本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon CloudWatch 日志的身份和访问管理
<a name="auth-and-access-control-cwl"></a>

访问 Amazon CloudWatch Logs 需要凭证 Amazon 才能对您的请求进行身份验证。这些证书必须具有访问 Amazon 资源的权限，例如检索有关您的云资源的 CloudWatch 日志数据。以下各节详细介绍了如何使用 [Amazon Identity and Access Management (IAM)](https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction.html) 和 CloudWatch 日志，通过控制谁可以访问资源来保护您的资源：
+ [身份验证](#authentication-cwl)
+ [访问控制](#access-control-cwl)

## 身份验证
<a name="authentication-cwl"></a>

要提供访问权限，请为您的用户、组或角色添加权限：
+ 通过身份提供者在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色（联合身份验证）](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。

## 访问控制
<a name="access-control-cwl"></a>

您可以拥有有效的凭证来验证您的请求，但是除非您拥有权限，否则您无法创建或访问 CloudWatch 日志资源。例如，您必须拥有创建日志流、创建日志组和执行其他操作的权限。

以下各节介绍如何管理 CloudWatch 日志的权限。我们建议您先阅读概述。
+ [管理您的 L CloudWatch ogs 资源的访问权限概述](iam-access-control-overview-cwl.md)
+ [对日志使用基于身份的策略（IAM 策略） CloudWatch](iam-identity-based-access-control-cwl.md)
+ [CloudWatch 日志权限参考](permissions-reference-cwl.md)