Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour Amazon CloudWatch Logs
L'accès à Amazon CloudWatch Logs nécessite des informations d'identification qui AWS peuvent être utilisées pour authentifier vos demandes. Ces informations d'identification doivent être autorisées à accéder aux AWS ressources, par exemple pour récupérer CloudWatch les données des journaux concernant vos ressources cloud. Les sections suivantes fournissent des informations détaillées sur la manière dont vous pouvez utiliser [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) et CloudWatch les journaux pour sécuriser vos ressources en contrôlant les personnes autorisées à y accéder :
+ [Authentification](#authentication-cwl)
+ [Contrôle d’accès](#access-control-cwl)
## Authentification
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
## Contrôle d’accès
Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais vous ne pouvez pas créer de ressources de CloudWatch journaux ou y accéder sans autorisation. Par exemple, vous devez disposer d'autorisations pour créer des flux de journaux, des groupes de journaux et ainsi de suite.
Les sections suivantes décrivent comment gérer les autorisations pour les CloudWatch journaux. Nous vous recommandons de lire d’abord la présentation.
+ [Vue d'ensemble de la gestion des autorisations d'accès à vos ressources CloudWatch Logs](iam-access-control-overview-cwl.md)
+ [Utilisation de politiques basées sur l'identité (politiques IAM) pour les journaux CloudWatch](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Référence des autorisations de journalisation](permissions-reference-cwl.md)
# Vue d'ensemble de la gestion des autorisations d'accès à vos ressources CloudWatch Logs
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
**Topics**
+ [CloudWatch Enregistre les ressources et les opérations](#CWL_ARN_Format)
+ [Présentation de la propriété des ressources](#understanding-resource-ownership-cwl)
+ [Gestion de l’accès aux ressources](#managing-access-resources-cwl)
+ [Spécification des éléments d'une politique : actions, effets et mandataires](#actions-effects-principals-cwl)
+ [Spécification de conditions dans une politique](#policy-conditions-cwl)
## CloudWatch Enregistre les ressources et les opérations
Dans CloudWatch Logs, les principales ressources sont les groupes de journaux, les flux de journaux et les destinations. CloudWatch Les journaux ne prennent pas en charge les sous-ressources (autres ressources à utiliser avec la ressource principale).
Ces ressources et sous-ressources sont associées à des noms de ressources Amazon uniques (ARNs), comme indiqué dans le tableau suivant.
| Type de ressource | Format ARN |
| --- | --- |
| Groupe de journaux | Les deux éléments suivants sont utilisés. Le second, avec le `:*` à la fin, est ce qui est renvoyé par la commande `describe-log-groups` CLI et l'**DescribeLogGroups**API. arn:aws:logs : ::log-group : *region* *account-id* *log\$1group\$1name* arn:aws:logs : ::log-group : : \$1 *region* *account-id* *log\$1group\$1name* Utilisez la première version, sans la suite`:*`, dans les situations suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) Utilisez la deuxième version, avec la fin`:*`, pour faire référence à l'ARN lorsque vous spécifiez des autorisations dans les politiques IAM pour toutes les autres actions d'API. |
| Flux de journaux | arn:aws:logs : ::log-group ::log-stream : *region* *account-id* *log\$1group\$1name* *log-stream-name* |
| Destination | arn:aws:logs : ::destination : *region* *account-id* *destination\$1name* |
Pour plus d'informations ARNs, consultez le *Guide de [ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)l'utilisateur d'IAM*. Pour plus d'informations sur CloudWatch les journaux ARNs, consultez [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs) dans *Référence générale d'Amazon Web Services*. Pour un exemple de politique couvrant les CloudWatch journaux, consultez[Utilisation de politiques basées sur l'identité (politiques IAM) pour les journaux CloudWatch](iam-identity-based-access-control-cwl.md).
CloudWatch Logs fournit un ensemble d'opérations permettant d'utiliser les ressources CloudWatch Logs. Pour obtenir la liste des opérations disponibles, consultez [CloudWatch Référence des autorisations de journalisation](permissions-reference-cwl.md).
## Présentation de la propriété des ressources
Le AWS compte possède les ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'[entité principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (c'est-à-dire le compte root, un utilisateur ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :
+ Si vous utilisez les informations d'identification du compte root de votre AWS compte pour créer un groupe de journaux, votre AWS compte est le propriétaire de la ressource CloudWatch Logs.
+ Si vous créez un utilisateur dans votre AWS compte et que vous accordez l'autorisation de créer CloudWatch des ressources Logs à cet utilisateur, celui-ci peut créer des ressources CloudWatch Logs. Cependant, votre AWS compte, auquel appartient l'utilisateur, possède les ressources CloudWatch Logs.
+ Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour créer des ressources de CloudWatch journaux, toute personne pouvant assumer ce rôle peut créer des ressources de CloudWatch journaux. Votre AWS compte, auquel appartient le rôle, possède les ressources CloudWatch Logs.
## Gestion de l’accès aux ressources
Une *politique d'autorisation* décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
**Note**
Cette section décrit l'utilisation d'IAM dans le contexte des CloudWatch journaux. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez la rubrique[ Qu'est-ce que IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d’informations sur la syntaxe et les descriptions des politiques IAM, consultez la [Référence des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l’utilisateur IAM*.
Les politiques associées à une identité IAM sont appelées politiques basées sur l'identité (politiques IAM) et les politiques associées à une ressource sont appelées politiques basées sur les ressources. CloudWatch Logs prend en charge les politiques basées sur l'identité et les politiques basées sur les ressources pour les destinations, qui sont utilisées pour activer les abonnements entre comptes. Pour de plus amples informations, veuillez consulter [Abonnements entre comptes et entre régions](CrossAccountSubscriptions.md).
**Topics**
+ [Autorisations de groupe de journaux et informations sur Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [Politiques basées sur les ressources](#resource-based-policies-cwl)
### Autorisations de groupe de journaux et informations sur Contributor Insights
Contributor Insights est une fonctionnalité CloudWatch qui vous permet d'analyser les données des groupes de journaux et de créer des séries chronologiques qui affichent les données des contributeurs. Vous pouvez voir les mesures concernant les premiers contributeurs, le nombre total de contributeurs uniques et leur utilisation. Pour plus d'informations, consultez [Utilisation de Contributor Insights pour analyser des données de cardinalité élevée](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html).
Lorsque vous accordez à un utilisateur les `cloudwatch:GetInsightRuleReport` autorisations `cloudwatch:PutInsightRule` et, celui-ci peut créer une règle qui évalue n'importe quel groupe de CloudWatch journaux dans Logs, puis en voir les résultats. Les résultats peuvent contenir des données de contributeur pour ces groupes de journaux. Veillez à n'accorder ces autorisations qu'aux utilisateurs qui doivent pouvoir visualiser ces données.
### Politiques basées sur les ressources
CloudWatch Logs prend en charge les politiques basées sur les ressources pour les destinations, que vous pouvez utiliser pour activer les abonnements entre comptes. Pour de plus amples informations, veuillez consulter [Étape 1 : créer une destination](CreateDestination.md). Les destinations peuvent être créées à l'aide de l'[PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API, et vous pouvez ajouter une politique de ressources à la destination à l'aide de l'[PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)API. L'exemple suivant permet à un autre compte AWS avec l'ID de compte 111122223333 d'abonner ses groupes de journaux à la destination `arn:aws:logs:us-east-1:123456789012:destination:testDestination`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## Spécification des éléments d'une politique : actions, effets et mandataires
Pour chaque ressource CloudWatch Logs, le service définit un ensemble d'opérations d'API. Pour accorder des autorisations pour ces opérations d'API, CloudWatch Logs définit un ensemble d'actions que vous pouvez spécifier dans une politique. Certaines opérations d'API peuvent exiger des autorisations pour plusieurs actions afin de réaliser l'opération d'API. Pour plus d'informations sur les ressources et les opérations de l'API, consultez [CloudWatch Enregistre les ressources et les opérations](#CWL_ARN_Format) et [CloudWatch Référence des autorisations de journalisation](permissions-reference-cwl.md).
Voici les éléments de base d'une politique :
+ **Ressource :** vous utilisez un nom Amazon Resource Name (ARN) pour identifier la ressource à laquelle s'applique la politique. Pour plus d'informations, consultez [CloudWatch Enregistre les ressources et les opérations](#CWL_ARN_Format).
+ **Action :** vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'autorisation `logs.DescribeLogGroups` permet à l'utilisateur d'effectuer l'opération `DescribeLogGroups`.
+ **Effet** - Vous spécifiez l'effet produit, autorisation ou refus, lorsque l'utilisateur demande l'action spécifique. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
+ **Principal** – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). CloudWatch Logs prend en charge les politiques basées sur les ressources pour les destinations.
Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez [Référence de stratégie IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Pour un tableau présentant toutes les actions de l'API CloudWatch Logs et les ressources auxquelles elles s'appliquent, consultez[CloudWatch Référence des autorisations de journalisation](permissions-reference-cwl.md).
## Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy pour spécifier les conditions définissant quand une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Pour obtenir la liste des clés de contexte prises en charge par chaque AWS service et une liste des AWS clés de politique générales, consultez [les sections Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) et [clés contextuelles de condition AWS globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
**Note**
Vous pouvez utiliser des balises pour contrôler l'accès aux ressources CloudWatch des journaux, notamment aux groupes de journaux et aux destinations. L'accès aux flux de journaux est contrôlé au niveau du groupe de journaux, en raison de la relation hiérarchique entre les groupes de journaux et les flux de journaux. Pour plus d'informations sur l'utilisation d'identifications pour contrôler l'accès, consultez [Contrôle de l'accès aux ressources Amazon Web Services à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
# Utilisation de politiques basées sur l'identité (politiques IAM) pour les journaux CloudWatch
Cette rubrique fournit des exemples de politiques basées sur une identité dans lesquelles un administrateur de compte peut attacher des politiques d’autorisation aux identités IAM (c’est-à-dire aux utilisateurs, groupes et rôles).
**Important**
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos ressources CloudWatch Logs. Pour de plus amples informations, veuillez consulter [Vue d'ensemble de la gestion des autorisations d'accès à vos ressources CloudWatch Logs](iam-access-control-overview-cwl.md).
Cette rubrique aborde les points suivants :
+ [Autorisations requises pour utiliser la CloudWatch console](#console-permissions-cwl)
+ [AWS politiques gérées (prédéfinies) pour les CloudWatch journaux](#managed-policies-cwl)
+ [Exemples de politiques gérées par le client](#customer-managed-policies-cwl)
Un exemple de stratégie d'autorisation est exposé ci-dessous :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Cette stratégie comporte une instruction qui accorde des autorisations pour créer des groupes et des flux de journaux, pour télécharger des événements de journaux et pour répertorier des détails sur les flux de journaux.
Le caractère générique (\$1) à la fin de la valeur `Resource` signifie que l'instruction permet l'autorisation des actions `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents` et `logs:DescribeLogStreams` sur tout groupe de journaux. Pour limiter cette autorisation à un groupe de journaux spécifique, remplacez le caractère générique (\$1) de l'ARN de la ressource par l'ARN du groupe de journaux spécifique. Pour plus d'informations sur les éléments d'une déclaration de politique IAM, consultez [Références des éléments de politique IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) dans le *Guide de l'utilisateur IAM*. Pour obtenir la liste de toutes les actions de CloudWatch journalisation, consultez[CloudWatch Référence des autorisations de journalisation](permissions-reference-cwl.md).
## Autorisations requises pour utiliser la CloudWatch console
Pour qu'un utilisateur puisse utiliser les CloudWatch journaux dans la CloudWatch console, il doit disposer d'un ensemble minimal d'autorisations lui permettant de décrire les autres AWS ressources de son AWS compte. Pour utiliser les CloudWatch journaux dans la CloudWatch console, vous devez disposer des autorisations des services suivants :
+ CloudWatch
+ CloudWatch Journaux
+ OpenSearch Service
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour garantir que ces utilisateurs peuvent toujours utiliser la CloudWatch console, attachez également la politique `CloudWatchReadOnlyAccess` gérée à l'utilisateur, comme décrit dans[AWS politiques gérées (prédéfinies) pour les CloudWatch journaux](#managed-policies-cwl).
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API Logs AWS CLI ou l'API CloudWatch Logs.
