本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Logs 使用基于身份的策略(IAM policy) CloudWatch
本主题提供了基于身份的策略的示例,在这些策略中,账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。
重要
我们建议您首先阅读以下介绍性主题,这些主题讲解了管理 CloudWatch 日志资源访问的基本概念和选项。有关更多信息,请参阅 管理您的 L CloudWatch ogs 资源的访问权限概述。
本主题包含以下内容:
下面是权限策略的示例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }
本策略具有一个语句,该语句授予了创建日志组和日志流、将事件上传到日志流和列出有关日志流的详细信息的权限。
Resource 值结尾的通配符 (*) 表示一个语句,该语句授予了对任何日志组执行 logs:CreateLogGroup、logs:CreateLogStream、logs:PutLogEvents 和 logs:DescribeLogStreams 操作的权限。要将此权限限制到特定日志组,请使用将资源 ARN 中的通配符 (*) 替换为特定日志组 ARN。有关 IAM policy 语句中各部分的更多信息,请参阅 IAM 用户指南中的 IAM policy 元素引用。有关显示所有 L CloudWatch ogs 操作的列表,请参阅CloudWatch Logs 权限参考。
使用 CloudWatch 控制台所需的权限
用户若要能够在 CloudWatch 控制 CloudWatch 台中使用 Logs,则必须拥有一组最低的权限来允许其描述自己 Amazon 账户中的其他 Amazon 资源。要在 CloudWatch 控制台 CloudWatch 中使用 Logs,您必须拥有来自以下服务的权限:
-
CloudWatch
-
CloudWatch 日志
-
OpenSearch 服务
-
IAM
-
Kinesis
-
Lambda
-
Amazon S3
如果创建比必需的最低权限更为严格的 IAM policy,对于附加了该 IAM policy 的用户, 控制台将无法按预期正常运行。要确保这些用户仍可使用 CloudWatch 控制台,也可向用户附加CloudWatchReadOnlyAccess托管策略,如中所述Amazon Lo CloudWatch gs 的托管(预定义)策略。
对于只需要调用 Amazon CLI 或 Lo CloudWatch gs API 的用户,您无需为其提供最低控制台权限。
对于未使用 CloudWatch 控制台管理日志订阅的用户,使用控制台所需的完整权限集为:
-
云观察:GetMetricData
-
云观察:ListMetrics
-
日志:CancelExportTask
-
日志:CreateExportTask
-
日志:CreateLogGroup
-
日志:CreateLogStream
-
日志:DeleteLogGroup
-
日志:DeleteLogStream
-
日志:DeleteMetricFilter
-
日志:DeleteQueryDefinition
-
日志:DeleteRetentionPolicy
-
日志:DeleteSubscriptionFilter
-
日志:DescribeExportTasks
-
日志:DescribeLogGroups
-
日志:DescribeLogStreams
-
日志:DescribeMetricFilters
-
日志:DescribeQueryDefinitions
-
日志:DescribeQueries
-
日志:DescribeSubscriptionFilters
-
日志:FilterLogEvents
-
日志:GetLogEvents
-
日志:GetLogGroupFields
-
日志:GetLogRecord
-
日志:GetQueryResults
-
日志:PutMetricFilter
-
日志:PutQueryDefinition
-
日志:PutRetentionPolicy
-
日志:StartQuery
-
日志:StopQuery
-
日志:PutSubscriptionFilter
-
日志:TestMetricFilter
对于同时使用控制台来管理日志订阅的用户,还需要以下权限:
-
是:DescribeElasticsearchDomain
-
是:ListDomainNames
-
我是:AttachRolePolicy
-
我是:CreateRole
-
我是:GetPolicy
-
我是:GetPolicyVersion
-
我是:GetRole
-
我是:ListAttachedRolePolicies
-
我是:ListRoles
-
运动学:DescribeStreams
-
运动学:ListStreams
-
lambda: AddPermission
-
lambda: CreateFunction
-
lambda: GetFunctionConfiguration
-
lambda: ListAliases
-
lambda: ListFunctions
-
lambda: ListVersionsByFunction
-
lambda: RemovePermission
-
s3:ListBuckets
