Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de políticas basadas en la identidad (políticas de IAM) para los registros CloudWatch
Este tema contiene ejemplos de políticas basadas en identidades, donde los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, a usuarios, grupos y funciones).
**importante**
Le recomendamos que consulte primero los temas introductorios en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus CloudWatch recursos de Logs. Para obtener más información, consulte [Descripción general de la administración de los permisos de acceso a los recursos CloudWatch de Logs](iam-access-control-overview-cwl.md).
Este tema cubre lo siguiente:
+ [Permisos necesarios para usar la CloudWatch consola](#console-permissions-cwl)
+ [AWS políticas gestionadas (predefinidas) para CloudWatch los registros](#managed-policies-cwl)
+ [Ejemplos de políticas administradas por el cliente](#customer-managed-policies-cwl)
A continuación se muestra un ejemplo de una política de permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Esta política tiene una declaración que concede permisos para crear grupos de registro y flujos de registro para cargar eventos de registro a flujos de registro y para mostrar un listado de detalles acerca de los flujos de registro.
El carácter comodín (\$1) que aparece al final del valor `Resource` significa que la declaración concede permiso para las acciones `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents` y `logs:DescribeLogStreams` en cualquier grupo de registro. Para limitar este permiso a un grupo de registro específico, sustituya el carácter comodín (\$1) en el ARN del recurso con el ARN de grupo de registro específico. Para obtener más información acerca de las secciones dentro de una declaración de política de IAM, consulte [Referencia de los elementos de la política de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) en la *Guía del usuario de IAM*. Para ver una lista de todas las acciones de CloudWatch Logs, consulte[CloudWatch Referencia de permisos de registro](permissions-reference-cwl.md).
## Permisos necesarios para usar la CloudWatch consola
Para que un usuario pueda trabajar con los CloudWatch registros de la CloudWatch consola, debe tener un conjunto mínimo de permisos que le permita describir otros AWS recursos de su AWS cuenta. Para usar CloudWatch los registros en la CloudWatch consola, debe tener permisos de los siguientes servicios:
+ CloudWatch
+ CloudWatch Registros
+ OpenSearch Servicio
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para garantizar que esos usuarios puedan seguir utilizando la CloudWatch consola, adjunte también la política `CloudWatchReadOnlyAccess` administrada al usuario, tal y como se describe en[AWS políticas gestionadas (predefinidas) para CloudWatch los registros](#managed-policies-cwl).
No es necesario conceder permisos mínimos de consola a los usuarios que solo realicen llamadas a la API CloudWatch Logs AWS CLI o a la misma.
El conjunto completo de permisos necesarios para que un usuario que no utilice la CloudWatch consola para gestionar las suscripciones de registros funcione con la consola es el siguiente:
+ Cloudwatch: GetMetricData
+ vigilancia en la nube: ListMetrics
+ registros: CancelExportTask
+ registros: CreateExportTask
+ registros: CreateLogGroup
+ registros: CreateLogStream
+ registros: DeleteLogGroup
+ registros: DeleteLogStream
+ registros: DeleteMetricFilter
+ registros: DeleteQueryDefinition
+ registros: DeleteRetentionPolicy
+ registros: DeleteSubscriptionFilter
+ registros: DescribeExportTasks
+ registros: DescribeLogGroups
+ registros: DescribeLogStreams
+ registros: DescribeMetricFilters
+ registros: DescribeQueryDefinitions
+ registros: DescribeQueries
+ registros: DescribeSubscriptionFilters
+ registros: FilterLogEvents
+ registros: GetLogEvents
+ registros: GetLogGroupFields
+ registros: GetLogRecord
+ registros: GetQueryResults
+ registros: PutMetricFilter
+ registros: PutQueryDefinition
+ registros: PutRetentionPolicy
+ registros: StartQuery
+ registros: StopQuery
+ registros: PutSubscriptionFilter
+ registros: TestMetricFilter
Para un usuario que también utilice la consola para administrar las suscripciones de registro, los siguientes permisos son igualmente necesarios:
+ Sí: DescribeElasticsearchDomain
+ Sí: ListDomainNames
+ objetivo: AttachRolePolicy
+ objetivo: CreateRole
+ objetivo: GetPolicy
+ objetivo: GetPolicyVersion
+ objetivo: GetRole
+ objetivo: ListAttachedRolePolicies
+ objetivo: ListRoles
+ cinesia: DescribeStreams
+ cinesia: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3: ListBuckets
## AWS políticas gestionadas (predefinidas) para CloudWatch los registros
AWS aborda muchos casos de uso comunes al proporcionar políticas de IAM independientes que son creadas y administradas por. AWS Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte[ Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios y roles de su cuenta, son específicas de los CloudWatch registros:
+ **CloudWatchLogsFullAccess**— Otorga acceso completo a CloudWatch los registros.
