Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di politiche basate sull'identità (politiche IAM) per i registri CloudWatch
In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.
**Importante**
Ti consigliamo di consultare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse Logs. CloudWatch Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse Logs CloudWatch](iam-access-control-overview-cwl.md).
Questo argomento comprende quanto segue:
+ [Autorizzazioni necessarie per utilizzare la console CloudWatch](#console-permissions-cwl)
+ [AWS politiche gestite (predefinite) per i registri CloudWatch](#managed-policies-cwl)
+ [Esempi di policy gestite dal cliente](#customer-managed-policies-cwl)
Di seguito è riportato un esempio di policy delle autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Questa policy dispone di una dichiarazione che concede autorizzazioni per creare gruppi e flussi di log, caricare eventi di log ai flussi di log ed elencare dettagli relativi ai flussi di log.
Il carattere jolly (\$1) alla fine del valore `Resource` indica che la dichiarazione concede l'autorizzazione per le operazioni `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents` e `logs:DescribeLogStreams` su qualsiasi gruppo di log. Per limitare questa autorizzazione a uno specifico gruppo di log, sostituisci il carattere jolly (\$1) nell'ARN della risorsa con l'ARN del gruppo di log specifico. Per ulteriori informazioni sulle sezioni all'interno della dichiarazione di policy IAM, consulta [Riferimento agli elementi di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) nella *Guida per l'utente di IAM*. Per un elenco che mostra tutte le azioni di CloudWatch Logs, consulta. [CloudWatch Registra il riferimento alle autorizzazioni](permissions-reference-cwl.md)
## Autorizzazioni necessarie per utilizzare la console CloudWatch
Affinché un utente possa utilizzare CloudWatch Logs nella CloudWatch console, deve disporre di un set minimo di autorizzazioni che gli consentano di descrivere AWS le altre risorse del proprio account. AWS Per utilizzare CloudWatch Logs nella CloudWatch console, è necessario disporre delle autorizzazioni dei seguenti servizi:
+ CloudWatch
+ CloudWatch Registri
+ OpenSearch Servizio
+ IAM
+ Kinesis
+ Lambda
+ Simple Storage Service (Amazon S3)
Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che tali utenti possano continuare a utilizzare la CloudWatch console, allega anche la policy `CloudWatchReadOnlyAccess` gestita all'utente, come descritto in[AWS politiche gestite (predefinite) per i registri CloudWatch](#managed-policies-cwl).
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l'API AWS CLI o verso l'API CloudWatch Logs.
Il set completo di autorizzazioni necessarie per lavorare con la CloudWatch console per un utente che non utilizza la console per gestire gli abbonamenti ai registri è:
+ cloudwatch: GetMetricData
+ orologio nuvoloso: ListMetrics
+ registri: CancelExportTask
+ registri: CreateExportTask
+ registri: CreateLogGroup
+ registri: CreateLogStream
+ registri: DeleteLogGroup
+ registri: DeleteLogStream
+ registri: DeleteMetricFilter
+ registri: DeleteQueryDefinition
+ registri: DeleteRetentionPolicy
+ registri: DeleteSubscriptionFilter
+ registri: DescribeExportTasks
+ registri: DescribeLogGroups
+ registri: DescribeLogStreams
+ registri: DescribeMetricFilters
+ registri: DescribeQueryDefinitions
+ registri: DescribeQueries
+ registri: DescribeSubscriptionFilters
+ registri: FilterLogEvents
+ registri: GetLogEvents
+ registri: GetLogGroupFields
+ registri: GetLogRecord
+ registri: GetQueryResults
+ registri: PutMetricFilter
+ registri: PutQueryDefinition
+ registri: PutRetentionPolicy
+ registri: StartQuery
+ registri: StopQuery
+ registri: PutSubscriptionFilter
+ registri: TestMetricFilter
Per un utente che intende utilizzare anche la console per gestire le sottoscrizioni ai log, sono necessarie anche le seguenti autorizzazioni:
+ Sì: DescribeElasticsearchDomain
+ Sì: ListDomainNames
+ sono: AttachRolePolicy
+ Io sono: CreateRole
+ Io sono: GetPolicy
+ Io sono: GetPolicyVersion
+ Io sono: GetRole
+ Io sono: ListAttachedRolePolicies
+ Io sono: ListRoles
+ cinesi: DescribeStreams
+ cinesi: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3: ListBuckets
## AWS politiche gestite (predefinite) per i registri CloudWatch
AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti e ai ruoli del tuo account, sono specifiche dei CloudWatch log:
+ **CloudWatchLogsFullAccess**— Garantisce l'accesso completo ai registri. CloudWatch
+ **CloudWatchLogsReadOnlyAccess**— Garantisce l'accesso in sola lettura ai registri. CloudWatch
### CloudWatchLogsFullAccess
La **CloudWatchLogsFullAccess**politica garantisce l'accesso completo ai registri. CloudWatch La politica include le `cloudwatch:GenerateQueryResultsSummary` autorizzazioni `cloudwatch:GenerateQuery` e, in modo che gli utenti che la utilizzano possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)Reference Guide.
