创建或使用数据保护策略所需的 IAM 权限 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建或使用数据保护策略所需的 IAM 权限

为了能够使用日志组的数据保护策略,您必须具有下表所示的特定权限。账户范围的数据保护策略和适用于单个日志组的数据保护策略的权限不同。

账户级数据保护策略所需的权限

注意

如果您在 Lambda 函数内执行任何此类操作,则 Lambda 执行角色和权限边界还必须包含以下权限。

操作 所需的 IAM 权限 资源

创建没有审计目标的数据保护策略

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

创建以 CloudWatch 日志为审计目标的数据保护策略

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

logs:PutResourcePolicy

*

logs:DescribeResourcePolicies

*

logs:DescribeLogGroups

*

创建以 Firehose 为审计目标的数据保护政策

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

firehose:TagDeliveryStream

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

将 Amazon S3 作为审计目标来创建数据保护策略

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

s3:GetBucketPolicy

arn:aws:s3:::YOUR_BUCKET

s3:PutBucketPolicy

arn:aws:s3:::YOUR_BUCKET

在指定日志组中取消屏蔽已屏蔽的日志事件

logs:Unmask

arn:aws:logs:::log-group:*

查看现有数据保护策略

logs:GetDataProtectionPolicy

*

删除数据保护策略

logs:DeleteAccountPolicy

*

logs:DeleteDataProtectionPolicy

*

如果已经将任何数据保护审计日志发送到目标,则将日志发送到同一目标的其他策略只需要 logs:PutDataProtectionPolicylogs:CreateLogDelivery 权限。

单个日志组的数据保护策略所需的权限

注意

如果您在 Lambda 函数内执行任何此类操作,则 Lambda 执行角色和权限边界还必须包含以下权限。

操作 所需的 IAM 权限 资源

创建没有审计目标的数据保护策略

logs:PutDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

创建以 CloudWatch 日志为审计目标的数据保护策略

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

logs:PutResourcePolicy

logs:DescribeResourcePolicies

logs:DescribeLogGroups

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

*

*

*

创建以 Firehose 为审计目标的数据保护政策

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

firehose:TagDeliveryStream

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

将 Amazon S3 作为审计目标来创建数据保护策略

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

s3:GetBucketPolicy

s3:PutBucketPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:s3:::YOUR_BUCKET

arn:aws:s3:::YOUR_BUCKET

对已屏蔽的日志事件取消屏蔽

logs:Unmask

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

查看现有数据保护策略

logs:GetDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

删除数据保护策略

logs:DeleteDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

如果已经将任何数据保护审计日志发送到目标,则将日志发送到同一目标的其他策略只需要 logs:PutDataProtectionPolicylogs:CreateLogDelivery 权限。

数据保护策略示例

以下示例策略允许用户创建、查看和删除数据保护策略,这些策略可以将审计调查发现发送到所有三种类型的审计目标。它不允许用户查看未屏蔽的数据。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "YOUR_SID_1", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Sid": "YOUR_SID_2", "Effect": "Allow", "Action": [ "logs:GetDataProtectionPolicy", "logs:DeleteDataProtectionPolicy", "logs:PutDataProtectionPolicy", "s3:PutBucketPolicy", "firehose:TagDeliveryStream", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM", "arn:aws:s3:::YOUR_BUCKET", "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*" ] } ] }