L'ensemble complet des autorisations requises pour utiliser la CloudWatch console pour un utilisateur qui n'utilise pas la console pour gérer les abonnements aux journaux est le suivant :
+ surveillance des nuages : GetMetricData
+ surveillance des nuages : ListMetrics
+ journaux : CancelExportTask
+ journaux : CreateExportTask
+ journaux : CreateLogGroup
+ journaux : CreateLogStream
+ journaux : DeleteLogGroup
+ journaux : DeleteLogStream
+ journaux : DeleteMetricFilter
+ journaux : DeleteQueryDefinition
+ journaux : DeleteRetentionPolicy
+ journaux : DeleteSubscriptionFilter
+ journaux : DescribeExportTasks
+ journaux : DescribeLogGroups
+ journaux : DescribeLogStreams
+ journaux : DescribeMetricFilters
+ journaux : DescribeQueryDefinitions
+ journaux : DescribeQueries
+ journaux : DescribeSubscriptionFilters
+ journaux : FilterLogEvents
+ journaux : GetLogEvents
+ journaux : GetLogGroupFields
+ journaux : GetLogRecord
+ journaux : GetQueryResults
+ journaux : PutMetricFilter
+ journaux : PutQueryDefinition
+ journaux : PutRetentionPolicy
+ journaux : StartQuery
+ journaux : StopQuery
+ journaux : PutSubscriptionFilter
+ journaux : TestMetricFilter
Pour un utilisateur qui se servira également de la console pour gérer les abonnements aux journaux, les autorisations suivantes sont requises :
+ Oui : DescribeElasticsearchDomain
+ Oui : ListDomainNames
+ iam : AttachRolePolicy
+ iam : CreateRole
+ iam : GetPolicy
+ iam : GetPolicyVersion
+ iam : GetRole
+ iam : ListAttachedRolePolicies
+ iam : ListRoles
+ kinésie : DescribeStreams
+ kinésie : ListStreams
+ lambda : AddPermission
+ lambda : CreateFunction
+ lambda : GetFunctionConfiguration
+ lambda : ListAliases
+ lambda : ListFunctions
+ lambda : ListVersionsByFunction
+ lambda : RemovePermission
+ s3 : ListBuckets
## AWS politiques gérées (prédéfinies) pour les CloudWatch journaux
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez [ Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l'utilisateur IAM*.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs et aux rôles de votre compte, sont spécifiques aux CloudWatch journaux :
+ **CloudWatchLogsFullAccess**— Accorde un accès complet aux CloudWatch journaux.
+ **CloudWatchLogsReadOnlyAccess**— Accorde un accès en lecture seule aux journaux. CloudWatch
### CloudWatchLogsFullAccess
La **CloudWatchLogsFullAccess**politique accorde un accès complet aux CloudWatch journaux. La politique inclut les `cloudwatch:GenerateQueryResultsSummary` autorisations `cloudwatch:GenerateQuery` et, de sorte que les utilisateurs dotés de cette politique peuvent générer une chaîne de requête [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) à partir d'une invite en langage naturel. Pour consulter le contenu complet de la politique, consultez [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)le *Guide de référence des politiques AWS gérées*.
### CloudWatchLogsReadOnlyAccess
La **CloudWatchLogsReadOnlyAccess**politique accorde un accès en lecture seule aux journaux. CloudWatch Elle inclut les `cloudwatch:GenerateQueryResultsSummary` autorisations `cloudwatch:GenerateQuery` et, de sorte que les utilisateurs soumis à cette politique peuvent générer une chaîne de requête [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) à partir d'une invite en langage naturel. Pour consulter le contenu complet de la politique, consultez [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.
### CloudWatchOpenSearchDashboardsFullAccess
La **CloudWatchOpenSearchDashboardsFullAccess**politique accorde l'accès pour créer, gérer et supprimer des intégrations avec OpenSearch Service, ainsi que pour créer, supprimer et gérer des tableaux de bord de journaux vendus dans ces intégrations. Pour de plus amples informations, veuillez consulter [Analyser avec Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
Pour consulter le contenu complet de la politique, consultez [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)le *Guide de référence des politiques AWS gérées*.
### CloudWatchOpenSearchDashboardAccess
La **CloudWatchOpenSearchDashboardAccess**politique autorise l'accès aux tableaux de bord des journaux vendus créés à l'aide Amazon OpenSearch Service d'analyses. Pour de plus amples informations, veuillez consulter [Analyser avec Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**Important**
Outre l'octroi de cette politique, pour permettre à un rôle ou à un utilisateur de consulter les tableaux de bord des journaux vendus, vous devez également les spécifier lors de la création de l'intégration avec OpenSearch Service. Pour de plus amples informations, veuillez consulter [Étape 1 : Création de l'intégration avec le OpenSearch service](OpenSearch-Dashboards-Integrate.md).
Pour consulter le contenu complet de la politique, consultez [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)le *Guide de référence des politiques AWS gérées*.
#### CloudWatchLogsCrossAccountSharingConfiguration
La **CloudWatchLogsCrossAccountSharingConfiguration**politique accorde l'accès à la création, à la gestion et à l'affichage des liens d'Observability Access Manager pour partager les ressources CloudWatch des journaux entre les comptes. Pour plus d'informations, consultez la section [Observabilité inter-comptes de CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) (français non garanti).
Pour consulter le contenu complet de la politique, consultez [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)le *Guide de référence des politiques AWS gérées*.
#### CloudWatchLogsAPIKeyAccès
La politique **CloudWatchLogsAPIKeyd'accès** permet l'authentification par clé de l'API CloudWatch Logs et l'ingestion cryptée des journaux. Cette politique accorde des autorisations pour s'authentifier à l'aide de jetons porteurs et pour écrire les événements du journal dans les CloudWatch journaux, avec des AWS KMS autorisations supplémentaires pour le déchiffrement et la génération de clés de données lorsque les journaux sont chiffrés.
