发送到日志的 CloudWatch 日志 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

发送到日志的 CloudWatch 日志

重要

在将以下列表中的日志类型设置为发送到 Lo CloudWatch gs 时,如果需要,可以 Amazon 创建或更改与接收日志的日志组关联的资源策略。继续阅读本节,查看详细信息。

当将上一节表中列出的日志类型发送到 Log CloudWatch s 时,本节适用:

用户权限

为了能够设置首次向 Logs 发送任何此类 CloudWatch 日志,您必须使用具有以下权限的账户登录。

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    注意

    当您指定 logs:DescribeLogGroupslogs:DescribeResourcePolicieslogs:PutResourcePolicy 权限时,请确保将其 Resource 行的 ARN 设置为使用 * 通配符,而不是仅指定单个日志组名称。例如,"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

如果这些类型的日志中的任何一种已发送到日志中的某个 CloudWatch 日志组,则要设置向同一日志组发送另一类此类日志,您只需要该logs:CreateLogDelivery权限即可。

日志组和资源策略

接收日志的日志组必须具有包含特定权限的资源策略。如果日志组当前没有资源策略,并且设置日志记录的用户拥有该日志组的logs:PutResourcePolicylogs:DescribeResourcePolicies、和logs:DescribeLogGroups权限,则在您开始将日志发送到 CloudWatch Logs 时, Amazon 会自动为其创建以下策略。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

日志组的资源策略限制为 51,200 字节。一旦达到此限制,AWS 就无法添加新权限。这要求客户手动修改策略以授予delivery.logs.amazonaws.com服务主体对logs:CreateLogStreamlogs:PutLogEvents操作的权限。客户应使用带有通配符的日志组名称前缀,例如/aws/vendedlogs/*并在将来创建 Future Delivery 时使用此日志组名称。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}