+ **CloudWatchLogsReadOnlyAccess**— Otorga acceso de solo lectura a los CloudWatch registros.
### CloudWatchLogsFullAccess
La **CloudWatchLogsFullAccess**política otorga acceso total a CloudWatch los registros. La política incluye los `cloudwatch:GenerateQueryResultsSummary` permisos `cloudwatch:GenerateQuery` y, por lo tanto, los usuarios con esta política pueden generar una cadena de consulta de [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de un mensaje en lenguaje natural. Para ver el contenido completo de la política, consulte la *Guía [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)de referencia de políticas AWS gestionadas*.
### CloudWatchLogsReadOnlyAccess
La **CloudWatchLogsReadOnlyAccess**política otorga acceso de solo lectura a los CloudWatch registros. Incluye los `cloudwatch:GenerateQueryResultsSummary` permisos `cloudwatch:GenerateQuery` y, de este modo, los usuarios con esta política pueden generar una cadena de consulta de [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de un mensaje en lenguaje natural. Para ver el contenido completo de la política, consulte la *Guía [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)de referencia de políticas AWS gestionadas*.
### CloudWatchOpenSearchDashboardsFullAccess
La **CloudWatchOpenSearchDashboardsFullAccess**política otorga acceso para crear, administrar y eliminar integraciones con el OpenSearch Servicio, y para crear paneles de control de registros vendidos en esas integraciones. Para obtener más información, consulte [Analice con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
Para ver el contenido completo de la política, consulte la Guía de referencia de políticas [CloudWatchOpenSearchDashboardsFullAccess AWS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)*gestionadas*.
### CloudWatchOpenSearchDashboardAccess
La **CloudWatchOpenSearchDashboardAccess**política otorga acceso para ver los paneles de control de registros vendidos que se crean con Amazon OpenSearch Service análisis. Para obtener más información, consulte [Analice con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**importante**
Además de conceder esta política, para permitir que un rol o un usuario puedan ver los paneles de registros vendidos, también debe especificarlos al crear la integración con el Servicio. OpenSearch Para obtener más información, consulte [Paso 1: Crear la integración con OpenSearch Service](OpenSearch-Dashboards-Integrate.md).
Para ver el contenido completo de la política, consulte la Guía [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)de *referencia de políticas AWS gestionadas*.
#### CloudWatchLogsCrossAccountSharingConfiguration
La **CloudWatchLogsCrossAccountSharingConfiguration**política permite crear, administrar y ver los enlaces de Observability Access Manager para compartir los recursos de CloudWatch Logs entre cuentas. Para obtener más información, consulte [Observabilidad entre cuentas de CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
Para ver el contenido completo de la política, consulta la *Guía [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)de referencia de políticas AWS gestionadas*.
#### CloudWatchLogsAPIKeyAcceder
La política de **CloudWatchLogsAPIKeyacceso** permite la autenticación de claves de la API de CloudWatch registros y la ingesta de registros cifrados. Esta política otorga permisos para autenticarse mediante tokens portadores y escribir eventos de registro en los CloudWatch registros, además de AWS KMS permisos adicionales para descifrar y generar claves de datos cuando los registros están cifrados.
Esta política le concede los siguientes permisos:
+ `logs`— Permite a los directores autenticarse mediante identificadores portadores de claves de la API y escribir los eventos de registro en las secuencias de Logs. CloudWatch
+ `kms`— Permite a los directores leer los metadatos AWS KMS clave, generar claves de datos para el cifrado y descifrar los datos. Estos permisos admiten CloudWatch registros cifrados, lo que permite al servicio cifrar los datos de registro mediante claves administradas por el cliente. AWS KMS El acceso está restringido a las operaciones realizadas a través del CloudWatch servicio de registros.