Amazon Lo CloudWatch gs 的托管(预定义)策略
Amazon 通过提供由创建和管理的独立 IAM policy 来满足许多常用案例的要求 Amazon。托管策略可针对常见使用案例授予必要权限,因此,您无需自行调查具体需要哪些权限。有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
以下 Amazon 托管式策略(可附加到您账户中的用户和角色)特定于 CloudWatch Logs:
-
CloudWatchLogsFullAccess— 授予对 CloudWatch 日志的完全访问权限。
-
CloudWatchLogsReadOnlyAccess— 授予对 CloudWatch 日志的只读访问权限。
CloudWatchLogsFullAccess
该CloudWatchLogsFullAccess策略授予对 CloudWatch 日志的完全访问权限。该策略包含cloudwatch:GenerateQuery和cloudwatch:GenerateQueryResultsSummary权限,以便具有此策略的用户可以根据自然语言提示来生成 CloudWatch Logs Insights 查询字符串。要查看该策略的全部内容,请参阅CloudWatchLogsFullAccess《Amazon 托管策略参考指南》。
CloudWatchLogsReadOnlyAccess
该CloudWatchLogsReadOnlyAccess策略将授予对 Logs 的只读 CloudWatch 访问权限。它包含cloudwatch:GenerateQuery和cloudwatch:GenerateQueryResultsSummary权限,以便具有此策略的用户可以根据自然语言提示来生成 CloudWatch Logs Insights 查询字符串。要查看该策略的全部内容,请参阅CloudWatchLogsReadOnlyAccess《Amazon 托管策略参考指南》。
CloudWatchOpenSearchDashboardsFullAccess
该CloudWatchOpenSearchDashboardsFullAccess策略授予创建、管理和删除与 Serv OpenSearch ice 的集成,以及在这些集成中创建、删除和管理已售日志仪表板的权限。有关更多信息,请参阅 使用 Amazon OpenSearch 服务进行分析。
要查看该策略的全部内容,请参阅CloudWatchOpenSearchDashboardsFullAccess《Amazon 托管策略参考指南》。
CloudWatchOpenSearchDashboardAccess
该CloudWatchOpenSearchDashboardAccess策略授予查看使用 Amazon OpenSearch Service 分析创建的销售日志仪表板的访问权限。有关更多信息,请参阅 使用 Amazon OpenSearch 服务进行分析。
重要
除了授予此策略外,要使角色或用户能够查看出售的日志仪表板,还必须在创建与 Serv OpenSearch ice 的集成时指定它们。有关更多信息,请参阅 步骤 1:创建与 OpenSearch 服务的集成。
要查看该策略的全部内容,请参阅CloudWatchOpenSearchDashboardAccess《Amazon 托管策略参考指南》。
CloudWatchLogsCrossAccountSharingConfiguration
该CloudWatchLogsCrossAccountSharingConfiguration策略授予可创建、管理和查看可观测性访问管理器链接的权限,用于在账户之间共享 CloudWatch 日志资源。有关更多信息,请参阅 CloudWatch 跨账户可观测性。
要查看该策略的全部内容,请参阅CloudWatchLogsCrossAccountSharingConfiguration《Amazon 托管策略参考指南》。
CloudWatch 记录 Amazon 托管策略的更新
查看有关的 L CloudWatch ogs Amazon 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Logs 文档历史 CloudWatch 记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
CloudWatchLogsFullAccess – 对现有策略的更新。 |
CloudWatch 记录已添加的权限CloudWatchLogsFullAccess。 添加 |
2025 月 20 日 |
|
CloudWatchLogsReadOnlyAccess – 对现有策略的更新。 |
CloudWatch 记录已添加的权限CloudWatchLogsReadOnlyAccess。 添加 |
2025 月 20 日 |
|
CloudWatchLogsFullAccess – 对现有策略的更新。 |
CloudWatch 记录已添加的权限CloudWatchLogsFullAccess。 添加了 Amazon OpenSearch Service 和 IAM 的权限,以便 CloudWatch Logs 与 S OpenSearch ervice 的某些功能集成。 |
2024 年 12 月 1 日 |
|
CloudWatchOpenSearchDashboardsFullAccess— 新的 IAM 政策。 |
