dell'account | Scrittura | |||
| DeleteDataProtectionPolicy | Concede l'autorizzazione per eliminare una policy di protezione dati collegata a un gruppo di log | Scrittura | |||
| DeleteDelivery | Concede l'autorizzazione per eliminare una consegna | Scrittura | |||
| DeleteDeliveryDestination | Concede l'autorizzazione per eliminare una destinazione di consegna dopo l'eliminazione di tutte le consegne associate | Scrittura | |||
| DeleteDeliveryDestinationPolicy | Concede l'autorizzazione per eliminare una policy sulla destinazione di consegna associata a una destinazione di consegna | Scrittura | |||
| DeleteDeliverySource | Concede l'autorizzazione per eliminare un'origine di consegna dopo l'eliminazione di tutte le consegne associate | Scrittura | |||
| DeleteDestination | Concede l'autorizzazione per eliminare la destinazione con il nome specificato | Scrittura | |||
| DeleteIndexPolicy | Concede l'autorizzazione a eliminare una politica di indicizzazione allegata a un gruppo di log | Scrittura | |||
| DeleteIntegration | Concede l'autorizzazione per eliminare l'integrazione | Scrittura | |||
| DeleteLogAnomalyDetector | Concede l'autorizzazione per eliminare un rilevatore di anomalie di log | Scrittura | |||
| DeleteLogDelivery [solo autorizzazione] | Concede l'autorizzazione per eliminare le informazioni di consegna dei log per la consegna dei log specificata | Scrittura | |||
| DeleteLogGroup | Concede l'autorizzazione per eliminare il gruppo di log con il nome specificato | Scrittura | |||
| DeleteLogStream | Concede l'autorizzazione per eliminare un flusso di log | Scrittura | |||
| DeleteMetricFilter | Concede l'autorizzazione per eliminare un filtro di parametri associato al gruppo di log specificato | Scrittura | |||
| DeletePipelineRule [solo autorizzazione] | Concede l'autorizzazione a eliminare la pipeline di telemetria | Scrittura | |||
| DeleteQueryDefinition | Concede l'autorizzazione a eliminare una definizione di query di Logs Insights salvata CloudWatch | Scrittura | |||
| DeleteResourcePolicy | Concede l'autorizzazione per eliminare una policy delle risorse da questo account | Gestione delle autorizzazioni | |||
| DeleteRetentionPolicy | Concede l'autorizzazione per eliminare la policy di conservazione del gruppo di log specificato | Scrittura | |||
| DeleteScheduledQuery | Concede l'autorizzazione a eliminare una query pianificata | Scrittura | |||
| DeleteSubscriptionFilter | Concede l'autorizzazione per eliminare un filtro di sottoscrizione associato al gruppo di log specificato | Scrittura | |||
| DeleteTransformer | Concede il permesso di eliminare un trasformatore associato al gruppo di log specificato | Scrittura | |||
| DescribeAccountPolicies | Concede l'autorizzazione a recuperare le politiche dell'account | List | |||
| DescribeConfigurationTemplates | Concede l'autorizzazione a recuperare un elenco di modelli di configurazione dei tipi di log disponibili | List | |||
| DescribeDeliveries | Concede l'autorizzazione per recuperare un elenco di consegne in un account | List | |||
| DescribeDeliveryDestinations | Concede l'autorizzazione per recuperare un elenco di destinazioni di consegna in un account | List | |||
| DescribeDeliverySources | Concede l'autorizzazione per recuperare un elenco di origini di consegna in un account | List | |||
| DescribeDestinations | Concede l'autorizzazione a restituire tutte le destinazioni associate alla Account AWS richiesta | List | |||
| DescribeExportTasks | Concede l'autorizzazione a restituire tutte le attività di esportazione associate alla Account AWS richiesta | List | |||
| DescribeFieldIndexes | Concede l'autorizzazione a restituire tutti gli attributi di indicizzazione allegati ai gruppi di log | List | |||
| DescribeImportTaskBatches | Concede l'autorizzazione a restituire informazioni dettagliate sui singoli batch all'interno di un'operazione di importazione, inclusi lo stato e gli eventuali errori | List | |||
| DescribeImportTasks | Concede l'autorizzazione a restituire tutte le attività di importazione associate alla Account AWS richiesta | List | |||
