As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs
<a name="iam-access-control-overview-cwl"></a>

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:

  Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
  + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
  + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

**Topics**
+ [CloudWatch Registra recursos e operações](#CWL_ARN_Format)
+ [Entendendo a propriedade de recursos](#understanding-resource-ownership-cwl)
+ [Gerenciar acesso aos recursos da](#managing-access-resources-cwl)
+ [Especificar elementos da política: ações, efeitos e entidades principais](#actions-effects-principals-cwl)
+ [Especificar condições em uma política](#policy-conditions-cwl)

## CloudWatch Registra recursos e operações
<a name="CWL_ARN_Format"></a>

Em CloudWatch Logs, os recursos principais são grupos de registros, fluxos de registros e destinos. CloudWatch O Logs não oferece suporte a sub-recursos (outros recursos para uso com o recurso primário).

Esses recursos e sub-recursos têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.


| Tipo de atributo | Formato ARN | 
| --- | --- | 
|  Grupo de registros  |  Ambos os itens a seguir são usados. O segundo, com o `:*` no final, é o que é retornado pelo comando `describe-log-groups` CLI e pela **DescribeLogGroups**API.  arn:aws:logs: ::log-group: *region* *account-id* *log\$1group\$1name* arn:aws:logs: ::log-group:: \$1 *region* *account-id* *log\$1group\$1name* Use a primeira versão, sem o `:*` final, nas seguintes situações: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) Use a segunda versão, com o `:*` final, para referenciar o ARN ao especificar permissões nas políticas do IAM para todas as outras ações de API.  | 
|  Stream de log  |  arn:aws:logs: ::log-group ::log-stream: *region* *account-id* *log\$1group\$1name* *log-stream-name*  | 
|  Destino  |  arn:aws:logs: ::destino: *region* *account-id* *destination\$1name*  | 

Para obter mais informações sobre isso ARNs, consulte [ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)o *Guia do usuário do IAM*. Para obter informações sobre CloudWatch registros ARNs, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs) em *Referência geral da Amazon Web Services*. Para ver um exemplo de uma política que abrange CloudWatch registros, consulte[Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch](iam-identity-based-access-control-cwl.md).

CloudWatch O Logs fornece um conjunto de operações para trabalhar com os recursos do CloudWatch Logs. Para ver uma lista das operações disponíveis, consulte [CloudWatch Referência de permissões de registros](permissions-reference-cwl.md).

## Entendendo a propriedade de recursos
<a name="understanding-resource-ownership-cwl"></a>

A AWS conta é proprietária dos recursos criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é a AWS conta da [entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ou seja, a conta raiz, um usuário ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:
+ Se você usar as credenciais da conta raiz da sua AWS conta para criar um grupo de registros, sua AWS conta é a proprietária do recurso CloudWatch Registros.
+ Se você criar um usuário em sua AWS conta e conceder permissões para criar recursos de CloudWatch registros a esse usuário, o usuário poderá criar recursos de CloudWatch registros. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária dos recursos do CloudWatch Logs.
+ Se você criar uma função do IAM em sua AWS conta com permissões para criar recursos de CloudWatch registros, qualquer pessoa que possa assumir a função poderá criar recursos de CloudWatch registros. Sua AWS conta, à qual a função pertence, é proprietária dos recursos do CloudWatch Logs.

## Gerenciar acesso aos recursos da
<a name="managing-access-resources-cwl"></a>

Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.

**nota**  
Esta seção discute o uso do IAM no contexto dos CloudWatch registros. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte [What is IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *IAM User Guide*. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a [ IAM policy reference ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *IAM User Guide*.

As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade (políticas do IAM) e as políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. CloudWatch O Logs oferece suporte a políticas baseadas em identidade e políticas baseadas em recursos para destinos, que são usadas para permitir assinaturas entre contas. Para obter mais informações, consulte [Assinaturas entre contas entre regiões](CrossAccountSubscriptions.md).

**Topics**
+ [Permissões de grupo de logs e Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [Políticas baseadas em recursos](#resource-based-policies-cwl)

### Permissões de grupo de logs e Contributor Insights
<a name="cloudwatch-logs-permissions-and-contributor-insights"></a>

O Contributor Insights é um recurso CloudWatch que permite analisar dados de grupos de registros e criar séries temporais que exibem dados do colaborador. É possível ver métricas sobre os principais colaboradores, o número total de colaboradores exclusivos e o uso deles. Para obter mais informações, consulte [ Usar o Contributor Insights para analisar dados de alta cardinalidade](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html).

Quando você concede a um usuário as `cloudwatch:GetInsightRuleReport` permissões `cloudwatch:PutInsightRule` e, esse usuário pode criar uma regra que avalia qualquer grupo de CloudWatch registros no Logs e depois ver os resultados. Os resultados podem conter dados de colaborador para esses grupos de log. Certifique-se de conceder essas permissões somente aos usuários que possam visualizar esses dados.

### Políticas baseadas em recursos
<a name="resource-based-policies-cwl"></a>

CloudWatch O Logs oferece suporte a políticas baseadas em recursos para destinos, que você pode usar para habilitar assinaturas entre contas. Para obter mais informações, consulte [Etapa 1: criar um destino](CreateDestination.md). Os destinos podem ser criados usando a [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API, e você pode adicionar uma política de recursos ao destino usando a [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)API. O exemplo a seguir permite que outra conta da AWS com o ID da conta 111122223333 assine seus grupos de logs no destino `arn:aws:logs:us-east-1:123456789012:destination:testDestination`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}
```

------

## Especificar elementos da política: ações, efeitos e entidades principais
<a name="actions-effects-principals-cwl"></a>

 Para cada recurso do CloudWatch Logs, o serviço define um conjunto de operações de API. Para conceder permissões para essas operações de API, o CloudWatch Logs define um conjunto de ações que você pode especificar em uma política. Algumas operações da API podem exigir permissões para mais de uma ação a fim de realizar a operação da API. Para obter mais informações sobre os recursos e operações da API, consulte [CloudWatch Registra recursos e operações](#CWL_ARN_Format) e [CloudWatch Referência de permissões de registros](permissions-reference-cwl.md).

Estes são os elementos de política básicos:
+ **Recurso**: use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte [CloudWatch Registra recursos e operações](#CWL_ARN_Format).
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão `logs.DescribeLogGroups` permite que o usuário execute a operação `DescribeLogGroups`. 
+ **Efeito**: você especifica o efeito (permitir ou negar) quando o usuário solicita a ação específica. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). CloudWatch O Logs oferece suporte a políticas baseadas em recursos para destinos.

Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de política do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.

Para ver uma tabela que mostra todas as ações da API CloudWatch Logs e os recursos aos quais elas se aplicam, consulte[CloudWatch Referência de permissões de registros](permissions-reference-cwl.md).

## Especificar condições em uma política
<a name="policy-conditions-cwl"></a>

Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.

Para expressar condições, você usa chaves de condição predefinidas. Para obter uma lista de chaves de contexto suportadas por cada AWS serviço e uma lista de chaves AWS de política abrangentes, consulte [Ações, recursos e chaves de condição para AWS serviços e chaves](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) de [contexto de condição AWS globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

**nota**  
Você pode usar tags para controlar o acesso aos recursos do CloudWatch Logs, incluindo grupos e destinos de registros. O acesso aos fluxos de log é controlado no nível do grupo de log, devido à relação hierárquica entre grupos de log e fluxos de log. Para obter mais informações sobre como usar etiquetas para controlar o acesso, consulte [Controlar acesso a recursos da Amazon Web Services usando etiquetas de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).