View a markdown version of this page

Uso de políticas basadas en la identidad (políticas de IAM) para los registros CloudWatch - Amazon CloudWatch Logs
Permisos necesarios para usar la CloudWatch consolaAWS políticas gestionadas (predefinidas) para CloudWatch los registros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de políticas basadas en la identidad (políticas de IAM) para los registros CloudWatch

Este tema contiene ejemplos de políticas basadas en identidades, donde los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, a usuarios, grupos y funciones).

importante

Le recomendamos que consulte primero los temas introductorios en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus CloudWatch recursos de Logs. Para obtener más información, consulte Descripción general de la administración de los permisos de acceso a los recursos CloudWatch de Logs.

Este tema cubre lo siguiente:

A continuación se muestra un ejemplo de una política de permisos:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

Esta política tiene una declaración que concede permisos para crear grupos de registro y flujos de registro para cargar eventos de registro a flujos de registro y para mostrar un listado de detalles acerca de los flujos de registro.

El carácter comodín (*) del Resource valor otorga permiso para realizar las acciones enumeradas en cualquier recurso de CloudWatch Logs.

  • Para limitar los permisos a acciones de grupos de registros específicos (por ejemplo,DescribeLogStreams)CreateLogGroup, sustituya el comodín por el ARN del grupo de registros: arn:aws:logs:us-west-2:123456789012:log-group:MyLogGroup

  • Para limitar los permisos a acciones de flujo de registro específicas (por ejemploCreateLogStream,PutLogEvents), sustituya el comodín por el ARN del flujo de registro (coincide con todos los flujos) arn:aws:logs:us-west-2:123456789012:log-group:MyLogGroup:log-stream:MyStream o (flujo específico) arn:aws:logs:us-west-2:123456789012:log-group:MyLogGroup:*

Consulta la referencia de autorización del servicio para ver qué tipo de recurso requiere cada API.

Permisos necesarios para usar la CloudWatch consola

Para que un usuario pueda trabajar con los CloudWatch registros de la CloudWatch consola, debe tener un conjunto mínimo de permisos que le permita describir otros AWS recursos de su AWS cuenta. Para usar CloudWatch los registros en la CloudWatch consola, debe tener permisos de los siguientes servicios:

  • CloudWatch

  • CloudWatch Registros

  • OpenSearch Servicio

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para garantizar que esos usuarios puedan seguir utilizando la CloudWatch consola, adjunte también la política CloudWatchReadOnlyAccess administrada al usuario, tal y como se describe enAWS políticas gestionadas (predefinidas) para CloudWatch los registros.

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API CloudWatch Logs AWS CLI o a la misma.

El conjunto completo de permisos necesarios para que un usuario que no utilice la CloudWatch consola para gestionar las suscripciones de registros funcione con la consola es el siguiente:

  • Cloudwatch: GetMetricData

  • vigilancia en la nube: ListMetrics

  • registros: CancelExportTask

  • registros: CreateExportTask

  • registros: CreateLogGroup

  • registros: CreateLogStream

  • registros: DeleteLogGroup

  • registros: DeleteLogStream

  • registros: DeleteMetricFilter

  • registros: DeleteQueryDefinition

  • registros: DeleteRetentionPolicy

  • registros: DeleteSubscriptionFilter

  • registros: DescribeExportTasks

  • registros: DescribeLogGroups

  • registros: DescribeLogStreams

  • registros: DescribeMetricFilters

  • registros: DescribeQueryDefinitions

  • registros: DescribeQueries

  • registros: DescribeSubscriptionFilters

  • registros: FilterLogEvents

  • registros: GetLogEvents

  • registros: GetLogGroupFields

  • registros: GetLogRecord

  • registros: GetQueryResults

  • registros: PutMetricFilter

  • registros: PutQueryDefinition

  • registros: PutRetentionPolicy

  • registros: StartQuery

  • registros: StopQuery

  • registros: PutSubscriptionFilter

  • registros: TestMetricFilter

Para un usuario que también utilice la consola para administrar las suscripciones de registro, los siguientes permisos son igualmente necesarios:

  • Sí: DescribeElasticsearchDomain

  • Sí: ListDomainNames

  • objetivo: AttachRolePolicy

  • objetivo: CreateRole

  • objetivo: GetPolicy

  • objetivo: GetPolicyVersion

  • objetivo: GetRole

  • objetivo: ListAttachedRolePolicies

  • objetivo: ListRoles

  • cinesia: DescribeStreams

  • cinesia: ListStreams

  • lambda: AddPermission

  • lambda: CreateFunction

  • lambda: GetFunctionConfiguration

  • lambda: ListAliases

  • lambda: ListFunctions

  • lambda: ListVersionsByFunction

  • lambda: RemovePermission

  • s3: ListBuckets

AWS políticas gestionadas (predefinidas) para CloudWatch los registros

AWS aborda muchos casos de uso comunes al proporcionar políticas de IAM independientes que son creadas y administradas por. AWS Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios y roles de su cuenta, son específicas de los CloudWatch registros:

  • CloudWatchLogsFullAccess— Otorga acceso completo a CloudWatch los registros.