| DescribeIndexPolicies | Concede l'autorizzazione a restituire tutte le politiche di indice allegate ai gruppi di log | List | |||
| DescribeLogGroups | Concede l'autorizzazione a restituire tutti i gruppi di log associati alla Account AWS richiesta | List | |||
| DescribeLogStreams | Concede l'autorizzazione per restituire tutti i flussi di log associati al gruppo di log specificato | List | |||
| DescribeMetricFilters | Concede l'autorizzazione per restituire tutti i filtri di parametri associati al gruppo di log specificato | List | |||
| DescribeQueries | Concede l'autorizzazione a restituire un elenco di query di CloudWatch Logs Insights che sono pianificate, in esecuzione o che sono state eseguite di recente in questo account | List | |||
| DescribeQueryDefinitions | Concede l'autorizzazione a restituire un elenco impaginato delle definizioni delle query di Logs Insights salvate CloudWatch | List | |||
| DescribeResourcePolicies | Concede l'autorizzazione per restituire tutte le policy delle risorse in questo account | List | |||
| DescribeSubscriptionFilters | Concede l'autorizzazione per restituire tutti i filtri di sottoscrizione associati al gruppo di log specificato | List | |||
| DisassociateKmsKey | Concede l'autorizzazione a dissociare la AWS chiave master del cliente (CMK) associata del AWS Key Management Service (KMS) dal gruppo di log specificato | Scrittura | |||
| DisassociateSourceFromS3TableIntegration | Concede l'autorizzazione a dissociare una fonte di registro da un'integrazione S3 Tables | Scrittura | |||
| FilterLogEvents | Concede l'autorizzazione per richiamare gli eventi di log, eventualmente filtrati attraverso un modello di filtro, provenienti dal gruppo di log specificato | Lettura | |||
| GetDataProtectionPolicy | Concede l'autorizzazione per richiamare una policy di protezione dati collegata a un gruppo di log | Lettura | |||
| GetDelivery | Concede l'autorizzazione per recuperare una singola consegna | Lettura | |||
| GetDeliveryDestination | Concede l'autorizzazione per recuperare una destinazione di una singola consegna | Lettura | |||
| GetDeliveryDestinationPolicy | Concede l'autorizzazione per recuperare una policy sulla destinazione di consegna collegata a una destinazione di consegna | Lettura | |||
| GetDeliverySource | Concede l'autorizzazione per recuperare un'origine di una singola consegna | Lettura | |||
| GetIntegration | Concede l'autorizzazione a recuperare una singola integrazione | Lettura | |||
| GetLogAnomalyDetector | Concede l'autorizzazione per ottenere un rilevatore di anomalie di log | Lettura | |||
| GetLogDelivery [solo autorizzazione] | Concede l'autorizzazione per ottenere le informazioni di consegna dei log per la consegna dei log specificata | Lettura | |||
| GetLogEvents | Concede l'autorizzazione per richiamare gli eventi di log dal flusso di log specificato | Lettura | |||
| GetLogFields | Concede l'autorizzazione a recuperare un elenco di campi di registro per un'origine dati | Lettura | |||
| GetLogGroupFields | Concede l'autorizzazione per restituire un elenco di campi che sono inclusi negli eventi di log nel gruppo di log specificato, insieme alla percentuale di eventi di log che contiene ognuno dei campi | Lettura | |||
| GetLogRecord | Concede le autorizzazioni per richiamare tutti i campi e i valori di un singolo evento di log | Lettura | |||
| GetQueryResults | Concede l'autorizzazione per restituire i risultati della query specificata | Lettura | |||
| GetScheduledQuery | Concede l'autorizzazione a recuperare informazioni su una query pianificata specificata | Lettura | |||
| GetScheduledQueryHistory | Concede l'autorizzazione a restituire la cronologia di esecuzione per una query pianificata specificata | Lettura | |||
| GetTransformer | Concede l'autorizzazione a restituire il trasformatore associato al gruppo di log specificato | Lettura | |||
| IntegrateWithS3Table [solo autorizzazione] | Concede l'autorizzazione a fornire eventi di registro a S3 Tables | Scrittura | |||
| Link [solo autorizzazione] | Concede l'autorizzazione a condividere CloudWatch risorse con un account di monitoraggio | Scrittura | |||