### CloudWatchLogsReadOnlyAccess
La **CloudWatchLogsReadOnlyAccess**policy garantisce l'accesso in sola lettura ai log. CloudWatch Include le `cloudwatch:GenerateQueryResultsSummary` autorizzazioni `cloudwatch:GenerateQuery` e, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)Reference Guide.
### CloudWatchOpenSearchDashboardsFullAccess
La **CloudWatchOpenSearchDashboardsFullAccess**policy consente l'accesso per creare, gestire ed eliminare integrazioni con OpenSearch Service e per creare dashboard di eliminazione e gestione dei log venduti in tali integrazioni. Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
*Per visualizzare il contenuto completo della policy, consulta la Managed Policy Reference [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)Guide.AWS *
### CloudWatchOpenSearchDashboardAccess
La **CloudWatchOpenSearchDashboardAccess**policy consente l'accesso alla visualizzazione dei dashboard dei registri venduti creati con analisi. Amazon OpenSearch Service Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**Importante**
Oltre a concedere questa politica, per consentire a un ruolo o a un utente di visualizzare i dashboard dei log venduti, è necessario specificarli anche quando si crea l'integrazione con Service. OpenSearch Per ulteriori informazioni, consulta [Fase 1: Creare l'integrazione con Service OpenSearch](OpenSearch-Dashboards-Integrate.md).
Per visualizzare il contenuto completo della policy, consulta la *AWS Managed* Policy [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)Reference Guide.
#### CloudWatchLogsCrossAccountSharingConfiguration
La **CloudWatchLogsCrossAccountSharingConfiguration**politica consente l'accesso alla creazione, alla gestione e alla visualizzazione dei collegamenti di Observability Access Manager per la condivisione delle risorse di CloudWatch Logs tra account. Per maggiori informazioni, consulta la sezione [Osservabilità su più account di CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
Per vedere il contenuto completo della politica, consulta la *AWS Managed* Policy [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)Reference Guide.
#### CloudWatchLogsAPIKeyAccesso
La politica di **CloudWatchLogsAPIKeyaccesso** consente l'autenticazione della chiave API CloudWatch Logs e l'inserimento crittografato dei log. Questa politica concede le autorizzazioni per l'autenticazione utilizzando token bearer e la scrittura di eventi di registro in CloudWatch Logs, con AWS KMS autorizzazioni aggiuntive per la decrittografia e la generazione di chiavi di dati quando i log sono crittografati.
La policy concede le seguenti autorizzazioni:
+ `logs`— Consente ai responsabili di autenticarsi tramite token portatori di chiavi API e di scrivere eventi di registro nei flussi di Logs. CloudWatch
+ `kms`— Consente ai responsabili di leggere i metadati AWS KMS chiave, generare chiavi di dati per la crittografia e decrittografare i dati. Queste autorizzazioni supportano CloudWatch i registri crittografati consentendo al servizio di crittografare i dati di registro utilizzando chiavi gestite dal cliente. AWS KMS L'accesso è limitato alle operazioni richiamate tramite il servizio Logs. CloudWatch
Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, consulta [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) nella *AWS Managed Policy Reference* Guide.