Cette stratégie accorde les autorisations suivantes :
+ `logs`— Permet aux principaux de s'authentifier via des jetons porteurs de clés de l'API et d'écrire les événements du journal dans les flux de CloudWatch journaux.
+ `kms`— Permet aux principaux de lire les métadonnées des AWS KMS clés, de générer des clés de données pour le chiffrement et de déchiffrer les données. Ces autorisations prennent en charge le chiffrement CloudWatch des journaux en permettant au service de chiffrer les données des journaux à l'aide de clés gérées par le client AWS KMS . L'accès est limité aux opérations appelées via le service CloudWatch Logs.
Pour plus de détails sur la politique, y compris la dernière version du document de politique JSON, consultez [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) dans le *guide de référence des politiques AWS gérées*.
### CloudWatch Enregistre les mises à jour des politiques AWS gérées
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour CloudWatch les journaux depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document CloudWatch Logs.
| Modifier | Description | Date |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccès](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) — Nouvelle politique. | CloudWatch Les journaux ont ajouté une nouvelle politique gérée **CloudWatchLogsAPIKeyAccess**. Cette politique permet l'authentification par clé de l'API CloudWatch Logs et l'ingestion cryptée des journaux, en accordant les autorisations d'authentification à l'aide de jetons porteurs et d'écriture des événements de journal dans Logs. CloudWatch | 17 février 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsFullAccess**. Des autorisations pour les actions d'administration de l'observabilité ont été ajoutées pour permettre l'accès en lecture seule aux pipelines de télémétrie et aux intégrations de tables S3. | 2 décembre 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsReadOnlyAccess**. Des autorisations pour les actions d'administration de l'observabilité ont été ajoutées pour permettre l'accès en lecture seule aux pipelines de télémétrie et aux intégrations de tables S3. | 2 décembre 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsFullAccess**. Des autorisations pour `cloudwatch:GenerateQueryResultsSummary` ont été ajoutées pour permettre la génération d'un résumé en langage naturel des résultats de la requête. | 20 mai 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsReadOnlyAccess**. Des autorisations pour `cloudwatch:GenerateQueryResultsSummary` ont été ajoutées pour permettre la génération d'un résumé en langage naturel des résultats de la requête. | 20 mai 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - Mettre à jour vers une politique existante. | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsFullAccess**. Des autorisations pour Amazon OpenSearch Service et IAM ont été ajoutées, afin de permettre l'intégration CloudWatch des journaux au OpenSearch service pour certaines fonctionnalités. | 1er décembre 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Nouvelle politique IAM. | CloudWatch Logs a ajouté une nouvelle politique IAM, **CloudWatchOpenSearchDashboardsFullAccess**.- Cette politique accorde l'accès pour créer, gérer et supprimer des intégrations avec OpenSearch Service, et pour créer, gérer et supprimer des tableaux de bord de journaux vendus dans ces intégrations. Pour de plus amples informations, veuillez consulter [Analyser avec Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1er décembre 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Nouvelle politique IAM. | CloudWatch Logs a ajouté une nouvelle politique IAM, **CloudWatchOpenSearchDashboardAccess**.- Cette politique permet d'accéder aux tableaux de bord des journaux vendus alimentés par. Amazon OpenSearch Service Pour de plus amples informations, veuillez consulter [Analyser avec Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1er décembre 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) - Mettre à jour vers une politique existante. | CloudWatch Logs a ajouté une autorisation à **CloudWatchLogsFullAccess**. L'`cloudwatch:GenerateQuery`autorisation a été ajoutée afin que les utilisateurs soumis à cette politique puissent générer une chaîne de requête [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) à partir d'une invite en langage naturel. | 27 novembre 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) - Mettre à jour vers une politique existante. | CloudWatch a ajouté une autorisation à **CloudWatchLogsReadOnlyAccess**. L'`cloudwatch:GenerateQuery`autorisation a été ajoutée afin que les utilisateurs soumis à cette politique puissent générer une chaîne de requête [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) à partir d'une invite en langage naturel. | 27 novembre 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) : mise à jour d’une politique existante | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsReadOnlyAccess**. Les `logs:StopLiveTail` autorisations `logs:StartLiveTail` et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour démarrer et arrêter CloudWatch les sessions Logs Live Tail. Pour plus d'informations, veuillez consulter [Utilisation de Live Tail pour visualiser les journaux en temps quasi réel](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 juin 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) : nouvelle politique | CloudWatch Logs a ajouté une nouvelle politique pour vous permettre de gérer les liens d'observabilité CloudWatch entre comptes qui partagent des groupes de CloudWatch journaux Logs. Pour plus d'informations, consultez la [ CloudWatch section Observabilité entre comptes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 novembre 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) : mise à jour d’une politique existante | CloudWatch Les journaux ont ajouté des autorisations à **CloudWatchLogsReadOnlyAccess**. Les `oam:ListAttachedLinks` autorisations `oam:ListSinks` et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes. | 27 novembre 2022 |
### Exemples de politiques gérées par le client
Vous pouvez créer vos propres politiques IAM personnalisées pour autoriser les actions et les ressources des CloudWatch journaux. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui nécessitent ces autorisations.