  • CloudWatchLogsReadOnlyAccess— Otorga acceso de solo lectura a los CloudWatch registros.

CloudWatchLogsFullAccess

La CloudWatchLogsFullAccesspolítica otorga acceso total a CloudWatch los registros. La política incluye los cloudwatch:GenerateQueryResultsSummary permisos cloudwatch:GenerateQuery y, por lo tanto, los usuarios con esta política pueden generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural. Para ver el contenido completo de la política, consulte la Guía CloudWatchLogsFullAccessde referencia de políticas AWS gestionadas.

CloudWatchLogsReadOnlyAccess

La CloudWatchLogsReadOnlyAccesspolítica otorga acceso de solo lectura a los CloudWatch registros. Incluye los cloudwatch:GenerateQueryResultsSummary permisos cloudwatch:GenerateQuery y, de este modo, los usuarios con esta política pueden generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural. Para ver el contenido completo de la política, consulte la Guía CloudWatchLogsReadOnlyAccessde referencia de políticas AWS gestionadas.

CloudWatchOpenSearchDashboardsFullAccess

La CloudWatchOpenSearchDashboardsFullAccesspolítica otorga acceso para crear, administrar y eliminar integraciones con el OpenSearch Servicio, y para crear paneles de control de registros vendidos en esas integraciones. Para obtener más información, consulte Analice con Amazon OpenSearch Service.

Para ver el contenido completo de la política, consulte la Guía de referencia de políticas CloudWatchOpenSearchDashboardsFullAccess AWSgestionadas.

CloudWatchOpenSearchDashboardAccess

La CloudWatchOpenSearchDashboardAccesspolítica otorga acceso para ver los paneles de control de registros vendidos que se crean con Amazon OpenSearch Service análisis. Para obtener más información, consulte Analice con Amazon OpenSearch Service.

importante

Además de conceder esta política, para permitir que un rol o un usuario puedan ver los paneles de registros vendidos, también debe especificarlos al crear la integración con el Servicio. OpenSearch Para obtener más información, consulte Paso 1: Crear la integración con OpenSearch Service.

Para ver el contenido completo de la política, consulte la Guía CloudWatchOpenSearchDashboardAccessde referencia de políticas AWS gestionadas.

CloudWatchLogsCrossAccountSharingConfiguration

La CloudWatchLogsCrossAccountSharingConfigurationpolítica permite crear, administrar y ver los enlaces de Observability Access Manager para compartir los recursos de CloudWatch Logs entre cuentas. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch .

Para ver el contenido completo de la política, consulta la Guía CloudWatchLogsCrossAccountSharingConfigurationde referencia de políticas AWS gestionadas.

CloudWatchLogsAPIKeyAccess

La CloudWatchLogsAPIKeyAccesspolítica permite la autenticación de claves de la API de CloudWatch registros y la ingesta de registros cifrados. Esta política otorga permisos para autenticarse mediante tokens portadores y escribir eventos de registro en los CloudWatch registros, además de AWS KMS permisos adicionales para descifrar y generar claves de datos cuando los registros están cifrados.

Esta política le concede los siguientes permisos:

  • logs— Permite a los directores autenticarse mediante identificadores portadores de claves de la API y escribir los eventos de registro en las secuencias de Logs. CloudWatch

  • kms— Permite a los directores leer los metadatos AWS KMS clave, generar claves de datos para el cifrado y descifrar los datos. Estos permisos admiten CloudWatch registros cifrados, lo que permite al servicio cifrar los datos de registro mediante claves administradas por el cliente. AWS KMS El acceso está restringido a las operaciones realizadas a través del CloudWatch servicio de registros.

Para ver más detalles sobre la política, incluyendo la última versión del documento de política JSON, consulte CloudWatchLogsAPIKeyAccess en la Guía de referencia de políticas administradas de AWS .

CloudWatch Registra las actualizaciones de AWS políticas administradas

Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para CloudWatch los registros desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de CloudWatch registro.

Cambio Descripción Fecha

CloudWatchLogsAPIKeyAccess: Política nueva.

CloudWatch Los registros agregaron una nueva política gestionada CloudWatchLogsAPIKeyAccess.