### CloudWatch Registra gli aggiornamenti delle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per CloudWatch Logs da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti dei CloudWatch registri.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccesso: nuova](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) politica. | CloudWatch Logs ha aggiunto una nuova policy gestita **CloudWatchLogsAPIKeyAccess**. Questa politica consente l'autenticazione tramite chiave API CloudWatch Logs e l'inserimento crittografato dei log, concedendo le autorizzazioni per l'autenticazione utilizzando token bearer e la scrittura di eventi di registro in Logs. CloudWatch | 17 febbraio 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess** Sono state aggiunte le autorizzazioni per le azioni di amministrazione dell'osservabilità per consentire l'accesso in sola lettura alle pipeline di telemetria e alle integrazioni di tabelle S3. | 02 dicembre 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Sono state aggiunte le autorizzazioni per le azioni di amministrazione dell'osservabilità per consentire l'accesso in sola lettura alle pipeline di telemetria e alle integrazioni di tabelle S3. | 02 dicembre 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess** Le autorizzazioni per `cloudwatch:GenerateQueryResultsSummary` sono state aggiunte per consentire la generazione di un riepilogo in linguaggio naturale dei risultati della query. | 20 maggio 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Le autorizzazioni per `cloudwatch:GenerateQueryResultsSummary` sono state aggiunte per consentire la generazione di un riepilogo in linguaggio naturale dei risultati della query. | 20 maggio 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente. | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsFullAccess** Sono state aggiunte le autorizzazioni per Amazon OpenSearch Service e IAM, per consentire l'integrazione di CloudWatch Logs con OpenSearch Service per alcune funzionalità. | 1 dicembre 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Nuova politica IAM. | CloudWatch Logs ha aggiunto una nuova policy IAM, **CloudWatchOpenSearchDashboardsFullAccess**.- Questa policy consente l'accesso per creare, gestire ed eliminare integrazioni con OpenSearch Service e per creare, gestire ed eliminare dashboard di log vendute in tali integrazioni. Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1 dicembre 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Nuova policy IAM. | CloudWatch Logs ha aggiunto una nuova policy IAM, **CloudWatchOpenSearchDashboardAccess**.- Questa policy consente l'accesso alla visualizzazione dei dashboard dei log forniti da. Amazon OpenSearch Service Per ulteriori informazioni, consulta [Analizza con Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1 dicembre 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): aggiorna a una policy esistente. | CloudWatch Logs ha aggiunto un'autorizzazione a. **CloudWatchLogsFullAccess** L'`cloudwatch:GenerateQuery`autorizzazione è stata aggiunta, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. | 27 novembre 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiorna a una policy esistente. | CloudWatch ha aggiunto un'autorizzazione a. **CloudWatchLogsReadOnlyAccess** L'`cloudwatch:GenerateQuery`autorizzazione è stata aggiunta, in modo che gli utenti con questo criterio possano generare una stringa di query di [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) da un prompt in linguaggio naturale. | 27 novembre 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiornamento di una policy esistente | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Le `logs:StopLiveTail` autorizzazioni `logs:StartLiveTail` e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per avviare e interrompere le sessioni live tail di CloudWatch Logs. Per ulteriori informazioni, consulta [Use live tail to view logs in near real time](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 giugno 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration): nuova policy | CloudWatch Logs ha aggiunto una nuova politica che consente di gestire i link di osservabilità CloudWatch tra account che condividono i gruppi di log di Logs. CloudWatch [Per ulteriori informazioni, consulta osservabilità tra account CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 novembre 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): aggiornamento di una policy esistente | CloudWatch Registra le autorizzazioni aggiunte a. **CloudWatchLogsReadOnlyAccess** Le `oam:ListAttachedLinks` autorizzazioni `oam:ListSinks` e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per visualizzare i dati condivisi dagli account di origine in CloudWatch modo osservabile tra più account. | 27 novembre 2022 |
### Esempi di policy gestite dal cliente
Puoi creare politiche IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse di CloudWatch Logs. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che richiedono le autorizzazioni.