Para ver más detalles sobre la política, incluida la última versión del documento de política de JSON, consulte [CloudWatchLogsAPIKeyla](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) *Guía de referencia sobre políticas AWS gestionadas*.
### CloudWatch Registra las actualizaciones de las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS administradas para CloudWatch los registros desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de CloudWatch registro.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAcceso](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess): nueva política. | CloudWatch Los registros agregaron una nueva política administrada de **CloudWatchLogsAPIKeyacceso**. Esta política permite la autenticación de claves de la API de CloudWatch registros y la ingesta de registros cifrados, lo que otorga permisos para autenticarse mediante tokens portadores y escribir eventos de registro en los registros. CloudWatch | 17 de febrero de 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): actualización de una política existente. | CloudWatch Registra los permisos añadidos a **CloudWatchLogsFullAccess**. Se agregaron permisos para las acciones de administración de observabilidad a fin de permitir el acceso de solo lectura a las canalizaciones de telemetría y a las integraciones de tablas de S3. | 2 de diciembre de 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): actualización de una política existente. | CloudWatch Registra los permisos añadidos a **CloudWatchLogsReadOnlyAccess**. Se agregaron permisos para las acciones de administración de observabilidad a fin de permitir el acceso de solo lectura a las canalizaciones de telemetría y a las integraciones de tablas de S3. | 2 de diciembre de 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): actualización de una política existente. | CloudWatch Registra los permisos añadidos a **CloudWatchLogsFullAccess**. Se agregaron permisos para `cloudwatch:GenerateQueryResultsSummary` de manera que se permite la generación de un resumen en lenguaje natural de los resultados de la consulta. | 20 de mayo de 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): actualización de una política existente. | CloudWatch Registra los permisos agregados a **CloudWatchLogsReadOnlyAccess**. Se agregaron permisos para `cloudwatch:GenerateQueryResultsSummary` de manera que se permite la generación de un resumen en lenguaje natural de los resultados de la consulta. | 20 de mayo de 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): actualización de una política existente. | CloudWatch Registra los permisos agregados a **CloudWatchLogsFullAccess**. Se agregaron permisos para el IAM Amazon OpenSearch Service y para permitir la integración de CloudWatch Logs con el OpenSearch servicio para algunas funciones. | 1 de diciembre de 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Nueva política de IAM. | CloudWatch Logs agregó una nueva política de IAM, **CloudWatchOpenSearchDashboardsFullAccess**.- Esta política otorga acceso para crear, administrar y eliminar integraciones con el OpenSearch Servicio, y para crear, administrar y eliminar paneles de registros vendidos en esas integraciones. Para obtener más información, consulte [Analice con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1 de diciembre de 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Nueva política de IAM. | CloudWatch Logs agregó una nueva política de IAM, **CloudWatchOpenSearchDashboardAccess**.- Esta política otorga acceso a los paneles de control de registros vendidos con la tecnología de. Amazon OpenSearch Service Para obtener más información, consulte [Analice con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1 de diciembre de 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): actualización de una política existente. | CloudWatch Los registros agregaron un permiso a. **CloudWatchLogsFullAccess** Se agregó el `cloudwatch:GenerateQuery` permiso para que los usuarios con esta política puedan generar una cadena de consulta de [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de un mensaje en lenguaje natural. | 27 de noviembre de 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): actualización de una política existente. | CloudWatch agregó un permiso para **CloudWatchLogsReadOnlyAccess**. Se agregó el `cloudwatch:GenerateQuery` permiso para que los usuarios con esta política puedan generar una cadena de consulta de [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de un mensaje en lenguaje natural. | 27 de noviembre de 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): actualización de una política actual | CloudWatch Los registros agregaron permisos a **CloudWatchLogsReadOnlyAccess**. Los `logs:StopLiveTail` permisos `logs:StartLiveTail` y se agregaron para que los usuarios con esta política puedan usar la consola para iniciar y detener las sesiones finales de CloudWatch Logs Live. Para obtener más información, consulte [Use live tail to view logs in near real time](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 de junio de 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration): política nueva | CloudWatch Logs agregó una nueva política que te permite administrar los enlaces de observabilidad CloudWatch entre cuentas que comparten grupos de CloudWatch registros de Logs. [Para obtener más información, consulta CloudWatch la observabilidad multicuenta](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 de noviembre de 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): actualización de una política actual | CloudWatch Registra los permisos añadidos a. **CloudWatchLogsReadOnlyAccess** Los `oam:ListAttachedLinks` permisos `oam:ListSinks` y se agregaron para que los usuarios con esta política puedan usar la consola para ver los datos compartidos desde las cuentas de origen de CloudWatch forma observable entre cuentas. | 27 de noviembre de 2022 |
### Ejemplos de políticas administradas por el cliente
Puede crear sus propias políticas de IAM personalizadas para permitir permisos para las acciones y los recursos de CloudWatch Logs. Puede asociar estas políticas personalizadas a los usuarios o grupos de que requieran esos permisos.
