

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für Protokolle CloudWatch
<a name="iam-identity-based-access-control-cwl"></a>

In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.

**Wichtig**  
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, die Ihnen zur Verwaltung des Zugriffs auf Ihre CloudWatch Logs-Ressourcen zur Verfügung stehen. Weitere Informationen finden Sie unter [Überblick über die Verwaltung der Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen](iam-access-control-overview-cwl.md).

In diesem Thema wird Folgendes behandelt:
+ [Für die Verwendung der CloudWatch Konsole sind Berechtigungen erforderlich](#console-permissions-cwl)
+ [AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Protokolle](#managed-policies-cwl)
+ [Beispiele für vom Kunden verwaltete Richtlinien](#customer-managed-policies-cwl)

Nachstehend finden Sie ein Beispiel für eine Berechtigungsrichtlinie:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}
```

------

In dieser Richtlinie gibt es eine Anweisung, die Berechtigungen erteilt, um Protokollgruppen und Protokoll-Streams zu erstellen, Protokollereignisse hochzuladen und Details zu Protokoll-Streams aufzuführen.

Das Platzhalterzeichen (\*) im `Resource` Wert gewährt die Erlaubnis für die aufgelisteten Aktionen für jede CloudWatch Logs-Ressource.
+ **Um die Berechtigungen auf bestimmte Protokollgruppenaktionen zu beschränken** (z. B.`CreateLogGroup`,`DescribeLogStreams`), ersetzen Sie den Platzhalter durch den Protokollgruppen-ARN— `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}`
+ **Um die Berechtigungen auf bestimmte Logstream-Aktionen zu beschränken** (z. B.`CreateLogStream`,`PutLogEvents`), ersetzen Sie den Platzhalter durch den Log-Stream ARN— `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}:*` (entspricht allen Streams) oder `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}:log-stream:{{MyStream}}` (bestimmter Stream)

In der [Referenz zur Serviceautorisierung](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html) finden Sie Informationen darüber, welchen Ressourcentyp jede API benötigt.

## Für die Verwendung der CloudWatch Konsole sind Berechtigungen erforderlich
<a name="console-permissions-cwl"></a>

Damit ein Benutzer mit CloudWatch Logs in der CloudWatch Konsole arbeiten kann, muss er über Mindestberechtigungen verfügen, die es dem Benutzer ermöglichen, andere AWS Ressourcen in seinem AWS Konto zu beschreiben. Um CloudWatch Logs in der CloudWatch Konsole verwenden zu können, benötigen Sie Berechtigungen für die folgenden Dienste:
+ CloudWatch
+ CloudWatch Logs
+ OpenSearch Bedienung
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3

Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die CloudWatch Konsole weiterhin verwenden können, fügen Sie dem Benutzer auch die `CloudWatchReadOnlyAccess` verwaltete Richtlinie bei, wie unter beschrieben[AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Protokolle](#managed-policies-cwl).

Sie müssen Benutzern, die nur die Logs-API AWS CLI oder die CloudWatch Logs-API aufrufen, keine Mindestberechtigungen für die Konsole gewähren.

Für Benutzer, die die CloudWatch Konsole nicht zur Verwaltung von Protokollabonnements verwenden, sind die folgenden Berechtigungen erforderlich, um mit der Konsole zu arbeiten:
+ Cloudwatch: GetMetricData
+ Cloudwatch: ListMetrics
+ Logs: CancelExportTask
+ Protokolle: CreateExportTask
+ Protokolle: CreateLogGroup
+ Protokolle: CreateLogStream
+ Protokolle: DeleteLogGroup
+ Protokolle: DeleteLogStream
+ Protokolle: DeleteMetricFilter
+ Protokolle: DeleteQueryDefinition
+ Protokolle: DeleteRetentionPolicy
+ Protokolle: DeleteSubscriptionFilter
+ Protokolle: DescribeExportTasks
+ Protokolle: DescribeLogGroups
+ Protokolle: DescribeLogStreams
+ Protokolle: DescribeMetricFilters
+ Protokolle: DescribeQueryDefinitions
+ Protokolle: DescribeQueries
+ Protokolle: DescribeSubscriptionFilters
+ Protokolle: FilterLogEvents
+ Protokolle: GetLogEvents
+ Protokolle: GetLogGroupFields
+ Protokolle: GetLogRecord
+ Protokolle: GetQueryResults
+ Protokolle: PutMetricFilter
+ Protokolle: PutQueryDefinition
+ Protokolle: PutRetentionPolicy
+ Protokolle: StartQuery
+ Protokolle: StopQuery
+ Protokolle: PutSubscriptionFilter
+ Protokolle: TestMetricFilter

Ein Benutzer, der die Konsole auch zum Verwalten von Protokoll-Abonnements verwendet, benötigt die folgenden Berechtigungen:
+ ja: DescribeElasticsearchDomain
+ ja: ListDomainNames
+ ich bin: AttachRolePolicy