In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie CloudWatch azioni di Logs. Queste politiche funzionano quando si utilizza l'API CloudWatch Logs o il AWS SDKs. AWS CLI
**Topics**
+ [Esempio 1: consenti l'accesso completo ai registri CloudWatch](#w2aac59c15c15c23c19b9)
+ [Esempio 2: consentire l'accesso in sola lettura ai registri CloudWatch](#w2aac59c15c15c23c19c11)
+ [Esempio 3: consentire l'accesso a un gruppo di log](#w2aac59c15c15c23c19c13)
#### Esempio 1: consenti l'accesso completo ai registri CloudWatch
La seguente politica consente a un utente di accedere a tutte le azioni di CloudWatch Logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Esempio 2: consentire l'accesso in sola lettura ai registri CloudWatch
AWS fornisce una **CloudWatchLogsReadOnlyAccess**politica che consente l'accesso in sola lettura ai dati dei registri. CloudWatch Questa policy include le seguenti autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Esempio 3: consentire l'accesso a un gruppo di log
La policy seguente consente a un utente di leggere e scrivere eventi di log in un gruppo di log specificato.
**Importante**
I caratteri `:*` alla fine del nome del gruppo di log sulla riga `Resource` sono necessari per indicare che la policy si applica a tutti i flussi di log in questo gruppo di log. Se ometti `:*`, la policy non verrà applicata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### Utilizzo del tagging e delle policy IAM per il controllo a livello di gruppo di log
È possibile concedere agli utenti l'accesso a determinati gruppi di log evitando che accedano ad altri gruppi di log. Per farlo, aggiungere un tag ai gruppi di log e usare policy IAM che fanno riferimento a tali tag. Per applicare i tag a un gruppo di log, è necessario disporre dell'autorizzazione `logs:TagResource` o `logs:TagLogGroup`. Ciò vale sia se si assegnano tag al gruppo di log al momento della creazione, sia se li si assegna successivamente.
Per ulteriori informazioni sull'applicazione di tag ai gruppi di log, consulta [Contrassegna i gruppi di log in Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Quando si aggiunge un tag ai gruppi di log, è possibile concedere una policy IAM a un utente per consentire l'accesso solo ai gruppi di log con un determinato tag. Ad esempio, la seguente istruzione di policy garantisce l'accesso solo ai gruppi di log con il valore `Green` per la chiave di tag `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
Le operazioni **StopQuery**e le **StopLiveTail**API non interagiscono con AWS le risorse nel senso tradizionale. Non restituiscono né inseriscono alcun dato, né modificano una risorsa in alcun modo. Funzionano invece solo su una determinata sessione live tail o su una determinata query di CloudWatch Logs Insights, che non sono classificate come risorse. Di conseguenza, quando per queste operazioni si specifica il campo `Resource` nelle policy IAM, è necessario impostare il valore del campo `Resource` come `*`, analogamente all'esempio di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo di istruzioni di policy IAM, consulta [Controllo dell'accesso tramite le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) nella *Guida per l'utente di IAM*.
# CloudWatch Registra il riferimento alle autorizzazioni
Quando configuri [Controllo accessi](auth-and-access-control-cwl.md#access-control-cwl) e scrivi policy di autorizzazioni che puoi collegare a un'identità IAM (policy basate su identità), puoi usare la tabella seguente come riferimento. La tabella elenca ogni operazione dell'API CloudWatch Logs e le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione. Puoi specificare le operazioni nel campo `Action` della policy. Per il `Resource` campo, è possibile specificare l'ARN di un gruppo di log o di un flusso di log oppure specificare di `*` rappresentare tutte le risorse CloudWatch Logs.
È possibile utilizzare le chiavi di condizione AWS-wide nelle politiche di CloudWatch Logs per esprimere condizioni. *Per un elenco completo delle chiavi AWS-wide, consulta [AWS Global and IAM Condition Context Keys nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) User Guide.*
**Nota**
Per specificare un'operazione, utilizza il prefisso `logs:` seguito dal nome dell'operazione API. Ad esempio: `logs:CreateLogGroup``logs:CreateLogStream`, o `logs:*` (per tutte le azioni di CloudWatch Logs).