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions de CloudWatch journalisation. Ces politiques fonctionnent lorsque vous utilisez l'API CloudWatch Logs AWS SDKs, ou le AWS CLI.
**Topics**
+ [Exemple 1 : Autoriser l'accès complet aux CloudWatch journaux](#w2aac59c15c15c23c19b9)
+ [Exemple 2 : Autoriser l'accès en lecture seule aux journaux CloudWatch](#w2aac59c15c15c23c19c11)
+ [Exemple 3 : Autoriser l'accès à un groupe de journaux](#w2aac59c15c15c23c19c13)
#### Exemple 1 : Autoriser l'accès complet aux CloudWatch journaux
La politique suivante permet à un utilisateur d'accéder à toutes les actions CloudWatch des journaux.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Exemple 2 : Autoriser l'accès en lecture seule aux journaux CloudWatch
AWS fournit une **CloudWatchLogsReadOnlyAccess**politique qui permet l'accès en lecture seule aux CloudWatch données des journaux. Cette politique inclut les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Exemple 3 : Autoriser l'accès à un groupe de journaux
La stratégie suivante permet à un utilisateur de lire et d'écrire des événements de journaux dans un groupe de journaux spécifié.
**Important**
Le `:*` à la fin du nom du groupe de journaux dans la ligne `Resource` est obligatoire pour indiquer que la stratégie s'applique à tous les flux de journaux de ce groupe de journaux. Si vous omettez `:*`, la politique ne sera pas appliquée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### Utilisation de l'étiquetage, et des politiques IAM pour le contrôle au niveau du groupe de journaux
Vous pouvez accorder aux utilisateurs l'accès à certains groupes de journaux tout en leur empêchant d'accéder à d'autres groupes de journaux. Pour ce faire, étiquetez vos groupes de journaux et utilisez les politiques IAM qui font référence à ces identifications. Pour appliquer des balises à un groupe de journaux, vous devez disposer de l'autorisation `logs:TagResource` ou `logs:TagLogGroup`. Cela s'applique à la fois si vous attribuez des balises au groupe de journaux lorsque vous le créez ou si vous les attribuez ultérieurement.
Pour plus d'informations sur le balisage des groupes de journaux, consultez [Étiqueter les groupes de journaux dans Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Lorsque vous étiquetez les groupes de journaux, vous pouvez ensuite accorder une politique IAM à un utilisateur pour autoriser l'accès uniquement aux groupes de journaux associés à une identification particulière. Par exemple, la déclaration de stratégie suivante accorde l'accès uniquement aux groupes de journaux avec la valeur de `Green` pour la clé de balise `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
Les opérations **StopQuery**et **StopLiveTail**API n'interagissent pas avec les AWS ressources au sens traditionnel du terme. Elles ne renvoient aucune donnée, ne mettent aucune donnée et ne modifient aucune ressource de quelque façon que ce soit. Au lieu de cela, ils ne fonctionnent que sur une session de live tail donnée ou une requête CloudWatch Logs Insights donnée, qui ne sont pas classées dans la catégorie des ressources. Par conséquent, lorsque vous spécifiez le champ `Resource` dans les politiques IAM pour ces opérations, vous devez définir la valeur du champ `Resource` en tant que `*`, comme dans l'exemple de commande suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur l'utilisation des instructions de politique IAM, consultez [Contrôle de l'accès à l'aide des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) dans le *Guide de l'utilisateur IAM*.
# CloudWatch Référence des autorisations de journalisation
Lorsque vous configurez des politiques d'autorisation d'écriture et de [Contrôle d’accès](auth-and-access-control-cwl.md#access-control-cwl) que vous pouvez attacher à une entité IAM (politiques basées sur une identité), vous pouvez utiliser le tableau ci-dessous comme référence. Le tableau répertorie chaque opération de l'API CloudWatch Logs et les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action. Vous spécifiez les actions dans le champ `Action` de la politique. Pour le `Resource` champ, vous pouvez spécifier l'ARN d'un groupe de journaux ou d'un flux de journaux, ou spécifier `*` pour représenter toutes les ressources de CloudWatch journaux.
