Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Ikhtisar mengelola izin akses ke sumber daya CloudWatch Log Anda
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
**Topics**
+ [CloudWatch Log sumber daya dan operasi](#CWL_ARN_Format)
+ [Memahami kepemilikan sumber daya](#understanding-resource-ownership-cwl)
+ [Mengelola akses ke sumber daya](#managing-access-resources-cwl)
+ [Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab](#actions-effects-principals-cwl)
+ [Menetapkan ketentuan dalam kebijakan](#policy-conditions-cwl)
## CloudWatch Log sumber daya dan operasi
Di CloudWatch Log, sumber daya utama adalah grup log, aliran log, dan tujuan. CloudWatch Log tidak mendukung subsumber daya (sumber daya lain untuk digunakan dengan sumber daya utama).
Sumber daya dan subsumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya seperti yang ditunjukkan pada tabel berikut.
| Tipe sumber daya | Format ARN |
| --- | --- |
| Grup log | Kedua hal berikut ini digunakan. Yang kedua, dengan `:*` di akhir, adalah apa yang dikembalikan oleh perintah `describe-log-groups` CLI dan API. **DescribeLogGroups** arn:aws:logs: ::log-group: *region* *account-id* *log\$1group\$1name* arn:aws:logs: ::log-group:: \$1 *region* *account-id* *log\$1group\$1name* Gunakan versi pertama, tanpa trailing`:*`, dalam situasi berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) Gunakan versi kedua, dengan tambahan`:*`, untuk merujuk ke ARN saat menentukan izin dalam kebijakan IAM untuk semua tindakan API lainnya. |
| Pengaliran log | arn:aws:logs: ::log-group ::log-stream: *region* *account-id* *log\$1group\$1name* *log-stream-name* |
| Tujuan | arn:aws:logs: ::tujuan: *region* *account-id* *destination\$1name* |
Untuk informasi selengkapnya ARNs, lihat [ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)di *Panduan Pengguna IAM*. Untuk informasi tentang CloudWatch Log ARNs, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs) di *Referensi Umum Amazon Web Services*. Untuk contoh kebijakan yang mencakup CloudWatch Log, lihat[Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch](iam-identity-based-access-control-cwl.md).
CloudWatch Log menyediakan serangkaian operasi untuk bekerja dengan sumber daya CloudWatch Log. Untuk daftar operasi yang tersedia, lihat [CloudWatch Referensi izin log](permissions-reference-cwl.md).
## Memahami kepemilikan sumber daya
AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun [entitas utama](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (yaitu, akun root, pengguna, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:
+ Jika Anda menggunakan kredensi akun root AWS akun Anda untuk membuat grup log, AWS akun Anda adalah pemilik sumber daya CloudWatch Log.
+ Jika Anda membuat pengguna di AWS akun Anda dan memberikan izin untuk membuat sumber daya CloudWatch Log kepada pengguna tersebut, pengguna dapat membuat sumber daya CloudWatch Log. Namun, AWS akun Anda, yang menjadi milik pengguna, memiliki sumber daya CloudWatch Log.
+ Jika Anda membuat peran IAM di AWS akun Anda dengan izin untuk membuat sumber daya CloudWatch Log, siapa pun yang dapat mengambil peran tersebut dapat membuat sumber daya CloudWatch Log. AWS Akun Anda, yang menjadi milik peran tersebut, memiliki sumber daya CloudWatch Log.
## Mengelola akses ke sumber daya
*Kebijakan izin* menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.
**catatan**
Bagian ini membahas penggunaan IAM dalam konteks Log. CloudWatch Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat [Referensi Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM) dan kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. CloudWatch Log mendukung kebijakan berbasis identitas, dan kebijakan berbasis sumber daya untuk tujuan, yang digunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat [Langganan lintas akun Lintas wilayah](CrossAccountSubscriptions.md).
