创建或使用数据保护策略所需的 IAM 权限

为了能够使用日志组的数据保护策略，您必须具有下表所示的特定权限。账户范围的数据保护策略和适用于单个日志组的数据保护策略的权限不同。

账户级数据保护策略所需的权限

注意

如果您在 Lambda 函数内执行任何此类操作，则 Lambda 执行角色和权限边界还必须包含以下权限。

操作	所需的 IAM 权限	资源
创建没有审计目标的数据保护策略	`logs:PutAccountPolicy`	`*`
创建没有审计目标的数据保护策略	`logs:PutDataProtectionPolicy`	`*`
创建以 CloudWatch 日志为审计目标的数据保护策略	`logs:PutAccountPolicy`	`*`
	`logs:PutDataProtectionPolicy`	`*`
	`logs:CreateLogDelivery`	`*`
	`logs:PutResourcePolicy`	`*`
	`logs:DescribeResourcePolicies`	`*`
	`logs:DescribeLogGroups`	`*`
将 Firehose 作为审计目标来创建数据保护策略	`logs:PutAccountPolicy`	`*`
	`logs:PutDataProtectionPolicy`	`*`
	`logs:CreateLogDelivery`	`*`
	`firehose:TagDeliveryStream`	`arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM`
将 Amazon S3 作为审计目标来创建数据保护策略	`logs:PutAccountPolicy`	`*`
	`logs:PutDataProtectionPolicy`	`*`
	`logs:CreateLogDelivery`	`*`
	`s3:GetBucketPolicy`	`arn:aws:s3:::YOUR_BUCKET`
	`s3:PutBucketPolicy`	`arn:aws:s3:::YOUR_BUCKET`
在指定日志组中取消屏蔽已屏蔽的日志事件	`logs:Unmask`	`arn:aws:logs:::log-group:*`
查看现有数据保护策略	`logs:GetDataProtectionPolicy`	`*`
删除数据保护策略	`logs:DeleteAccountPolicy`	`*`
删除数据保护策略	`logs:DeleteDataProtectionPolicy`	`*`

如果已经将任何数据保护审计日志发送到目标，则将日志发送到同一目标的其他策略只需要 logs:PutDataProtectionPolicy 和 logs:CreateLogDelivery 权限。

单个日志组的数据保护策略所需的权限

注意

如果您在 Lambda 函数内执行任何此类操作，则 Lambda 执行角色和权限边界还必须包含以下权限。

操作	所需的 IAM 权限	资源
创建没有审计目标的数据保护策略	`logs:PutDataProtectionPolicy`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:*`
创建以 CloudWatch 日志为审计目标的数据保护策略	`logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `logs:PutResourcePolicy` `logs:DescribeResourcePolicies` `logs:DescribeLogGroups`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:` `` `` `` `*`
将 Firehose 作为审计目标来创建数据保护策略	`logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `firehose:TagDeliveryStream`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:` `` `arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM`
将 Amazon S3 作为审计目标来创建数据保护策略	`logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `s3:GetBucketPolicy` `s3:PutBucketPolicy`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:` `` `arn:aws:s3:::YOUR_BUCKET` `arn:aws:s3:::YOUR_BUCKET`
对已屏蔽的日志事件取消屏蔽	`logs:Unmask`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:*`
查看现有数据保护策略	`logs:GetDataProtectionPolicy`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:*`
删除数据保护策略	`logs:DeleteDataProtectionPolicy`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:*`

如果已经将任何数据保护审计日志发送到目标，则将日志发送到同一目标的其他策略只需要 logs:PutDataProtectionPolicy 和 logs:CreateLogDelivery 权限。

数据保护策略示例

以下示例策略允许用户创建、查看和删除数据保护策略，这些策略可以将审计调查发现发送到所有三种类型的审计目标。它不允许用户查看未屏蔽的数据。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "YOUR_SID_1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "YOUR_SID_2",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM",
                "arn:aws:s3:::YOUR_BUCKET",
                "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*"
            ]
        }
    ]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

了解数据保护策略

创建账户范围的数据保护策略