| ListAggregateLogGroupSummaries | Concede l'autorizzazione a restituire un riepilogo aggregato di tutti i gruppi di log della regione raggruppati in base alle caratteristiche specificate dell'origine dati | List | |||
| ListAnomalies | Concede l'autorizzazione a elencare tutte le anomalie rilevate durante la richiesta Account AWS | List | |||
| ListEntitiesForLogGroup [solo autorizzazione] | Concede il permesso di recuperare tutte le entità associate al gruppo di log | List | |||
| ListIntegrations | Concede l'autorizzazione a elencare tutte le integrazioni associate alla richiesta Account AWS | List | |||
| ListLogAnomalyDetectors | Concede l'autorizzazione a restituire tutti i rilevatori di anomalie associati alla richiesta Account AWS | List | |||
| ListLogDeliveries [solo autorizzazione] | Concede l'autorizzazione a elencare tutte le consegne di registro per l'origine specificata del registro dell'account and/or | List | |||
| ListLogGroups | Concede l'autorizzazione a restituire tutti i gruppi di log associati alla Account AWS richiesta | List | |||
| ListLogGroupsForEntity [solo autorizzazione] | Concede l'autorizzazione a recuperare tutti i gruppi di log associati all'entità | List | |||
| ListLogGroupsForQuery | Concede l'autorizzazione a restituire tutti i gruppi di log associati alla query specificata | List | |||
| ListScheduledQueries | Concede l'autorizzazione a restituire tutte le query pianificate associate alla Account AWS richiesta | List | |||
| ListSourcesForS3TableIntegration | Concede l'autorizzazione a restituire tutte le fonti di registro associate a un'integrazione con S3 Tables | List | |||
| ListTagsForResource | Concede l'autorizzazione per elencare i tag per la risorsa specificata | List | |||
| ListTagsLogGroup | Concede l'autorizzazione per elencare i tag per il gruppo di log specificato | List | |||
| ProcessWithPipeline [solo autorizzazione] | Concede l'autorizzazione a elaborare e trasformare gli eventi di registro tramite trasformatori di pipeline prima dell'archiviazione | Scrittura | |||
| PutAccountPolicy | Concede l'autorizzazione ad allegare una politica dell'account | Scrittura | |||
| PutDataProtectionPolicy | Concede l'autorizzazione per allegare una policy di protezione dei dati per rilevare e redarre le informazioni sensibili dagli eventi di log | Scrittura | |||
| PutDeliveryDestination | Concede l'autorizzazione a create/update una destinazione di consegna | Scrittura | |||
| PutDeliveryDestinationPolicy | Concede l'autorizzazione per collegare una policy sulla destinazione di consegna a una destinazione di consegna | Scrittura | |||
| PutDeliverySource | Concede l'autorizzazione a create/update una fonte di consegna | Scrittura | |||
| PutDestination | Concede l'autorizzazione per creare o aggiornare una destinazione | Scrittura |
iam:PassRole |
||
| PutDestinationPolicy | Concede l'autorizzazione per creare o aggiornare una policy di accesso associata a una destinazione esistente | Scrittura | |||
| PutIndexPolicy | Concede l'autorizzazione ad allegare una politica di indicizzazione a livello di gruppo di log per ottimizzare la ricerca e le interrogazioni | Scrittura | |||
| PutIntegration | Concede l'autorizzazione a creare integrazione tra cloudwatch logs e opensearch | Scrittura | |||
| PutLogEvents | Concede l'autorizzazione per caricare un batch di eventi di log sul flusso di log specificato | Scrittura | |||
| PutLogGroupDeletionProtection | Concede l'autorizzazione per abilitare o disabilitare la protezione da eliminazione per il gruppo di log specificato | Scrittura | |||
| PutMetricFilter | Concede l'autorizzazione per creare o aggiornare un filtro di parametri e lo associa al gruppo di log specificato | Scrittura | |||
| PutPipelineRule [solo autorizzazione] | Concede l'autorizzazione a creare una pipeline di telemetria | Scrittura | |||
| PutQueryDefinition | Concede l'autorizzazione per creare o aggiornare una definizione di query | Scrittura | |||
| PutResourcePolicy | Concede l'autorizzazione a creare o aggiornare una politica delle risorse che consenta ad altri AWS servizi di inserire eventi di registro in questo account | Gestione delle autorizzazioni | |||