Vous pouvez utiliser des AWS clés de condition larges dans vos politiques de CloudWatch journalisation pour exprimer des conditions. Pour obtenir la liste complète des clés « AWS wide », reportez-vous à la section [Clés contextuelles AWS globales et IAM Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) du guide de l'*utilisateur IAM*.
**Note**
Pour spécifier une action, utilisez le préfixe `logs:` suivi du nom de l'opération d'API. Par exemple : `logs:CreateLogGroup``logs:CreateLogStream`, ou `logs:*` (pour toutes les actions CloudWatch Logs).
**CloudWatch Enregistre les opérations de l'API et les autorisations requises pour les actions**
| CloudWatch Journalise les opérations de l'API | Autorisations requises (actions d'API) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` Exigé pour annuler une tâche d'exportation en attente ou en cours d'exécution. |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` Exigé pour exporter des données d'un groupe de journaux vers un compartiment Amazon S3. |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` Exigé pour créer un nouveau groupe de journaux. |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` Exigé pour créer un nouveau flux de journaux dans un groupe de journaux. |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` Exigé pour supprimer une destination de journal et désactive tous les filtres d'abonnement connexes. |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` Exigé pour supprimer un groupe de journaux et tous les événements du journal archivés associés. |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` Exigé pour supprimer un flux de journaux et tous les événements du journal archivés associés. |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` Exigé pour supprimer un filtre de métrique associé à un groupe de journaux. |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` Nécessaire pour supprimer une définition de requête enregistrée dans CloudWatch Logs Insights. |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` Nécessaire pour supprimer une politique de ressources CloudWatch Logs. |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` Exigé pour supprimer la politique de rétention d'un groupe de journaux. |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` Exigé pour supprimer le filtre d'abonnement associé à un groupe de journaux. |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` Exigé pour afficher toutes les destinations associées au compte. |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` Exigé pour afficher toutes les tâches d'exportation associées au compte. |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` Exigé pour afficher tous les groupes de journaux associés au compte. |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` Exigé pour afficher tous les flux de journaux associés à un groupe de journaux. |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` Exigé pour afficher toutes les métriques associées à un groupe de journaux. |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` Nécessaire pour voir la liste des définitions de requêtes enregistrées dans CloudWatch Logs Insights. |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` Obligatoire pour voir la liste des requêtes CloudWatch Logs Insights planifiées, en cours d'exécution ou récemment exécutées. |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` Obligatoire pour consulter la liste des politiques relatives CloudWatch aux ressources des journaux. |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` Exigé pour afficher tous les filtres d'abonnement associés à un groupe de journaux. |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` Exigé pour trier les événements du journal par modèle de filtres de groupes de journaux. |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` Exigé pour récupérer les événements du journal à partir d'un flux de journaux. |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` Obligatoire pour récupérer la liste des champs qui sont inclus dans les événements du journal d'un groupe de journaux. |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` Obligatoire pour récupérer des informations à partir d'un seul événement du journal. |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` Nécessaire pour récupérer le contenu d'une grande partie des événements du journal qui ont été ingérés via l' PutOpenTelemetryLogs API. |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` Nécessaire pour récupérer les résultats des requêtes CloudWatch Logs Insights. |
| ListEntitiesForLogGroup (autorisation CloudWatch réservée à la console) | `logs:ListEntitiesForLogGroup` Obligatoire pour trouver les entités associées à un groupe de journaux. Nécessaire pour explorer les journaux associés dans la CloudWatch console. |
| ListLogGroupsForEntity (autorisation CloudWatch réservée à la console) | `logs:ListLogGroupsForEntity` Nécessaire pour trouver les groupes de journaux associés à une entité. Nécessaire pour explorer les journaux associés dans la CloudWatch console. |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` Exigé pour afficher toutes les étiquettes associées à un groupe de journaux. |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` Exigé pour afficher tous les groupes de journaux associés au compte. |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` Exigé pour créer ou mettre à jour un flux de journaux de destination (comme un flux Kinesis). |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` Exigé pour créer ou mettre à jour une politique d'accès associée à une destination de journal existante. |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` Exigé pour charger un lot d'événements du journal dans un flux de journaux. |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` Exigé pour créer ou mettre à jour un filtre de métrique et l'associer à un groupe de journaux. |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` Nécessaire pour enregistrer une requête dans CloudWatch Logs Insights, y compris les requêtes enregistrées avec paramètres. |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` Nécessaire pour créer une politique de ressources CloudWatch Logs. |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` Exigé pour définir le nombre de jours de conservation des événements du journal (rétention) dans un groupe de journaux. |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` Exigé pour créer ou mettre à jour un filtre d'abonnement et l'associer à un groupe de journaux. |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` Nécessaire pour démarrer CloudWatch les requêtes Logs Insights. Pour exécuter une requête enregistrée avec des paramètres, vous devez également`logs:DescribeQueryDefinitions`. |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` Nécessaire pour arrêter une requête CloudWatch Logs Insights en cours. |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` Exigé pour ajouter ou mettre à jour des étiquettes de groupe de journaux. |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` Exigé pour tester un modèle de filtre par rapport à un échantillonnage de messages d'événements du journal. |
# Utilisation de rôles liés à un service pour les journaux CloudWatch
Amazon CloudWatch Logs utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié aux journaux. CloudWatch Les rôles liés au service sont prédéfinis par CloudWatch Logs et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service rend la configuration CloudWatch des journaux plus efficace, car vous n'êtes pas obligé d'ajouter manuellement les autorisations nécessaires. CloudWatch Logs définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul CloudWatch Logs peut assumer ces rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Cette politique d'autorisations ne peut pas être attachée à une autre entité IAM.
