CloudWatch 日志权限参考 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudWatch 日志权限参考

在设置 访问控制 和编写您可挂载到 IAM 身份的权限策略(基于身份的策略)时,可以使用下表作为参考。该表列出了每 CloudWatch 个 Logs API 操作以及您可以为其授予执行该操作的权限的相应操作。请在策略的 Action 字段中指定这些操作。对于该Resource字段,您可以指定日志组或日志流的 ARN,也可以指定*代表所有 CloudWatch 日志资源。

您可以在 CloudWatch 日志策略中使用 Amazon-wide 条件键来表达条件。有关 Amazon范围密钥的完整列表,请参阅 IAM 用户指南中的Amazon 全局和 IAM 条件上下文密钥

注意

要指定操作,请在 API 操作名称之前使用 logs: 前缀。例如:logs:CreateLogGrouplogs:CreateLogStream、或logs:*(适用于所有 “ CloudWatch 日志” 操作)。

CloudWatch 记录 API 操作和操作所需的权限
CloudWatch 记录 API 的操作 所需权限(API 操作)

CancelExportTask

logs:CancelExportTask

需要取消待处理或正在运行的导出任务。

CreateExportTask

logs:CreateExportTask

将数据从日志组导出到 Amazon S3 存储桶所需。

CreateLogGroup

logs:CreateLogGroup

需要创建新的日志组。

CreateLogStream

logs:CreateLogStream

需要在日志组中创建新的日志流。

DeleteDestination

logs:DeleteDestination

需要删除日志目标并对其禁用所有订阅筛选器。

DeleteLogGroup

logs:DeleteLogGroup

需要删除日志组和所有关联的存档日志事件。

DeleteLogStream

logs:DeleteLogStream

需要删除日志流和所有关联的存档日志事件。

DeleteMetricFilter

logs:DeleteMetricFilter

需要删除与日志组关联的指标筛选器。

DeleteQueryDefinition

logs:DeleteQueryDefinition

需要在 Logs Insight CloudWatch s 中删除已保存的查询定义。

DeleteResourcePolicy

logs:DeleteResourcePolicy

删除 CloudWatch 日志资源策略所必需的。

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

需要删除日志组的保留策略。

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

需要删除与日志组关联的订阅筛选器。

DescribeDestinations

logs:DescribeDestinations

需要查看与账户关联的所有目标。

DescribeExportTasks

logs:DescribeExportTasks

需要查看与账户关联的所有导出任务。

DescribeLogGroups

logs:DescribeLogGroups

需要查看与账户关联的所有日志组。

DescribeLogStreams

logs:DescribeLogStreams

需要查看与日志组关联的所有日志流。

DescribeMetricFilters

logs:DescribeMetricFilters

需要查看与日志组关联的所有指标。

DescribeQueryDefinitions

logs:DescribeQueryDefinitions

需要在 Logs Insights 中 CloudWatch 查看已保存的查询定义列表。

DescribeQueries

logs:DescribeQueries

需要查看已计划、正在执行或最近执行的 L CloudWatch ogs Insights 查询列表。

DescribeResourcePolicies

logs:DescribeResourcePolicies

查看 CloudWatch 日志资源策略列表所必需的。

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

需要查看与日志组关联的所有订阅筛选器。

FilterLogEvents

logs:FilterLogEvents

需要按照日志组筛选器模式对日志事件进行排序。

GetLogEvents

logs:GetLogEvents

需要从日志流中检索日志事件。

GetLogGroupFields

logs:GetLogGroupFields

需要检索日志组中日志事件内包含的字段列表。

GetLogRecord

logs:GetLogRecord

需要从单个日志事件中检索详细信息。

GetQueryResults

logs:GetQueryResults

检索 L CloudWatch ogs Insights 查询结果所必需的。

ListTagsLogGroup

logs:ListTagsLogGroup

需要列出与日志组关联的标签。

PutDestination

logs:PutDestination

创建或更新目标日志流(例如,Kinesis 流)所需。

PutDestinationPolicy

logs:PutDestinationPolicy

需要创建或更新与现有日志目标关联的访问策略。

PutLogEvents

logs:PutLogEvents

需要将一批日志事件上传到日志流。

PutMetricFilter

logs:PutMetricFilter

需要创建或更新指标筛选器并将其与日志组关联。

PutQueryDefinition

logs:PutQueryDefinition

需要在 L CloudWatch ogs Insights 中保存查询。

PutResourcePolicy

logs:PutResourcePolicy

创建 CloudWatch 日志资源策略所必需的。

PutRetentionPolicy

logs:PutRetentionPolicy

需要设置日志组中的日志事件的保存(保留)天数。

PutSubscriptionFilter

logs:PutSubscriptionFilter

需要创建或更新订阅筛选器并将其与日志组关联。

StartQuery

logs:StartQuery

启动 CloudWatch 日志见解查询所必需的。

StopQuery

logs:StopQuery

需要停止正在进行的 CloudWatch Logs Insights 查询。

TagLogGroup

logs:TagLogGroup

需要添加或更新日志组标签。

TestMetricFilter

logs:TestMetricFilter

需要针对日志事件消息采样测试筛选器模式。