En esta sección, encontrará ejemplos de políticas de usuario que otorgan permisos para diversas acciones de CloudWatch Logs. Estas políticas funcionan cuando utilizas la API de CloudWatch Logs o la AWS CLI. AWS SDKs
**Topics**
+ [Ejemplo 1: Permitir el acceso total a CloudWatch los registros](#w2aac59c15c15c23c19b9)
+ [Ejemplo 2: Permitir el acceso de solo lectura a los registros CloudWatch](#w2aac59c15c15c23c19c11)
+ [Ejemplo 3: permitir el acceso a un grupo de registro](#w2aac59c15c15c23c19c13)
#### Ejemplo 1: Permitir el acceso total a CloudWatch los registros
La siguiente política permite a un usuario acceder a todas las acciones de los CloudWatch registros.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Ejemplo 2: Permitir el acceso de solo lectura a los registros CloudWatch
AWS proporciona una **CloudWatchLogsReadOnlyAccess**política que permite el acceso de solo lectura a los datos de los registros. CloudWatch Esta política incluye los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Ejemplo 3: permitir el acceso a un grupo de registro
La siguiente política permite a un usuario leer y escribir eventos de registro en un grupo de registro especificado.
**importante**
El `:*` al final del nombre del grupo de registro en la línea `Resource` es necesario para indicar que la política aplica a todos los flujos de registro de este grupo de registro. Si omite `:*`, no se aplicará la política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### Usar el etiquetado y las políticas de IAM para realizar el control en el nivel de grupo de registro
Puede conceder a los usuarios acceso a determinados grupos de registro al mismo tiempo que les impide tener acceso a otros grupos de registro. Para ello, etiquete los grupos de registro y utilice políticas de IAM que hagan referencia a esas etiquetas. Para aplicar etiquetas a un grupo de registro, debe tener el permiso `logs:TagResource` o `logs:TagLogGroup`. Esto se aplica si asigna etiquetas al grupo de registro cuando lo crea o si las asigna más adelante.
Para obtener más información sobre el etiquetado de grupos de registro, consulte [Etiquetar grupos de registros en Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Al etiquetar grupos de registro, puede conceder una política de IAM a un usuario para permitirle el acceso únicamente a los grupos de registro con una etiqueta determinada. Por ejemplo, la siguiente instrucción de política concede acceso únicamente a los grupos de registro que tienen el valor `Team` para la clave de etiqueta `Green`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
Las operaciones **StopQuery**y las de la **StopLiveTail**API no interactúan con AWS los recursos en el sentido tradicional. No devuelven ningún dato, no colocan ningún dato ni tampoco modifican ningún recurso de ninguna manera. En cambio, solo funcionan en una sesión de seguimiento en vivo determinada o en una consulta de CloudWatch Logs Insights determinada, que no se clasifican como recursos. Por lo tanto, al especificar el campo `Resource` en las políticas de IAM para estas operaciones, debe establecer el valor del campo `Resource` como `*`, como se muestra en el siguiente ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información acerca del uso de instrucciones de política de IAM, consulte [Control del acceso mediante las políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) en la *Guía del usuario de IAM*.
# CloudWatch Referencia de permisos de registro
Puede usar la siguiente tabla como referencia cuando configure [Control de acceso](auth-and-access-control-cwl.md#access-control-cwl) y escriba políticas de permisos que vaya a asociar a una identidad de IAM (políticas basadas en identidad). En la tabla se muestra cada operación de la API de CloudWatch Logs y las acciones correspondientes para las que puede conceder permisos para realizar la acción. Las acciones se especifican en el campo `Action` de la política. Para el `Resource` campo, puede especificar el ARN de un grupo de registros o un flujo de registros, o especificar que represente todos los `*` recursos de CloudWatch registros.