+ ich bin: CreateRole
+ ich bin: GetPolicy
+ ich bin: GetPolicyVersion
+ ich bin: GetRole
+ ich bin: ListAttachedRolePolicies
+ ich bin: ListRoles
+ Kinese: DescribeStreams
+ Kinese: ListStreams
+ Lambda: AddPermission
+ Lambda: CreateFunction
+ Lambda: GetFunctionConfiguration
+ Lambda: ListAliases
+ Lambda: ListFunctions
+ Lambda: ListVersionsByFunction
+ Lambda: RemovePermission
+ s3: ListBuckets

## AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Protokolle
<a name="managed-policies-cwl"></a>

AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet werden. AWS Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern und Rollen in Ihrem Konto zuordnen können, gelten nur für CloudWatch Logs:
+ **CloudWatchLogsFullAccess**— Gewährt vollen Zugriff auf CloudWatch Protokolle.
+ **CloudWatchLogsReadOnlyAccess**— Gewährt schreibgeschützten Zugriff auf Logs. CloudWatch 

### CloudWatchLogsFullAccess
<a name="managed-policies-cwl-CloudWatchLogsFullAccess"></a>

 Die **CloudWatchLogsFullAccess**Richtlinie gewährt vollen Zugriff auf CloudWatch Protokolle. Die Richtlinie umfasst die `cloudwatch:GenerateQueryResultsSummary` Berechtigungen `cloudwatch:GenerateQuery` und, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine [CloudWatch Logs Insights-Abfragezeichenfolge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) generieren können. Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*. 

### CloudWatchLogsReadOnlyAccess
<a name="managed-policies-cwl-CloudWatchLogsReadOnlyAccess"></a>

 Die **CloudWatchLogsReadOnlyAccess**Richtlinie gewährt nur Lesezugriff auf Protokolle. CloudWatch Sie umfasst die `cloudwatch:GenerateQueryResultsSummary` Berechtigungen `cloudwatch:GenerateQuery` und, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine [CloudWatch Logs Insights-Abfragezeichenfolge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) generieren können. Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*. 

### CloudWatchOpenSearchDashboardsFullAccess
<a name="managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess"></a>

Die **CloudWatchOpenSearchDashboardsFullAccess**Richtlinie gewährt Zugriff auf das Erstellen, Verwalten und Löschen von Integrationen mit OpenSearch Service sowie auf die Erstellung von Löschprotokoll-Dashboards in diesen Integrationen. Weitere Informationen finden Sie unter [Analysieren Sie mit Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).

 Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)im Referenzhandbuch für *AWS verwaltete* Richtlinien.

### CloudWatchOpenSearchDashboardAccess
<a name="managed-policies-cwl-CloudWatchOpenSearchDashboardAccess"></a>

Die **CloudWatchOpenSearchDashboardAccess**Richtlinie gewährt Zugriff auf Dashboards mit verkauften Protokollen, die mithilfe von Analysen erstellt wurden. Amazon OpenSearch Service Weitere Informationen finden Sie unter [Analysieren Sie mit Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).

**Wichtig**  
Damit eine Rolle oder ein Benutzer nicht nur diese Richtlinie gewähren kann, müssen Sie diese Dashboards auch angeben, wenn Sie die Integration mit Service erstellen. OpenSearch Weitere Informationen finden Sie unter [Schritt 1: Erstellen Sie die Integration mit Service OpenSearch](OpenSearch-Dashboards-Integrate.md).

 Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*

#### CloudWatchLogsCrossAccountSharingConfiguration
<a name="managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration"></a>

Die **CloudWatchLogsCrossAccountSharingConfiguration**Richtlinie gewährt Zugriff auf die Erstellung, Verwaltung und Anzeige von Observability Access Manager-Links zur gemeinsamen Nutzung von CloudWatch Logs-Ressourcen zwischen Konten. Weitere Informationen finden Sie unter [Kontoübergreifende Beobachtbarkeit von CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).

 Den vollständigen Inhalt der Richtlinie finden Sie [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*

#### CloudWatchLogsAPIKeyAccess
<a name="managed-policies-cwl-CloudWatchLogsAPIKeyAccess"></a>

Die **CloudWatchLogsAPIKeyAccess**Richtlinie aktiviert die CloudWatch Logs-API-Schlüsselauthentifizierung und die verschlüsselte Protokollaufnahme. Diese Richtlinie gewährt Berechtigungen zur Authentifizierung mithilfe von Bearer-Token und zum Schreiben von Protokollereignissen in Logs sowie zusätzliche AWS KMS Berechtigungen zum Entschlüsseln und Generieren von Datenschlüsseln, wenn CloudWatch Protokolle verschlüsselt werden.