**Topics**
+ [Izin grup log dan Wawasan Kontributor](#cloudwatch-logs-permissions-and-contributor-insights)
+ [Kebijakan berbasis sumber daya](#resource-based-policies-cwl)
### Izin grup log dan Wawasan Kontributor
Contributor Insights adalah fitur CloudWatch yang memungkinkan Anda menganalisis data dari grup log dan membuat deret waktu yang menampilkan data kontributor. Anda dapat melihat metrik tentang kontributor N teratas, total kontributor unik, dan penggunaannya. Untuk informasi selengkapnya, lihat [Menggunakan Wawasan Kontributor untuk Menganalisis Data Berkardinalitas Tinggi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html).
Saat Anda memberikan izin `cloudwatch:PutInsightRule` dan `cloudwatch:GetInsightRuleReport` izin kepada pengguna, pengguna tersebut dapat membuat aturan yang mengevaluasi grup log apa pun di CloudWatch Log dan kemudian melihat hasilnya. Hasil dapat memuat data kontributor untuk grup log tersebut. Pastikan untuk memberikan izin ini hanya kepada pengguna yang harus dapat melihat data ini.
### Kebijakan berbasis sumber daya
CloudWatch Log mendukung kebijakan berbasis sumber daya untuk tujuan, yang dapat Anda gunakan untuk mengaktifkan langganan lintas akun. Untuk informasi selengkapnya, lihat [Langkah 1: Buat tujuan](CreateDestination.md). Tujuan dapat dibuat menggunakan [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API, dan Anda dapat menambahkan kebijakan sumber daya ke tujuan menggunakan [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)API. Contoh berikut mengizinkan akun lain dengan ID akun AWS 111122223333 untuk melanggankan grup lognya ke tujuan `arn:aws:logs:us-east-1:123456789012:destination:testDestination`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## Menentukan elemen kebijakan: Tindakan, efek, dan penanggung jawab
Untuk setiap sumber daya CloudWatch Log, layanan mendefinisikan satu set operasi API. Untuk memberikan izin untuk operasi API ini, CloudWatch Log mendefinisikan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa operasi API dapat memerlukan izin untuk lebih dari satu tindakan untuk melakukan operasi API. Untuk informasi selengkapnya tentang sumber daya dan operasi API, lihat [CloudWatch Log sumber daya dan operasi](#CWL_ARN_Format) dan [CloudWatch Referensi izin log](permissions-reference-cwl.md).
Berikut ini adalah elemen-elemen kebijakan dasar:
+ **Sumber daya** – Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat [CloudWatch Log sumber daya dan operasi](#CWL_ARN_Format).
+ **Tindakan** – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin `logs.DescribeLogGroups` memungkinkan pengguna untuk melakukan `DescribeLogGroups` operasi.
+ **Pengaruh** – Anda menetapkan pengaruh, baik memperbolehkan atau menolak, ketika pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.
+ **Principal** – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). CloudWatch Log mendukung kebijakan berbasis sumber daya untuk tujuan.
Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat [Referensi Kebijakan IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
Untuk tabel yang menampilkan semua tindakan API CloudWatch Log dan sumber daya yang diterapkan, lihat[CloudWatch Referensi izin log](permissions-reference-cwl.md).
## Menetapkan ketentuan dalam kebijakan
Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan syarat ketika kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat [Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Untuk daftar kunci konteks yang didukung oleh setiap AWS layanan dan daftar kunci kebijakan AWS-wide, lihat Kunci [tindakan, sumber daya, dan kondisi untuk AWS layanan dan kunci](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) [konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
**catatan**
Anda dapat menggunakan tag untuk mengontrol akses ke sumber CloudWatch Log, termasuk grup log dan tujuan. Akses ke aliran log dikontrol pada tingkat grup log, karena hubungan hierarkis antara grup log dan aliran log. Untuk informasi selengkapnya tentang penggunaan tanda untuk mengendalikan akses, lihat [Mengendalikan akses ke sumber daya Amazon Web Services menggunakan tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).