**CloudWatch Registra le operazioni API e le autorizzazioni richieste per le azioni**
| CloudWatch Registra le operazioni API | Autorizzazioni necessarie (operazioni API) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` Necessaria per eliminare un'attività di esportazione in esecuzione o pendente. |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` Necessaria per esportare dati da un gruppo di log a un bucket Amazon S3. |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` Necessaria per creare un nuovo gruppo di log. |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` Necessaria per creare un nuovo flusso di log in un gruppo di log. |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` Necessaria per eliminare una destinazione di log e disabilita tutti i filtri di sottoscrizione. |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` Necessario per eliminare un gruppo di log e tutti i log eventi archiviati associati. |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` Necessaria per eliminare un flusso di log e tutti gli eventi di log archiviati associati. |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` Necessaria per eliminare un filtro parametri associato a un gruppo di log. |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` Necessario per eliminare una definizione di query salvata in CloudWatch Logs Insights. |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` Necessario per eliminare una politica delle risorse CloudWatch di Logs. |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` Necessaria per eliminare una policy di retention di un gruppo di log. |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` Necessaria per eliminare un filtro sottoscrizioni associato a un gruppo di log. |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` Necessaria per visualizzare tutte le destinazioni associate all'account. |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` Necessaria per visualizzare tutte le attività di esportazione associate all'account. |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` Necessaria per visualizzare tutti i gruppi di log associati all'account. |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` Necessaria per visualizzare tutti i flussi di log associati a un gruppo di log. |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` Necessario per visualizzare tutti i parametri associati a un gruppo di log. |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` Necessario per visualizzare l'elenco delle definizioni delle query salvate in CloudWatch Logs Insights. |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` Necessario per visualizzare l'elenco delle query di CloudWatch Logs Insights pianificate, in esecuzione o eseguite di recente. |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` Necessario per visualizzare un elenco delle politiche relative alle risorse di Logs. CloudWatch |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` Necessaria per visualizzare tutti i filtri di sottoscrizione associati a un gruppo di log. |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` Necessaria per ordinare log eventi in base a un modello filtro di gruppo di log. |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` Necessaria per recuperare eventi di log da un flusso di log. |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` Necessaria per recuperare l'elenco dei campi inclusi negli eventi di log in un gruppo di log. |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` Necessaria per recuperare i dettagli da un singolo log eventi. |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` Necessario per recuperare il contenuto di ampie porzioni di eventi di registro che sono stati acquisiti tramite l'API. PutOpenTelemetryLogs |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` Necessario per recuperare i risultati delle query di CloudWatch Logs Insights. |
| ListEntitiesForLogGroup (autorizzazione solo per console) CloudWatch | `logs:ListEntitiesForLogGroup` Necessario per trovare le entità associate a un gruppo di log. Necessario per esplorare i log correlati all'interno della CloudWatch console. |
| ListLogGroupsForEntity (autorizzazione CloudWatch solo per console) | `logs:ListLogGroupsForEntity` Necessario per trovare i gruppi di log associati a un'entità. Necessario per esplorare i log correlati all'interno della CloudWatch console. |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` Necessaria per elencare i tag associati a un gruppo di log. |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` Necessaria per visualizzare tutti i gruppi di log associati all'account. |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` Necessaria per creare o aggiornare un flusso di log di destinazione (ad esempio, un flusso Kinesis). |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` Necessaria per creare o aggiornare una policy di accesso predefinita associata a una destinazione di log esistente. |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` Necessaria per caricare un batch di eventi di log in un flusso di eventi. |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` Necessaria per creare o aggiornare un filtro di parametri e associarlo a un gruppo di log. |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` Necessario per salvare una query in CloudWatch Logs Insights, incluse le query salvate con parametri. |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` Necessario