Durch diese Richtlinie werden die folgenden Berechtigungen gewährt:
+ `logs`— Ermöglicht Prinzipalen, sich über API-Schlüsselträgertoken zu authentifizieren und Protokollereignisse in Logs-Streams zu schreiben. CloudWatch 
+ `kms`— Ermöglicht Prinzipalen das Lesen von AWS KMS Schlüsselmetadaten, das Generieren von Datenschlüsseln für die Verschlüsselung und das Entschlüsseln von Daten. Diese Berechtigungen unterstützen verschlüsselte CloudWatch Protokolle, indem sie es dem Dienst ermöglichen, Protokolldaten mit vom Kunden verwalteten Schlüsseln zu verschlüsseln. AWS KMS Der Zugriff ist auf Vorgänge beschränkt, die über den CloudWatch Logs-Dienst aufgerufen werden.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.

### CloudWatch Protokolliert Aktualisierungen für AWS Verwaltete Richtlinien
<a name="iam-awsmanpol-updates"></a>



Zeigt Details zu Aktualisierungen der AWS verwalteten Richtlinien für CloudWatch Logs an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem Verlauf der CloudWatch Protokolldokumente.




| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
| [CloudWatchLogsAPIKeyAccess](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) - Neue Richtlinie. | CloudWatch Logs hat eine neue verwaltete Richtlinie hinzugefügt **CloudWatchLogsAPIKeyAccess**.<br />Diese Richtlinie ermöglicht die CloudWatch Logs-API-Schlüsselauthentifizierung und die verschlüsselte Protokollaufnahme und gewährt Berechtigungen zur Authentifizierung mithilfe von Bearer-Token und zum Schreiben von Protokollereignissen in Logs. CloudWatch  | 17. Februar 2026 | 
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – Aktualisierung auf eine bestehende Richtlinie. |  CloudWatch Logs, denen Berechtigungen hinzugefügt **CloudWatchLogsFullAccess**wurden.<br />Berechtigungen für Aktionen zur Observability-Verwaltung wurden hinzugefügt, um einen schreibgeschützten Zugriff auf Telemetrie-Pipelines und S3-Tabellenintegrationen zu ermöglichen. | 02. Dezember 2025 | 
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie. | CloudWatch Logs, denen Berechtigungen hinzugefügt wurden **CloudWatchLogsReadOnlyAccess**.<br />Berechtigungen für Aktionen zur Observability-Verwaltung wurden hinzugefügt, um einen schreibgeschützten Zugriff auf Telemetrie-Pipelines und S3-Tabellenintegrationen zu ermöglichen. | 02. Dezember 2025 | 
|  [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – Aktualisierung auf eine bestehende Richtlinie.  |  CloudWatch Logs, denen Berechtigungen hinzugefügt wurden **CloudWatchLogsFullAccess**. <br />Berechtigungen für `cloudwatch:GenerateQueryResultsSummary` wurden hinzugefügt, um die Generierung einer Zusammenfassung der Abfrageergebnisse in natürlicher Sprache zu ermöglichen.  |  20. Mai 2025 | 
|  [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie.  |  CloudWatch Protokolliert hinzugefügte Berechtigungen für **CloudWatchLogsReadOnlyAccess**. <br />Berechtigungen für `cloudwatch:GenerateQueryResultsSummary` wurden hinzugefügt, um die Generierung einer Zusammenfassung der Abfrageergebnisse in natürlicher Sprache zu ermöglichen.  |  20. Mai 2025 | 
|  [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – Aktualisierung auf eine bestehende Richtlinie.  |  CloudWatch Protokolliert hinzugefügte Berechtigungen für **CloudWatchLogsFullAccess**. <br />Es wurden Berechtigungen für Amazon OpenSearch Service und IAM hinzugefügt, um die Integration von CloudWatch Logs in den OpenSearch Service für einige Funktionen zu ermöglichen.  |  01. Dezember 2024  | 
|  [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Neue IAM-Richtlinie.  |  CloudWatch Logs hat eine neue IAM-Richtlinie hinzugefügt, **CloudWatchOpenSearchDashboardsFullAccess**.- Diese Richtlinie gewährt Zugriff auf das Erstellen, Verwalten und Löschen von Integrationen mit OpenSearch Service sowie auf das Erstellen, Verwalten und Löschen von Dashboards für verkaufte Protokolle in diesen Integrationen. Weitere Informationen finden Sie unter [Analysieren Sie mit Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).  |  01. Dezember 2024  | 
|  [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Neue IAM-Richtlinie.  |  CloudWatch Logs hat eine neue IAM-Richtlinie hinzugefügt, **CloudWatchOpenSearchDashboardAccess**.- Diese Richtlinie gewährt Zugriff auf Dashboards für verkaufte Logs, die von bereitgestellt werden. Amazon OpenSearch Service Weitere Informationen finden Sie unter [Analysieren Sie mit Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).  |  01. Dezember 2024  | 