Esta política permite la autenticación de claves de la API de CloudWatch registros y la ingesta de registros cifrados, lo que otorga permisos para autenticarse mediante tokens portadores y escribir eventos de registro en los registros. CloudWatch

17 de febrero de 2026

CloudWatchLogsFullAccess: actualización de una política existente.

CloudWatch Registra los permisos añadidos a CloudWatchLogsFullAccess.

Se agregaron permisos para las acciones de administración de observabilidad a fin de permitir el acceso de solo lectura a las canalizaciones de telemetría y a las integraciones de tablas de S3.

2 de diciembre de 2025

CloudWatchLogsReadOnlyAccess: actualización de una política existente.

CloudWatch Registra los permisos añadidos a CloudWatchLogsReadOnlyAccess.

Se agregaron permisos para las acciones de administración de observabilidad a fin de permitir el acceso de solo lectura a las canalizaciones de telemetría y a las integraciones de tablas de S3.

2 de diciembre de 2025

CloudWatchLogsFullAccess: actualización de una política existente.

CloudWatch Registra los permisos añadidos a CloudWatchLogsFullAccess.

Se agregaron permisos para cloudwatch:GenerateQueryResultsSummary de manera que se permite la generación de un resumen en lenguaje natural de los resultados de la consulta.

20 de mayo de 2025

CloudWatchLogsReadOnlyAccess: actualización de una política existente.

CloudWatch Registra los permisos agregados a CloudWatchLogsReadOnlyAccess.

Se agregaron permisos para cloudwatch:GenerateQueryResultsSummary de manera que se permite la generación de un resumen en lenguaje natural de los resultados de la consulta.

20 de mayo de 2025

CloudWatchLogsFullAccess: actualización de una política existente.

CloudWatch Registra los permisos agregados a CloudWatchLogsFullAccess.

Se agregaron permisos para el IAM Amazon OpenSearch Service y para permitir la integración de CloudWatch Logs con el OpenSearch servicio para algunas funciones.

1 de diciembre de 2024

CloudWatchOpenSearchDashboardsFullAccess— Nueva política de IAM.

CloudWatch Logs agregó una nueva política de IAM, CloudWatchOpenSearchDashboardsFullAccess.- Esta política otorga acceso para crear, administrar y eliminar integraciones con el OpenSearch Servicio, y para crear, administrar y eliminar paneles de registros vendidos en esas integraciones. Para obtener más información, consulte Analice con Amazon OpenSearch Service.

1 de diciembre de 2024

CloudWatchOpenSearchDashboardAccess— Nueva política de IAM.

CloudWatch Logs agregó una nueva política de IAM, CloudWatchOpenSearchDashboardAccess.- Esta política otorga acceso a los paneles de control de registros vendidos con la tecnología de. Amazon OpenSearch Service Para obtener más información, consulte Analice con Amazon OpenSearch Service.

1 de diciembre de 2024

CloudWatchLogsFullAccess: actualización de una política existente.

CloudWatch Los registros agregaron un permiso a. CloudWatchLogsFullAccess

Se agregó el cloudwatch:GenerateQuery permiso para que los usuarios con esta política puedan generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural.

27 de noviembre de 2023

CloudWatchLogsReadOnlyAccess: actualización de una política existente.

CloudWatch agregó un permiso para CloudWatchLogsReadOnlyAccess.

Se agregó el cloudwatch:GenerateQuery permiso para que los usuarios con esta política puedan generar una cadena de consulta de CloudWatch Logs Insights a partir de un mensaje en lenguaje natural.

27 de noviembre de 2023

CloudWatchLogsReadOnlyAccess: actualización de una política actual

CloudWatch Los registros agregaron permisos a CloudWatchLogsReadOnlyAccess.

Los logs:StopLiveTail permisos logs:StartLiveTail y se agregaron para que los usuarios con esta política puedan usar la consola para iniciar y detener las sesiones finales de CloudWatch Logs Live. Para obtener más información, consulte Use live tail to view logs in near real time.

 6 de junio de 2023

CloudWatchLogsCrossAccountSharingConfiguration: política nueva

CloudWatch Logs agregó una nueva política que te permite administrar los enlaces de observabilidad CloudWatch entre cuentas que comparten grupos de CloudWatch registros de Logs.

Para obtener más información, consulta CloudWatch la observabilidad multicuenta

 27 de noviembre de 2022

CloudWatchLogsReadOnlyAccess: actualización de una política actual

CloudWatch Registra los permisos añadidos a. CloudWatchLogsReadOnlyAccess

Los oam:ListAttachedLinks permisos oam:ListSinks y se agregaron para que los usuarios con esta política puedan usar la consola para ver los datos compartidos desde las cuentas de origen de CloudWatch forma observable entre cuentas.