Puede utilizar claves AWS de condición completas en sus políticas de CloudWatch registros para expresar las condiciones. Para obtener una lista completa de las claves AWS generales, consulte las claves de [contexto de condición AWS globales y de IAM en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) de *IAM*.
**nota**
Para especificar una acción, use el prefijo `logs:` seguido del nombre de operación de API. Por ejemplo:`logs:CreateLogGroup`,`logs:CreateLogStream`, o `logs:*` (para todas las acciones de los CloudWatch registros).
**CloudWatch Registra las operaciones de la API y los permisos necesarios para las acciones**
| CloudWatch Registra las operaciones de la API | Permisos necesarios (acciones de API) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` Necesario para cancelar una tarea de exportación en ejecución o pendiente. |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` Necesario para exportar datos desde un grupo de registro a un bucket de Amazon S3. |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` Necesario para crear un nuevo grupo de registro. |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` Necesario para crear un nuevo flujo de registros en un grupo de registro. |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` Necesario para eliminar un destino de registro y deshabilita los filtros de suscripción al mismo. |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` Necesario para eliminar un grupo de registro y todos los eventos de registro asociados. |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` Necesario para eliminar un flujo de registros y todos los eventos de registro asociados. |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` Necesario para eliminar un filtro de métricas asociado con un grupo de registro. |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` Necesario para eliminar una definición de consulta guardada en CloudWatch Logs Insights. |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` Necesario para eliminar una política CloudWatch de recursos de Logs. |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` Necesario para eliminar la política de retención de un grupo de registro. |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` Necesario para eliminar el filtro de suscripción asociado a un grupo de registro. |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` Necesario para ver todos los destinos asociados a la cuenta. |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` Necesario para ver todas las tareas de exportación asociadas a la cuenta. |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` Necesario para ver todos los grupos de registro asociados a la cuenta. |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` Necesario para ver todos los flujos de registro asociados a un grupo de registro. |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` Necesario para ver todas las métricas asociadas a un grupo de registro. |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` Necesario para ver la lista de definiciones de consultas guardadas en CloudWatch Logs Insights. |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` Necesario para ver la lista de consultas de CloudWatch Logs Insights que están programadas, en ejecución o que se han ejecutado recientemente. |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` Necesario para ver una lista de las políticas de recursos de CloudWatch Logs. |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` Necesario para ver todos los filtros de suscripción asociados con un grupo de registro. |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` Necesario para ordenar los eventos de registros por patrón de filtro de grupo de registro. |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` Necesario para recuperar eventos de registro de un flujo de registros. |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` Necesario para recuperar la lista de campos que se incluyen en los eventos de registro de un grupo de registro. |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` Necesario para recuperar los detalles de un único evento de registro. |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` Necesario para obtener el contenido de una gran parte de los eventos de registro que se han ingerido a través de la PutOpenTelemetryLogs API. |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` Necesario para recuperar los resultados de las consultas de CloudWatch Logs Insights. |
| ListEntitiesForLogGroup (permiso CloudWatch solo para consola) | `logs:ListEntitiesForLogGroup` Obligatorio para buscar las entidades asociadas a un grupo de registro. Necesario para explorar los registros relacionados en la CloudWatch consola. |
| ListLogGroupsForEntity (permiso CloudWatch solo para consola) | `logs:ListLogGroupsForEntity` Obligatorio para buscar los grupos de registros asociados a una entidad. Necesario para explorar los registros relacionados en la CloudWatch consola. |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` Necesario para ver las etiquetas asociadas a un grupo de registro. |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` Necesario para ver todos los grupos de registro asociados a la cuenta. |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` Necesario para crear o actualizar un flujo de registros de destino (como, por ejemplo, un flujo de Kinesis). |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` Necesario para crear o actualizar una política de acceso asociada a un destino de registro existente. |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` Necesario para cargar un lote de eventos de registro en un flujo de registros. |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` Necesario para crear o actualizar un filtro de métricas y