|  [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – Aktualisierung auf eine bestehende Richtlinie.  |  CloudWatch Für Logs wurde eine Berechtigung hinzugefügt. **CloudWatchLogsFullAccess** <br /> Die `cloudwatch:GenerateQuery` Berechtigung wurde hinzugefügt, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine [CloudWatch Logs Insights-Abfragezeichenfolge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) generieren können.  |  27. November 2023  | 
|  [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie.  |  CloudWatch hat eine Berechtigung zu hinzugefügt **CloudWatchLogsReadOnlyAccess**. <br /> Die `cloudwatch:GenerateQuery` Berechtigung wurde hinzugefügt, sodass Benutzer mit dieser Richtlinie anhand einer Aufforderung in natürlicher Sprache eine [CloudWatch Logs Insights-Abfragezeichenfolge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) generieren können.  |  27. November 2023  | 
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | CloudWatch Logs haben Berechtigungen für hinzugefügt **CloudWatchLogsReadOnlyAccess**.<br />Die `logs:StopLiveTail` Berechtigungen `logs:StartLiveTail` und wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um CloudWatch Logs-Live-Tail-Sitzungen zu starten und zu beenden. Weitere Informationen finden Sie unter [Use live tail to view logs in near real time](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6. Juni 2023 | 
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – Neue Richtlinie | CloudWatch Logs hat eine neue Richtlinie hinzugefügt, mit der Sie CloudWatch kontoübergreifende Observability-Links verwalten können, die CloudWatch Log-Protokollgruppen gemeinsam nutzen.<br />[Weitere Informationen finden Sie unter kontoübergreifende Beobachtbarkeit CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27. November 2022 | 
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | CloudWatch Protokolliert hinzugefügte Berechtigungen für. **CloudWatchLogsReadOnlyAccess**<br />Die `oam:ListAttachedLinks` Berechtigungen `oam:ListSinks` und wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten, die von Quellkonten gemeinsam genutzt wurden, CloudWatch kontenübergreifend anzusehen. | 27. November 2022 | 

### Beispiele für vom Kunden verwaltete Richtlinien
<a name="customer-managed-policies-cwl"></a>

Sie können Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für CloudWatch Logs-Aktionen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.

In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene CloudWatch Logs-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie die CloudWatch Logs-API, AWS SDKs oder die AWS CLI verwenden.

**Topics**
+ [Beispiel 1: Vollzugriff auf Logs zulassen CloudWatch](#w2aac65c15c15c27c19b9)
+ [Beispiel 2: Erlauben Sie den schreibgeschützten Zugriff auf Protokolle CloudWatch](#w2aac65c15c15c27c19c11)
+ [Beispiel 3: Erlaube den Zugriff auf eine Protokollgruppe /einen Protokollstream](#w2aac65c15c15c27c19c13)

#### Beispiel 1: Vollzugriff auf Logs zulassen CloudWatch
<a name="w2aac65c15c15c27c19b9"></a>

Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf alle CloudWatch Logs-Aktionen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

#### Beispiel 2: Erlauben Sie den schreibgeschützten Zugriff auf Protokolle CloudWatch
<a name="w2aac65c15c15c27c19c11"></a>

AWS stellt eine **CloudWatchLogsReadOnlyAccess**Richtlinie bereit, die den schreibgeschützten Zugriff auf Protokolldaten ermöglicht. CloudWatch Diese Richtlinie umfasst die folgenden Berechtigungen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

#### Beispiel 3: Erlaube den Zugriff auf eine Protokollgruppe /einen Protokollstream
<a name="w2aac65c15c15c27c19c13"></a>

CloudWatch Logs hat zwei Ressourcentypen mit unterschiedlichen ARN-Formaten:
+ **Protokollgruppe**: `arn:aws:logs:{{region}}:{{account}}:log-group:{{LogGroupName}}`
+ **Datenstrom protokollieren**: `arn:aws:logs:{{region}}:{{account}}:log-group:{{LogGroupName}}:log-stream:{{StreamName}}`

Beim Schreiben von IAM-Richtlinien muss das von Ihnen verwendete ARN-Format dem Ressourcentyp entsprechen, für den die API autorisiert. In der [Referenz zur Serviceautorisierung](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html) finden Sie den Ressourcentyp, den jede API benötigt.

##### Beispiel 3a: Erlauben Sie den Zugriff auf Aktionen auf Protokollgruppenebene für eine bestimmte Protokollgruppe
<a name="w2aac65c15c15c27c19c13b9"></a>