CloudWatch Logs 添加了新的 IAM 策略CloudWatchOpenSearchDashboardsFullAccess。-此策略授予创建、管理和删除与 Serv OpenSearch ice 的集成,以及在这些集成中创建、管理和删除已售日志仪表板的权限。有关更多信息,请参阅 使用 Amazon OpenSearch 服务进行分析。 |
2024 年 12 月 1 日 |
|
CloudWatchOpenSearchDashboardAccess— 新的 IAM 政策。 |
CloudWatch Logs 添加了新的 IAM 策略CloudWatchOpenSearchDashboardAccess。-此策略授予查看由 Amazon OpenSearch Service提供支持的销售日志仪表板的访问权限。有关更多信息,请参阅 使用 Amazon OpenSearch 服务进行分析。 |
2024 年 12 月 1 日 |
|
CloudWatchLogsFullAccess – 对现有策略的更新。 |
CloudWatch 日志已向添加权限CloudWatchLogsFullAccess。 添加了 |
2023 年 11 月 27 日 |
|
CloudWatchLogsReadOnlyAccess – 对现有策略的更新。 |
CloudWatch 已向。添加了权限CloudWatchLogsReadOnlyAccess。 添加了 |
2023 年 11 月 27 日 |
|
CloudWatchLogsReadOnlyAccess – 对现有策略的更新 |
CloudWatch 记录已添加的权限CloudWatchLogsReadOnlyAccess。 添加了 |
2023 年 6 月 6 日 |
|
CloudWatch Logs 添加了新策略,助力您管理用于分享 Lo CloudWatch gs 日志组的 CloudWatch跨账户可观测性链接。 有关更多信息,请参阅 CloudWatch 跨账户可观测性 |
2022 年 11 月 27 日 | |
|
CloudWatchLogsReadOnlyAccess – 对现有策略的更新 |
CloudWatch 记录已添加的权限CloudWatchLogsReadOnlyAccess。 添加了 |
2022 年 11 月 27 日 |
客户管理型策略示例
此外,您还可以创建您自己的自定义 IAM 策略,以授予对 CloudWatch Logs 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的用户或组。
本节的用户策略示例介绍如何授予对各 CloudWatch Logs 操作的权限。这些策略在您使用 CloudWatch 日志 API 时起作用 Amazon SDKs,或者 Amazon CLI。
示例 1:允许对 L CloudWatch ogs 进行完全访问
以下策略允许用户访问所有 CloudWatch Logs 操作。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }
示例 2:允许对 L CloudWatch ogs 进行只读访问
Amazon 提供了允许对 CloudWatch 日志数据进行只读访问的CloudWatchLogsReadOnlyAccess策略。该策略包含以下权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Effect": "Allow", "Resource": "*" } ] }
示例 3:允许访问一个日志组
以下策略允许用户在一个指定的日志组中读取和写入日志事件。
重要
Resource 行中日志组名称末尾的 :* 是必需的,以指示该策略适用于此日志组中的所有日志流。如果省略 :*,则不会强制执行该策略。
{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }
使用标记和 IAM policy 在日志组级别进行控制
您可以为用户授予某些日志组的访问权限,同时禁止他们访问其他日志组。为此,请标记您的日志组,并使用引用这些标记的 IAM policy。要将标签应用于日志组,您需要拥有 logs:TagResource 或 logs:TagLogGroup 权限。这既适用于在创建日志组时为其分配标签,也适用于稍后分配标签。
有关标记日志组的更多信息,请参阅 在 Amazon Logs 中标记 CloudWatch 日志组。
在标记日志组时,您可以为用户授予 IAM policy 以仅允许访问具有特定标记的日志组。例如,以下策略语句仅授予 Team 标签键值为 Green 的日志组的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }
StopQuery和 StopLiveTailAPI 操作不与传统意义上的 Amazon 资源交互。它们不会返回任何数据、放置任何数据或以任何方式修改资源。相反,它们仅对给定的 Live Tail 会话或给定的 L CloudWatch ogs Insights 查询进行操作,这些会话和查询不属于资源。因此,在 IAM policy 中为这些操作指定 Resource 字段时,必须将 Resource 字段的值设置为 *,如下例所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }
有关使用 IAM policy 语句的更多信息,请参阅 IAM 用户指南中的使用策略控制访问。