per creare una politica delle risorse di CloudWatch Logs. |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` Necessaria per impostare il numero di giorni per conservare log eventi (retention) in un gruppo di log. |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` Necessaria per creare o aggiornare un filtro sottoscrizioni e associarlo a un gruppo di log. |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` Necessario per avviare le query di CloudWatch Logs Insights. Per eseguire una query salvata con parametri, è necessario anche. `logs:DescribeQueryDefinitions` |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` Necessario per interrompere una query di CloudWatch Logs Insights in corso. |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` Necessaria per aggiungere o aggiornare i tag dei gruppi di log. |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` Necessaria per verificare un modello di filtro su un campionamento di messaggi di log eventi. |
# Utilizzo di ruoli collegati ai servizi per i registri CloudWatch
Amazon CloudWatch Logs utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ai log. CloudWatch I ruoli collegati ai servizi sono predefiniti da CloudWatch Logs e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio rende la configurazione di CloudWatch Logs più efficiente perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudWatch Logs definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo Logs può assumere tali ruoli. CloudWatch Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Queste ultime non possono essere collegate a nessun'altra entità IAM.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cerca i servizi che hanno **Sì** nella colonna **Ruolo collegato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni relative ai ruoli collegati al servizio per Logs CloudWatch
CloudWatch Logs utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForLogDelivery** CloudWatch Logs utilizza questo ruolo collegato al servizio per scrivere i log direttamente su Firehose. Per ulteriori informazioni, consulta [Abilita la registrazione dai servizi AWS](AWS-logs-and-resource-policy.md).
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi **AWSServiceRoleForLogDelivery** considera attendibili i seguenti servizi:
+ `logs.amazonaws.com`
La politica di autorizzazione dei ruoli consente a CloudWatch Logs di completare le seguenti azioni sulle risorse specificate:
+ Azione: `firehose:PutRecord` e `firehose:PutRecordBatch` su tutti gli stream Firehose che hanno un tag con una `LogDeliveryEnabled` chiave con un valore di. `True` Questo tag viene collegato automaticamente a uno stream Firehose quando si crea un abbonamento per inviare i log a Firehose.
Per consentire a un'entità IAM, di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Questa entità può essere un utente, un gruppo o un ruolo. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato al servizio per Logs CloudWatch
Non è necessario creare manualmente un ruolo collegato ai servizi. Quando configurate i log da inviare direttamente a uno stream Firehose nell'API, AWS CLI nella o Console di gestione AWS nell'API CloudWatch , Logs crea automaticamente AWS il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando configuri nuovamente i log per essere inviati direttamente a uno stream Firehose CloudWatch , Logs crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per Logs CloudWatch
CloudWatch I registri non consentono di modificare **AWSServiceRoleForLogDelivery**, o qualsiasi altro ruolo collegato al servizio, dopo averlo creato. Non è possibile modificare il nome del ruolo poiché varie entità possono farvi riferimento. Tuttavia, utilizzando IAM è possibile modificarne la descrizione. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Logs CloudWatch
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio CloudWatch Logs utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse CloudWatch Logs utilizzate dal ruolo collegato al servizio **AWSServiceRoleForLogDelivery****
+ Smetti di inviare i log direttamente agli stream di Firehose.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al **AWSServiceRoleForLogDelivery**servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role).
### Regioni supportate per i ruoli collegati al servizio CloudWatch Logs
CloudWatch Logs supporta l'utilizzo di ruoli collegati al servizio in tutte le AWS regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [CloudWatch Registra regioni ed endpoint.](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region)
# CloudWatch Registra gli aggiornamenti ai ruoli collegati al servizio AWS
Visualizza i dettagli sugli aggiornamenti al ruolo collegato al AWS servizio per CloudWatch Logs da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti dei CloudWatch registri.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AWSServiceRoleForLogDelivery politica relativa ai [ruoli collegati ai servizi: aggiornamento a una politica](AWS-logs-infrastructure-Firehose.md) esistente | CloudWatch I log hanno modificato le autorizzazioni nella policy IAM associata al ruolo collegato al servizio. **AWSServiceRoleForLogDelivery** È stata apportata la seguente modifica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 15 luglio 2021 |
| CloudWatch I log hanno iniziato a tenere traccia delle modifiche | CloudWatch Logs ha iniziato a tenere traccia delle modifiche relative alle politiche AWS gestite. | 10 giugno 2021 |