本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
发送到日志的 CloudWatch 日志
重要
在将以下列表中的日志类型设置为发送到 Lo CloudWatch gs 时,如果需要,可以 Amazon 创建或更改与接收日志的日志组关联的资源策略。继续阅读本节,查看详细信息。
当将上一节表中列出的日志类型发送到 Log CloudWatch s 时,本节适用:
用户权限
为了能够设置首次向 Logs 发送任何此类 CloudWatch 日志,您必须使用具有以下权限的账户登录。
-
logs:CreateLogDelivery -
logs:PutResourcePolicy -
logs:DescribeResourcePolicies -
logs:DescribeLogGroups注意
当您指定
logs:DescribeLogGroups、logs:DescribeResourcePolicies或logs:PutResourcePolicy权限时,请确保将其Resource行的 ARN 设置为使用*通配符,而不是仅指定单个日志组名称。例如,"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"
如果这些类型的日志中的任何一种已发送到日志中的某个 CloudWatch 日志组,则要设置向同一日志组发送另一类此类日志,您只需要该logs:CreateLogDelivery权限即可。
日志组和资源策略
接收日志的日志组必须具有包含特定权限的资源策略。如果日志组当前没有资源策略,并且设置日志记录的用户拥有该日志组的logs:PutResourcePolicylogs:DescribeResourcePolicies、和logs:DescribeLogGroups权限,则在您开始将日志发送到 CloudWatch Logs 时, Amazon
会自动为其创建以下策略。
如果日志组具有资源策略,但该策略不包含上一个策略中所示的语句,并且设置日志记录的用户对日志组具有 logs:PutResourcePolicy、logs:DescribeResourcePolicies 和 logs:DescribeLogGroups 权限,则该语句将附加到日志组的资源策略中。