CloudWatch Logs 权限参考

在设置访问控制和编写您可挂载到 IAM 身份的权限策略（基于身份的策略）时，可以使用下表作为参考。此表列出每个 CloudWatch Logs API 操作以及您可授权执行该操作的相应操作。请在策略的 Action 字段中指定这些操作。对于 Resource 字段，您可以指定日志组或日志流的 ARN，或者指定 * 来表示所有 CloudWatch Logs 资源。

您可以在 CloudWatch Logs 策略中使用Amazon范围的条件键来表达条件。有关Amazon范围的键的完整列表，请参阅 IAM 用户指南中的Amazon全局和 IAM 条件上下文键。

注意

要指定操作，请在 API 操作名称之前使用 logs: 前缀。例如：logs:CreateLogGroup、logs:CreateLogStream 或 logs:*（适用于所有 CloudWatch Logs 操作）。

CloudWatch Logs API 操作和必需的操作权限
CloudWatch Logs API 操作	所需权限（API 操作）
CancelExportTask	`logs:CancelExportTask` 需要取消待处理或正在运行的导出任务。
CreateExportTask	`logs:CreateExportTask` 将数据从日志组导出到 Amazon S3 存储桶所需。
CreateLogGroup	`logs:CreateLogGroup` 需要创建新的日志组。
CreateLogStream	`logs:CreateLogStream` 需要在日志组中创建新的日志流。
DeleteDestination	`logs:DeleteDestination` 需要删除日志目标并对其禁用所有订阅筛选器。
DeleteLogGroup	`logs:DeleteLogGroup` 需要删除日志组和所有关联的存档日志事件。
DeleteLogStream	`logs:DeleteLogStream` 需要删除日志流和所有关联的存档日志事件。
DeleteMetricFilter	`logs:DeleteMetricFilter` 需要删除与日志组关联的指标筛选器。
DeleteQueryDefinition	`logs:DeleteQueryDefinition` 删除 CloudWatch Logs Insights 中保存的查询定义所需。
DeleteResourcePolicy	`logs:DeleteResourcePolicy` 删除 CloudWatch Logs 资源策略所需。
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` 需要删除日志组的保留策略。
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` 需要删除与日志组关联的订阅筛选器。
DescribeDestinations	`logs:DescribeDestinations` 需要查看与账户关联的所有目标。
DescribeExportTasks	`logs:DescribeExportTasks` 需要查看与账户关联的所有导出任务。
DescribeLogGroups	`logs:DescribeLogGroups` 需要查看与账户关联的所有日志组。
DescribeLogStreams	`logs:DescribeLogStreams` 需要查看与日志组关联的所有日志流。
DescribeMetricFilters	`logs:DescribeMetricFilters` 需要查看与日志组关联的所有指标。
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` 查看 CloudWatch Logs Insights 中保存的查询定义列表所需。
DescribeQueries	`logs:DescribeQueries` 查看已计划、正在执行或最近已执行的 CloudWatch Logs Insights 查询列表所需。
DescribeResourcePolicies	`logs:DescribeResourcePolicies` 查看 CloudWatch Logs 资源策略列表所需。
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` 需要查看与日志组关联的所有订阅筛选器。
FilterLogEvents	`logs:FilterLogEvents` 需要按照日志组筛选器模式对日志事件进行排序。
GetLogEvents	`logs:GetLogEvents` 需要从日志流中检索日志事件。
GetLogGroupFields	`logs:GetLogGroupFields` 需要检索日志组中日志事件内包含的字段列表。
GetLogRecord	`logs:GetLogRecord` 需要从单个日志事件中检索详细信息。
GetQueryResults	`logs:GetQueryResults` 检索 CloudWatch Logs Insights 查询的结果所需。
ListTagsLogGroup	`logs:ListTagsLogGroup` 需要列出与日志组关联的标签。
PutDestination	`logs:PutDestination` 创建或更新目标日志流（例如，Kinesis 流）所需。
PutDestinationPolicy	`logs:PutDestinationPolicy` 需要创建或更新与现有日志目标关联的访问策略。
PutLogEvents	`logs:PutLogEvents` 需要将一批日志事件上传到日志流。
PutMetricFilter	`logs:PutMetricFilter` 需要创建或更新指标筛选器并将其与日志组关联。
PutQueryDefinition	`logs:PutQueryDefinition` 在 CloudWatch Logs Insights 中保存查询所需。
PutResourcePolicy	`logs:PutResourcePolicy` 创建 CloudWatch Logs 资源策略所需。
PutRetentionPolicy	`logs:PutRetentionPolicy` 需要设置日志组中的日志事件的保存（保留）天数。
PutSubscriptionFilter	`logs:PutSubscriptionFilter` 需要创建或更新订阅筛选器并将其与日志组关联。
StartQuery	`logs:StartQuery` 启动 CloudWatch Logs Insights 查询所需。
StopQuery	`logs:StopQuery` 停止正在执行的 CloudWatch Logs Insights 查询所需。
TagLogGroup	`logs:TagLogGroup` 需要添加或更新日志组标签。
TestMetricFilter	`logs:TestMetricFilter` 需要针对日志事件消息采样测试筛选器模式。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用基于身份的策略（IAM policy）

使用服务相关角色