使用 CloudWatch 控制台所需的权限 Amazon用于 CloudWatch Logs 的托管（预定义）策略客户托管式策略示例使用标记和 IAM 策略在日志组级别进行控制

对 CloudWatch Logs 使用基于身份的策略（IAM 策略）

本主题提供了基于身份的策略的示例，在这些策略中，账户管理员可以向 IAM 身份（即：用户、组和角色）附加权限策略。

重要

我们建议您首先阅读以下介绍性主题，这些主题讲解了管理 CloudWatch Logs 资源访问的基本概念和选项。有关更多信息，请参阅管理您的 CloudWatch Logs 资源的访问权限概述。

注意

CloudWatch Logs 不支持阻止用户使用 aws:Resource/key-name 或 aws:TagKeys 条件键为日志组分配指定标签的 IAM 策略。此外，您无法通过使用 aws:ResourceTag/key-name 条件键控制对 DescribeLogGroups 操作的访问。其他 CloudWatch Logs 操作支持使用 aws:ResourceTag/key-name 条件键来控制访问。有关使用标签控制访问的更多信息，请参阅使用标签控制对亚马逊云科技资源的访问。

本主题包含以下内容：

使用 CloudWatch 控制台所需的权限
Amazon用于 CloudWatch Logs 的托管（预定义）策略
客户托管式策略示例

下面是权限策略的示例：


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

本策略具有一个语句，该语句授予了创建日志组和日志流、将事件上传到日志流和列出有关日志流的详细信息的权限。

Resource 值结尾的通配符 (*) 表示一个语句，该语句授予了对任何日志组执行 logs:CreateLogGroup、logs:CreateLogStream、logs:PutLogEvents 和 logs:DescribeLogStreams 操作的权限。要将此权限限制到特定日志组，请使用将资源 ARN 中的通配符 (*) 替换为特定日志组 ARN。有关 IAM 策略语句中各部分的更多信息，请参阅 IAM 用户指南中的 IAM 策略元素引用。有关显示所有 CloudWatch Logs 操作的列表，请参阅 CloudWatch Logs 权限参考。

使用 CloudWatch 控制台所需的权限

用户若要能够在 CloudWatch 控制台中使用 CloudWatch Logs，则必须拥有一组最低的权限来允许其描述自己Amazon账户中的其他Amazon资源。要在 CloudWatch 控制台中使用 CloudWatch Logs，您必须拥有来自以下服务的权限：

CloudWatch
CloudWatch Logs
OpenSearch Service
IAM
Kinesis
Lambda
Amazon S3

如果创建比必需的最低权限更为严格的 IAM 策略，对于附加了该 IAM 策略的用户，控制台将无法按预期正常运行。要确保这些用户仍可使用 CloudWatch 控制台，也可向用户附加 CloudWatchReadOnlyAccess 托管策略，如 Amazon用于 CloudWatch Logs 的托管（预定义）策略中所述。

对于只需要调用 Amazon CLI 或 CloudWatch Logs API 的用户，无需为其提供最低控制台权限。

对于未使用控制台管理日志订阅的用户，使用 CloudWatch 控制台所需的完整权限集为：

cloudwatch:getMetricData
cloudwatch:listMetrics
logs:cancelExportTask
logs:createExportTask
logs:createLogGroup
logs:createLogStream
logs:deleteLogGroup
logs:deleteLogStream
logs:deleteMetricFilter
logs:deleteQueryDefinition
logs:deleteRetentionPolicy
logs:deleteSubscriptionFilter
logs:describeExportTasks
logs:describeLogGroups
logs:describeLogStreams
logs:describeMetricFilters
logs:describeQueryDefinitions
logs:describeSubscriptionFilters
logs:filterLogEvents
logs:getLogEvents
logs:putMetricFilter
logs:putQueryDefinition
logs:putRetentionPolicy
logs:putSubscriptionFilter
logs:testMetricFilter

对于同时使用控制台来管理日志订阅的用户，还需要以下权限：

es:describeElasticsearchDomain
es:listDomainNames
iam:attachRolePolicy
iam:createRole
iam:getPolicy
iam:getPolicyVersion
iam:getRole
iam:listAttachedRolePolicies
iam:listRoles
kinesis:describeStreams
kinesis:listStreams
lambda:addPermission
lambda:createFunction
lambda:getFunctionConfiguration
lambda:listAliases
lambda:listFunctions
lambda:listVersionsByFunction
lambda:removePermission
s3:listBuckets

Amazon用于 CloudWatch Logs 的托管（预定义）策略

Amazon通过提供由创建和管理的独立 IAM 策略来满足许多常用案例的要求。Amazon托管式策略可授予常用案例的必要权限，因此，您可以免去调查都需要哪些权限的工作。有关更多信息，请参阅 IAM 用户指南中的Amazon托管策略。

以下 Amazon 托管式策略（可附加到您账户中的用户和角色）特定于 CloudWatch Logs：

CloudWatchLogsFullAccess – 授予对 CloudWatch Logs 的完全访问权限。
CloudWatchLogsReadOnlyAccess – 授予对 CloudWatch Logs 的只读访问权限。

CloudWatchLogsFullAccess

CloudWatchLogsFullAccess 策略授予对 CloudWatch Logs 的完全访问权限。内容如下：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

CloudWatchLogsReadOnlyAccess

CloudWatchLogsReadOnlylAccess 策略授予对 CloudWatch Logs 的只读访问权限。内容如下：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

客户托管式策略示例

您可以创建您自己的自定义 IAM 策略，以授予对 CloudWatch Logs 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。

本节的用户策略示例介绍如何授予对各 CloudWatch Logs 操作的权限。当您使用 CloudWatch Logs API、Amazon开发工具包或 Amazon CLI 时，可以使用这些策略。

示例

示例 1：允许对 CloudWatch Logs 进行完全访问
示例 2：允许对 CloudWatch Logs 进行只读访问
示例 3：允许访问一个日志组

示例 1：允许对 CloudWatch Logs 进行完全访问

以下策略允许用户访问所有 CloudWatch Logs 操作。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

示例 2：允许对 CloudWatch Logs 进行只读访问

Amazon提供了一个 CloudWatchLogsReadOnlyAccess 策略，该策略允许对 CloudWatch Logs 数据进行只读访问。此策略包含以下权限。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

示例 3：允许访问一个日志组

以下策略允许用户在一个指定的日志组中读取和写入日志事件。


{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
      }
   ]
}

使用标记和 IAM 策略在日志组级别进行控制

您可以为用户授予某些日志组的访问权限，同时禁止他们访问其他日志组。为此，请标记您的日志组，并使用引用这些标记的 IAM 策略。

有关标记日志组的更多信息，请参阅在 Amazon CloudWatch Logs 中标记日志组。

在标记日志组时，您可以为用户授予 IAM 策略以仅允许访问具有特定标记的日志组。例如，以下策略语句仅授予 Green 标签键值为 Team 的日志组的访问权限。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/Team": "Green"
                }
            }
        }
    ]
}

有关使用 IAM 策略语句的更多信息，请参阅 IAM 用户指南中的使用策略控制访问。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

有关管理访问的概述

CloudWatch Logs 权限参考