Pour obtenir des informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez les services qui comportent un **Oui** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées au service pour les journaux CloudWatch
CloudWatch Logs utilise le rôle lié au service nommé. **AWSServiceRoleForLogDelivery** CloudWatch Logs utilise ce rôle lié à un service pour écrire des journaux directement dans Firehose. Pour de plus amples informations, veuillez consulter [Activer la journalisation à partir AWS des services](AWS-logs-and-resource-policy.md).
Le rôle lié à un service **AWSServiceRoleForLogDelivery** approuve les services suivants pour endosser le rôle :
+ `logs.amazonaws.com`
La politique d'autorisation des rôles permet à CloudWatch Logs d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `firehose:PutRecord` et `firehose:PutRecordBatch` sur tous les streams Firehose dotés d'une balise dont la `LogDeliveryEnabled` clé a une valeur de. `True` Cette balise est automatiquement attachée à un stream Firehose lorsque vous créez un abonnement pour transmettre les journaux à Firehose.
Vous devez configurer les autorisations pour permettre à une entité IAM de créer, modifier ou supprimer un rôle lié à un service. Cette entité peut être un utilisateur, un groupe ou un rôle. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le * Guide de l'utilisateur IAM*
## Création d'un rôle lié à un service pour Logs CloudWatch
Vous n'êtes pas obligé de créer manuellement un rôle lié à un service. Lorsque vous configurez des journaux pour qu'ils soient envoyés directement à un flux Firehose via l' AWS Management Console AWS API AWS CLI, CloudWatch Logs crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous configurez à nouveau les journaux pour qu'ils soient envoyés directement à un stream Firehose, CloudWatch Logs crée à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour Logs CloudWatch
CloudWatch Les journaux ne vous permettent pas de modifier le rôle, ni de le modifier **AWSServiceRoleForLogDelivery**, ni de l'utiliser pour tout autre rôle lié à un service, une fois que vous l'avez créé. Vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Logs CloudWatch
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service CloudWatch Logs utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources CloudWatch Logs utilisées par le rôle lié à **AWSServiceRoleForLogDelivery**un service**
+ Arrêtez d'envoyer des logs directement aux streams Firehose.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au **AWSServiceRoleForLogDelivery**service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
### Régions prises en charge pour les CloudWatch rôles liés au service Logs
CloudWatch Logs prend en charge l'utilisation de rôles liés à un service dans toutes les AWS régions où le service est disponible. Pour plus d'informations, consultez la section [CloudWatch Logs, régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region).
# CloudWatch Enregistre les mises à jour des rôles liés aux AWS services
Consultez les détails des mises à jour apportées au rôle lié au AWS service pour CloudWatch Logs depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document CloudWatch Logs.
| Modifier | Description | Date |
| --- | --- | --- |
| AWSServiceRoleForLogDelivery politique [de rôle liée au service — Mise à jour d'une politique](AWS-logs-infrastructure-Firehose.md) existante | CloudWatch Les journaux ont modifié les autorisations de la politique IAM associée au rôle lié au **AWSServiceRoleForLogDelivery**service. La modification suivante a été apportée : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 15 juillet 2021 |
| CloudWatch Les journaux ont commencé à suivre les modifications | CloudWatch Logs a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 10 juin 2021 |