CloudWatch Logs 权限参考 - Amazon CloudWatch Logs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

CloudWatch Logs 权限参考

在设置 访问控制 和编写您可挂载到 IAM 身份的权限策略(基于身份的策略)时,可以使用下表作为参考。此表列出每个 CloudWatch Logs API 操作以及您可授权执行该操作的相应操作。请在策略的 Action 字段中指定这些操作。对于 Resource 字段,您可以指定日志组或日志流的 ARN,或者指定 * 来表示所有 CloudWatch Logs 资源。

您可以在 CloudWatch Logs 策略中使用Amazon范围的条件键来表达条件。有关Amazon范围的键的完整列表,请参阅 IAM 用户指南中的Amazon全局和 IAM 条件上下文键

注意

要指定操作,请在 API 操作名称之前使用 logs: 前缀。例如:logs:CreateLogGrouplogs:CreateLogStreamlogs:*(适用于所有 CloudWatch Logs 操作)。

CloudWatch Logs API 操作和必需的操作权限
CloudWatch Logs API 操作 所需权限(API 操作)

CancelExportTask

logs:CancelExportTask

需要取消待处理或正在运行的导出任务。

CreateExportTask

logs:CreateExportTask

将数据从日志组导出到 Amazon S3 存储桶所需。

CreateLogGroup

logs:CreateLogGroup

需要创建新的日志组。

CreateLogStream

logs:CreateLogStream

需要在日志组中创建新的日志流。

DeleteDestination

logs:DeleteDestination

需要删除日志目标并对其禁用所有订阅筛选器。

DeleteLogGroup

logs:DeleteLogGroup

需要删除日志组和所有关联的存档日志事件。

DeleteLogStream

logs:DeleteLogStream

需要删除日志流和所有关联的存档日志事件。

DeleteMetricFilter

logs:DeleteMetricFilter

需要删除与日志组关联的指标筛选器。

DeleteQueryDefinition

logs:DeleteQueryDefinition

删除 CloudWatch Logs Insights 中保存的查询定义所需。

DeleteResourcePolicy

logs:DeleteResourcePolicy

删除 CloudWatch Logs 资源策略所需。

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

需要删除日志组的保留策略。

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

需要删除与日志组关联的订阅筛选器。

DescribeDestinations

logs:DescribeDestinations

需要查看与账户关联的所有目标。

DescribeExportTasks

logs:DescribeExportTasks

需要查看与账户关联的所有导出任务。

DescribeLogGroups

logs:DescribeLogGroups

需要查看与账户关联的所有日志组。

DescribeLogStreams

logs:DescribeLogStreams

需要查看与日志组关联的所有日志流。

DescribeMetricFilters

logs:DescribeMetricFilters

需要查看与日志组关联的所有指标。

DescribeQueryDefinitions

logs:DescribeQueryDefinitions

查看 CloudWatch Logs Insights 中保存的查询定义列表所需。

DescribeQueries

logs:DescribeQueries

查看已计划、正在执行或最近已执行的 CloudWatch Logs Insights 查询列表所需。

DescribeResourcePolicies

logs:DescribeResourcePolicies

查看 CloudWatch Logs 资源策略列表所需。

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

需要查看与日志组关联的所有订阅筛选器。

FilterLogEvents

logs:FilterLogEvents

需要按照日志组筛选器模式对日志事件进行排序。

GetLogEvents

logs:GetLogEvents

需要从日志流中检索日志事件。

GetLogGroupFields

logs:GetLogGroupFields

需要检索日志组中日志事件内包含的字段列表。

GetLogRecord

logs:GetLogRecord

需要从单个日志事件中检索详细信息。

GetQueryResults

logs:GetQueryResults

检索 CloudWatch Logs Insights 查询的结果所需。

ListTagsLogGroup

logs:ListTagsLogGroup

需要列出与日志组关联的标签。

PutDestination

logs:PutDestination

创建或更新目标日志流(例如,Kinesis 流)所需。

PutDestinationPolicy

logs:PutDestinationPolicy

需要创建或更新与现有日志目标关联的访问策略。

PutLogEvents

logs:PutLogEvents

需要将一批日志事件上传到日志流。

PutMetricFilter

logs:PutMetricFilter

需要创建或更新指标筛选器并将其与日志组关联。

PutQueryDefinition

logs:PutQueryDefinition

在 CloudWatch Logs Insights 中保存查询所需。

PutResourcePolicy

logs:PutResourcePolicy

创建 CloudWatch Logs 资源策略所需。

PutRetentionPolicy

logs:PutRetentionPolicy

需要设置日志组中的日志事件的保存(保留)天数。

PutSubscriptionFilter

logs:PutSubscriptionFilter

需要创建或更新订阅筛选器并将其与日志组关联。

StartQuery

logs:StartQuery

启动 CloudWatch Logs Insights 查询所需。

StopQuery

logs:StopQuery

停止正在执行的 CloudWatch Logs Insights 查询所需。

TagLogGroup

logs:TagLogGroup

需要添加或更新日志组标签。

TestMetricFilter

logs:TestMetricFilter

需要针对日志事件消息采样测试筛选器模式。