asociarlo a un grupo de registro. |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` Necesario para guardar una consulta en CloudWatch Logs Insights, incluidas las consultas guardadas con parámetros. |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` Necesario para crear una política CloudWatch de recursos de Logs. |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` Necesario para establecer el número de días que conservar los eventos de registro (retención) en un grupo de registro. |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` Necesario para crear o actualizar un filtro de suscripción y asociarlo a un grupo de registro. |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` Necesario para iniciar las consultas CloudWatch de Logs Insights. Para ejecutar una consulta guardada con parámetros, también necesita`logs:DescribeQueryDefinitions`. |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` Necesario para detener una consulta de CloudWatch Logs Insights que está en curso. |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` Necesario para añadir o actualizar etiquetas de grupo de registro. |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` Necesario para probar un patrón de filtro con respecto a una muestra de mensajes de evento de registro. |
# Uso de roles vinculados a servicios para Logs CloudWatch
Amazon CloudWatch Logs utiliza funciones AWS Identity and Access Management vinculadas a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Logs. CloudWatch Los roles vinculados al servicio están predefinidos en CloudWatch Logs e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio hace que la configuración de CloudWatch los registros sea más eficiente, ya que no es necesario añadir manualmente los permisos necesarios. CloudWatch Logs define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo CloudWatch Logs puede asumir esas funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque los servicios para los que se indique **Sí **en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para Logs CloudWatch
CloudWatch Logs usa el rol vinculado al servicio denominado. **AWSServiceRoleForLogDelivery** CloudWatch Logs usa esta función vinculada a un servicio para escribir registros directamente en Firehose. Para obtener más información, consulte [Habilitar el registro desde AWS los servicios](AWS-logs-and-resource-policy.md).
El rol vinculado al servicio **AWSServiceRoleForLogDelivery** confía en los siguientes servicios para asumir el rol:
+ `logs.amazonaws.com`
La política de permisos de roles permite a CloudWatch Logs realizar las siguientes acciones en los recursos especificados:
+ Acción: `firehose:PutRecord` y `firehose:PutRecordBatch` en todos los flujos de Firehose que tienen una etiqueta con una clave `LogDeliveryEnabled` con un valor de `True`. Esta etiqueta se adjunta automáticamente a un flujo de Firehose cuando crea una suscripción para entregar los registros a Firehose.
Debe configurar los permisos para permitir que una entidad de IAM cree, edite o elimine un rol vinculado al servicio. Esta entidad puede ser un usuario, un grupo o un rol. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para Logs CloudWatch
No necesita crear manualmente un rol vinculado a un servicio. Cuando configuras los registros para que se envíen directamente a una transmisión de Firehose en la Consola de administración de AWS, la o la AWS API AWS CLI, CloudWatch Logs crea el rol vinculado al servicio por ti.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando vuelves a configurar los registros para que se envíen directamente a una transmisión de Firehose, CloudWatch Logs vuelve a crear el rol vinculado al servicio para ti.
## Edición de un rol vinculado a un servicio para Logs CloudWatch
CloudWatch Los registros no permiten editar **AWSServiceRoleForLogDelivery**ni ningún otro rol vinculado a un servicio después de crearlo. Dado que varias entidades pueden hacer referencia al rol, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Logs CloudWatch
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio de CloudWatch registros utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar CloudWatch los recursos de registros utilizados por el rol **AWSServiceRoleForLogDelivery**vinculado al servicio**
+ Deje de enviar registros directamente a los flujos de Firehose.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al **AWSServiceRoleForLogDelivery**servicio. Para obtener más información, consulte [Eliminar un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
### Funciones vinculadas al servicio Regions for Logs CloudWatch compatibles
CloudWatch Logs admite el uso de funciones vinculadas al servicio en todas las AWS regiones en las que el servicio está disponible. Para obtener más información, consulte [CloudWatch Regiones y puntos finales de registros](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region).
# CloudWatch Registra las actualizaciones de las funciones vinculadas AWS al servicio
Consulta los detalles sobre las actualizaciones de la función vinculada al AWS servicio para CloudWatch Logs desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de CloudWatch registro.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| AWSServiceRoleForLogDelivery política de [funciones vinculadas al servicio: se actualiza a una política](AWS-logs-infrastructure-Firehose.md) existente | CloudWatch Los registros cambiaron los permisos de la política de IAM asociados al rol vinculado al **AWSServiceRoleForLogDelivery**servicio. Se realizó el siguiente cambio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 15 de julio de 2021 |
| CloudWatch Los registros empezaron a registrar los cambios | CloudWatch Los registros empezaron a registrar los cambios de sus políticas AWS gestionadas. | 10 de junio de 2021 |