 27 de noviembre de 2022

Ejemplos de políticas administradas por el cliente

Puede crear sus propias políticas de IAM personalizadas para permitir permisos para las acciones y los recursos de CloudWatch Logs. Puede asociar estas políticas personalizadas a los usuarios o grupos de que requieran esos permisos.

En esta sección, encontrará ejemplos de políticas de usuario que otorgan permisos para diversas acciones de CloudWatch Logs. Estas políticas funcionan cuando utilizas la API de CloudWatch Logs, AWS los SDK o el AWS CLI.

Ejemplo 1: Permitir el acceso total a los registros CloudWatch

La siguiente política permite a un usuario acceder a todas las acciones de los CloudWatch registros.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Ejemplo 2: Permitir el acceso de solo lectura a los registros CloudWatch

AWS proporciona una CloudWatchLogsReadOnlyAccesspolítica que permite el acceso de solo lectura a los datos de los registros. CloudWatch Esta política incluye los siguientes permisos.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Ejemplo 3: Permitir el acceso a un grupo de registros o a un flujo de registros

CloudWatch Los registros tienen dos tipos de recursos con diferentes formatos de ARN:

  • Grupo de registros: arn:aws:logs:region:account:log-group:LogGroupName

  • Flujo de registro: arn:aws:logs:region:account:log-group:LogGroupName:log-stream:StreamName

Al escribir políticas de IAM, el formato ARN que utilices debe coincidir con el tipo de recurso al que se autoriza la API. Consulta la referencia de autorización del servicio para ver qué tipo de recurso requiere cada API.

Ejemplo 3a: permitir el acceso a acciones a nivel de grupo de registros en un grupo de registros específico
{
   "Version":"2012-10-17", 
   "Statement":[
      {
      "Action": [
        "logs:DeleteLogGroup",
        "logs:PutRetentionPolicy",
        "logs:PutSubscriptionFilter",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
      }
   ]
}

Estas acciones autorizan el tipo de recurso. log-group Se admite el formato ARN estándar (sin él:*).

Ejemplo 3b: permitir el acceso a acciones a nivel de flujo de registro en un grupo de registros específico
{
   "Version":"2012-10-17", 
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

Estas acciones autorizan el tipo de recurso. log-stream El :* sufijo es necesario para hacer coincidir todos los flujos de registro del grupo de registros o para especificar un flujo específico con :log-stream:StreamName él.

Ejemplo 3c: Política combinada para las acciones de grupos de registros y de flujo de registros
{
   "Version":"2012-10-17", 
   "Statement":[
      {
        "Action": [
          "logs:DeleteLogGroup",
          "logs:PutRetentionPolicy",
          "logs:DescribeLogStreams",
          "logs:FilterLogEvents"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
      },
      {
        "Action": [
          "logs:CreateLogStream",
          "logs:PutLogEvents",
          "logs:GetLogEvents"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

Usar el etiquetado y las políticas de IAM para realizar el control en el nivel de grupo de registro

Puede conceder a los usuarios acceso a determinados grupos de registro al mismo tiempo que les impide tener acceso a otros grupos de registro. Para ello, etiquete los grupos de registro y utilice políticas de IAM que hagan referencia a esas etiquetas. Para aplicar etiquetas a un grupo de registro, debe tener el permiso logs:TagResource o logs:TagLogGroup. Esto se aplica si asigna etiquetas al grupo de registro cuando lo crea o si las asigna más adelante.

Para obtener más información sobre el etiquetado de grupos de registro, consulte Etiquetar grupos de registros en Amazon CloudWatch Logs.

Al etiquetar grupos de registro, puede conceder una política de IAM a un usuario para permitirle el acceso únicamente a los grupos de registro con una etiqueta determinada. Por ejemplo, la siguiente instrucción de política concede acceso únicamente a los grupos de registro que tienen el valor Team para la clave de etiqueta Green.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

Las operaciones StopQueryy las de la StopLiveTailAPI no interactúan con los AWS recursos en el sentido tradicional. No devuelven ningún dato, no colocan ningún dato ni tampoco modifican ningún recurso de ninguna manera. En cambio, solo funcionan en una sesión de seguimiento en vivo determinada o en una consulta de CloudWatch Logs Insights determinada, que no se clasifican como recursos. Por lo tanto, al especificar el campo Resource en las políticas de IAM para estas operaciones, debe establecer el valor del campo Resource como *, como se muestra en el siguiente ejemplo.

JSON
{
    "Version":"2012-10-17", 
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}

Para obtener más información acerca del uso de instrucciones de política de IAM, consulte Control del acceso mediante las políticas en la Guía del usuario de IAM.