| PutRetentionPolicy | Concede l'autorizzazione per impostare il periodo di conservazione del gruppo di log specificato | Scrittura | |||
| PutSubscriptionFilter | Concede l'autorizzazione per creare o aggiornare un filtro di sottoscrizione e lo associa al gruppo di log specificato | Scrittura |
iam:PassRole |
||
| PutTransformer | Concede l'autorizzazione a creare o aggiornare un trasformatore e lo associa al gruppo di log specificato | Scrittura | |||
| StartLiveTail | Concede il permesso di avviare una sessione Live Tail in Logs CloudWatch | Lettura | |||
| StartQuery | Concede l'autorizzazione a pianificare un'interrogazione di un gruppo di log utilizzando Logs Insights CloudWatch | Lettura | |||
| StopLiveTail [solo autorizzazione] | Concede l'autorizzazione per arrestare una sessione Live Tail in corso | Lettura | |||
| StopQuery | Concede l'autorizzazione a interrompere una query di CloudWatch Logs Insights in corso | Lettura | |||
| TagLogGroup | Concede l'autorizzazione per aggiungere o aggiornare i tag specificati per il gruppo di log specificato | Assegnazione di tag | |||
| TagResource | Concede l'autorizzazione per aggiungere o aggiornare i tag specificati per la risorsa specificata | Assegnazione di tag | |||
| TestMetricFilter | Concede l'autorizzazione per eseguire un test del modello di filtro di un filtro di parametro su un campione di messaggi di eventi di log | Lettura | |||
| TestTransformer | Concede l'autorizzazione a testare il trasformatore rispetto a un campione di messaggi di eventi di registro | Lettura | |||
| Unmask [solo autorizzazione] | Concede l'autorizzazione per recuperare gli eventi di log non mascherati che sono stati redatti con una policy di protezione dei dati | Lettura | |||
| UntagLogGroup | Concede l'autorizzazione per rimuovere i tag specificati dal gruppo di log specificato | Assegnazione di tag | |||
| UntagResource | Concede l'autorizzazione per rimuovere i tag specificati dalla risorsa specificata | Assegnazione di tag | |||
| UpdateAnomaly | Concede l'autorizzazione per aggiornare un'anomalia segnalata da un rilevatore di anomalie di log | Scrittura | |||
| UpdateDeliveryConfiguration | Concede l'autorizzazione ad aggiornare la configurazione relativa a una consegna | Scrittura | |||
| UpdateLogAnomalyDetector | Concede l'autorizzazione per aggiornare un rilevatore di anomalie di log | Scrittura | |||
| UpdateLogDelivery [solo autorizzazione] | Concede l'autorizzazione per aggiornare le informazioni di consegna dei log per la consegna dei log specificata | Scrittura | |||
| UpdateScheduledQuery | Concede l'autorizzazione ad aggiornare una query pianificata | Scrittura |
Tipi di risorse definiti da Amazon CloudWatch Logs
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorse | ARN | Chiavi di condizione |
|---|---|---|
| log-group |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
|
|
| log-stream |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
|
|
| destination |
arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}
|
|
| delivery-source |
arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}
|
|
| delivery |
arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}
|
|
| delivery-destination |
arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}
|
|
| anomaly-detector |
arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}
|
|
| scheduled-query |
arn:${Partition}:logs:${Region}:${Account}:scheduled-query:${ScheduledQueryId}
|
Chiavi di condizione per Amazon CloudWatch Logs
Amazon CloudWatch Logs definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta le chiavi di contesto delle condizioni AWS globali.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso per i tag passati nella richiesta | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso per i tag associati alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso tramite le chiavi di tag passate nella richiesta | ArrayOfString |
| logs:DeliveryDestinationResourceArn | Filtra l'accesso in base all'ARN di destinazione del log passato nella richiesta | ARN |
| logs:LogGeneratingResourceArns | Filtra l'accesso da parte della Log Generating Resource ARNs passata nella richiesta | ArrayOfARN |