```
{
   "Version":"2012-10-17", 		 	 	 
   "Statement":[
      {
      "Action": [
        "logs:DeleteLogGroup",
        "logs:PutRetentionPolicy",
        "logs:PutSubscriptionFilter",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
      }
   ]
}
```

Diese Aktionen autorisieren für den Ressourcentyp. `log-group` Das Standard-ARN-Format (ohne`:*`) wird unterstützt.

##### Beispiel 3b: Erlauben Sie den Zugriff auf Aktionen auf Logstream-Ebene für eine bestimmte Protokollgruppe
<a name="w2aac65c15c15c27c19c13c11"></a>

```
{
   "Version":"2012-10-17", 		 	 	 
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}
```

Diese Aktionen autorisieren für den Ressourcentyp. `log-stream` Das `:*` Suffix ist erforderlich, um allen Protokollströmen innerhalb der Protokollgruppe zuzuordnen oder einen bestimmten Stream mit anzugeben. `:log-stream:{{StreamName}}`

##### Beispiel 3c: Kombinierte Richtlinie für Protokollgruppen- und Logstream-Aktionen
<a name="w2aac65c15c15c27c19c13c13"></a>

```
{
   "Version":"2012-10-17", 		 	 	 
   "Statement":[
      {
        "Action": [
          "logs:DeleteLogGroup",
          "logs:PutRetentionPolicy",
          "logs:DescribeLogStreams",
          "logs:FilterLogEvents"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
      },
      {
        "Action": [
          "logs:CreateLogStream",
          "logs:PutLogEvents",
          "logs:GetLogEvents"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}
```

### Markierung und IAM-Richtlinien für die Steuerung auf der Protokollgruppenebene verwenden
<a name="cwl-IAM-policy-tagging"></a>

Sie können Benutzern Zugriff auf bestimmte Protokollgruppen gewähren und sie gleichzeitig daran hindern, auf andere Protokollgruppen zuzugreifen. Hierzu markieren Sie Ihre Protokollgruppen und verwenden IAM-Richtlinien, die auf diese Tags verweisen. Um Tags auf eine Protokollgruppe anzuwenden, benötigen Sie entweder die `logs:TagResource`- oder `logs:TagLogGroup`-Berechtigung. Dies gilt sowohl, wenn Sie der Protokollgruppe bei der Erstellung Tags zuweisen, als auch, wenn Sie die Tags später zuweisen.

Weitere Informationen zum Taggen von Protokollgruppen finden Sie unter [Taggen Sie Protokollgruppen in Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).

Wenn Sie Protokollgruppen markieren, können Sie einem Benutzer eine IAM-Richtlinie erteilen, um nur Zugriff auf die Protokollgruppen mit einem bestimmten Tag zu gewähren. Beispiel: Die folgende Richtlinienanweisung gewährt nur den Zugriff auf Regeln mit dem Wert `Green` für den Tag-Schlüssel `Team`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}
```

------

Die Operationen **StopQuery**und die **StopLiveTail**API interagieren nicht mit AWS Ressourcen im herkömmlichen Sinne. Sie geben keine Daten zurück, legen keine Daten ab und ändern keine Ressource in irgendeiner Weise. Stattdessen funktionieren sie nur bei einer bestimmten Live-Tail-Sitzung oder einer bestimmten CloudWatch Logs Insights-Abfrage, die nicht als Ressourcen kategorisiert sind. Wenn Sie das Feld `Resource` in den IAM-Richtlinien für diese Operationen angeben, müssen Sie daher den Wert des Felds `Resource` wie im folgenden Beispiel auf `*` festlegen. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	  
    "Statement": 
        [ {
            "Effect": "Allow", 
            "Action": [ 
                "logs:StopQuery",
                "logs:StopLiveTail"
            ], 
            "Resource": "*" 
            } 
        ] 
}
```

------

Weitere Informationen zur Verwendung von IAM-Richtlinienanweisungen finden Sie unter [Steuern des Zugriffs mithilfe von Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) im *IAM-Benutzerhandbuch*.