适用于 Amazon CloudWatch Logs 的 Identity and Access Management
访问 Amazon CloudWatch Logs 时需要可供Amazon用来验证您的请求的凭证。这些凭证必须有权访问Amazon资源,例如检索有关您的云资源的 CloudWatch Logs 数据。下面几节提供详细的信息来说明如何使用 Amazon Identity and Access Management (IAM) 和 CloudWatch Logs 控制谁能访问您的资源,从而对这些资源进行保护:
身份验证
要提供访问权限,请为您的用户、组或角色添加权限:
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
访问控制
您可以使用有效的凭证来对自己的请求进行身份验证,但您还必须拥有权限才能创建或访问 CloudWatch Logs 资源。例如,您必须拥有创建日志流、创建日志组和执行其他操作的权限。
下面几节介绍如何管理 CloudWatch Logs 的权限。我们建议您先阅读概述。