

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Chiavi condizionali per l'accesso ai gruppi di log di Contributor Insights
<a name="iam-cw-condition-keys-contributor"></a>

Per creare una regola in Contributor Insights e visualizzarne i risultati, un utente deve disporre dell'autorizzazione `cloudwatch:PutInsightRule`. Per impostazione predefinita, un utente con questa autorizzazione può creare una regola che valuta qualsiasi gruppo di log in CloudWatch Logs e quindi visualizzare i risultati. I risultati possono includere dati dei collaboratori provenienti da quei gruppi di log, che potrebbero contenere informazioni riservate.

Puoi creare policy IAM con chiavi di condizione per concedere agli utenti l'autorizzazione a scrivere regole di Contributor Insights per gruppi di log specifici, impedendo al contempo l'accesso ai dati di altri gruppi di log.

 Per ulteriori informazioni sull'elemento `Condition` nelle policy IAM, consulta [Elementi JSON della policy IAM: Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).

## Comprensione del modello di autorizzazioni di Contributor Insights
<a name="contributor-insights-permissions-model"></a>

Le operazioni di Contributor Insights utilizzano lo spazio dei `cloudwatch:` nomi IAM. Le operazioni dei gruppi di log utilizzano lo spazio dei nomi. `logs:` Contributor Insights non richiede né valuta le `logs:` autorizzazioni quando elabora i dati dei gruppi di log.

Un responsabile con `cloudwatch:PutInsightRule` e `cloudwatch:GetInsightRuleReport` autorizzazioni può creare regole che valutano qualsiasi gruppo di log e recuperano i risultati, anche senza alcuna `logs:` autorizzazione per tali gruppi di log.

**Importante**  
I risultati aggregati possono contenere informazioni riservate, come i campi di registro utilizzati come chiavi di collaborazione. Concedi `cloudwatch:PutInsightRule` e `cloudwatch:GetInsightRuleReport` autorizzazioni solo ai responsabili che devono accedere ai dati in tutti i gruppi di log a cui si fa riferimento.

Per l'accesso tra account diversi, se un account di origine ha configurato un [AWS Organizations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)link che condivide l'accesso ai gruppi di log, un responsabile dell'account di monitoraggio deve solo creare regole destinate `cloudwatch:PutInsightRule` ai gruppi di log degli account di origine.

## Limitazione dell'accesso di Contributor Insights a gruppi di log specifici
<a name="contributor-insights-restrict-log-groups"></a>

Utilizzate le seguenti chiavi di condizione per limitare i gruppi di log che un responsabile può specificare durante la creazione delle regole di Contributor Insights:
+ `cloudwatch:requestInsightRuleLogGroups`— Corrisponde ai nomi dei gruppi di log specificati in una regola
+ `cloudwatch:requestInsightRuleLogGroupARNs`— Corrisponde agli ARN dei gruppi di log specificati in una regola

**Importante**  
Dopo la creazione di una regola, qualsiasi principale con `cloudwatch:GetInsightRuleReport` autorizzazione può recuperarne i risultati, indipendentemente dalle restrizioni dei gruppi di log.

La seguente politica concede l'autorizzazione a creare regole di Contributor Insights per il gruppo di log denominato `AllowedLogGroup` e per i gruppi di log con nomi che iniziano con. `AllowedWildCard` Non concede l'autorizzazione a creare regole per altri gruppi di log.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}
```

------

La seguente politica consente di creare regole per qualsiasi gruppo di log per impostazione predefinita, ma nega esplicitamente la creazione di regole per il gruppo di log denominato. `ExplicitlyDeniedLogGroup`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}
```

------

La seguente politica nega la creazione di regole destinate ai gruppi di log `/production/` presenti nel percorso ARN.

```
{
    "Version": "		 	 	 ",
    "Statement": [
        {
            "Sid": "DenyProductionLogGroupsByARN",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "cloudwatch:requestInsightRuleLogGroupARNs": [
                        "arn:aws:logs:*:*:log-group:*/production/*"
                    ]
                }
            }
        }
    ]
}
```

**Nota**  
Le chiavi delle condizioni corrispondono alle stringhe del pattern scritte nella definizione della regola, non ai gruppi di log risolti.
Se le regole specificano i gruppi di log come ARN completi, un valore di condizione come `/production/*` non corrisponde perché la stringa ARN completa non inizia con quel prefisso. Utilizza `*/production/*` come prefisso wildcard per abbinare i riferimenti ai gruppi di log. ARN-based 

## Le migliori pratiche di sicurezza per Contributor Insights
<a name="contributor-insights-security-best-practices"></a>

Segui queste best practice per proteggere la tua configurazione di Contributor Insights.
+ **Applica il privilegio minimo**: concedi `cloudwatch:PutInsightRule` e `cloudwatch:GetInsightRuleReport` solo ai responsabili che devono analizzare i dati dei gruppi di log
+ **Usa le chiavi condizionali per limitare i gruppi di log: limita i gruppi** di log a cui un principale può fare riferimento nelle regole di Contributor Insights
+ **Proteggi i campi sensibili**: utilizza la protezione dei dati di CloudWatch Logs per mascherare i dati di registro sensibili prima che Contributor Insights li elabori. Per ulteriori informazioni, consulta [Proteggere dati sensibili del log con la mascheratura](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html).
+ **Considerate la sensibilità alle chiavi** dei contributori: le chiavi dei contributori potrebbero esporre valori come indirizzi IP o identificatori utente nei risultati delle regole
+ **Esamina l'accesso tra account diversi**: verifica le configurazioni dei AWS Organizations link per confermare che solo gli account di monitoraggio previsti possano creare regole relative ai gruppi di log degli account di origine