本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudWatch 日志权限参考
在设置 访问控制 和编写您可挂载到 IAM 身份的权限策略(基于身份的策略)时,可以使用下表作为参考。该表列出了每 CloudWatch 个 Logs API 操作以及您可以为其授予执行该操作的权限的相应操作。请在策略的 Action 字段中指定这些操作。对于该Resource字段,您可以指定日志组或日志流的 ARN,也可以指定*代表所有 CloudWatch 日志资源。
您可以在 CloudWatch 日志策略中使用 Amazon-wide 条件键来表达条件。有关 Amazon范围密钥的完整列表,请参阅 IAM 用户指南中的Amazon 全局和 IAM 条件上下文密钥。
注意
要指定操作,请在 API 操作名称之前使用 logs: 前缀。例如:logs:CreateLogGrouplogs:CreateLogStream、或logs:*(适用于所有 “ CloudWatch 日志” 操作)。
| CloudWatch 记录 API 操作 | 所需权限(API 操作) |
|---|---|
|
需要取消待处理或正在运行的导出任务。 |
|
|
将数据从日志组导出到 Amazon S3 存储桶所需。 |
|
|
需要创建新的日志组。 |
|
|
需要在日志组中创建新的日志流。 |
|
|
需要删除日志目标并对其禁用所有订阅筛选器。 |
|
|
需要删除日志组和所有关联的存档日志事件。 |
|
|
需要删除日志流和所有关联的存档日志事件。 |
|
|
需要删除与日志组关联的指标筛选器。 |
|
|
需要在 Logs Insight CloudWatch s 中删除已保存的查询定义。 |
|
|
删除 CloudWatch 日志资源策略所必需的。 |
|
|
需要删除日志组的保留策略。 |
|
|
需要删除与日志组关联的订阅筛选器。 |
|
|
需要查看与账户关联的所有目标。 |
|
|
需要查看与账户关联的所有导出任务。 |
|
|
需要查看与账户关联的所有日志组。 |
|
|
需要查看与日志组关联的所有日志流。 |
|
|
需要查看与日志组关联的所有指标。 |
|
|
需要在 Logs Insights 中 CloudWatch 查看已保存的查询定义列表。 |
|
|
需要查看已计划、正在执行或最近执行的 L CloudWatch ogs Insights 查询列表。 |
|
|
查看 CloudWatch 日志资源策略列表所必需的。 |
|
|
需要查看与日志组关联的所有订阅筛选器。 |
|
|
需要按照日志组筛选器模式对日志事件进行排序。 |
|
|
需要从日志流中检索日志事件。 |
|
|
需要检索日志组中日志事件内包含的字段列表。 |
|
|
需要从单个日志事件中检索详细信息。 |
|
|
检索 L CloudWatch ogs Insights 查询结果所必需的。 |
|
|
ListEntitiesForLogGroup (CloudWatch 仅限控制台权限) |
查找与日志组关联的实体所必需的。需要在 CloudWatch 控制台中浏览相关日志。 |
|
ListLogGroupsForEntity (CloudWatch 仅限控制台权限) |
查找与实体关联的日志组所必需的。需要在 CloudWatch 控制台中浏览相关日志。 |
|
需要列出与日志组关联的标签。 |
|
|
创建或更新目标日志流(例如,Kinesis 流)所需。 |
|
|
需要创建或更新与现有日志目标关联的访问策略。 |
|
|
需要将一批日志事件上传到日志流。 |
|
|
需要创建或更新指标筛选器并将其与日志组关联。 |
|
|
需要在 “ CloudWatch 日志见解” 中保存查询。 |
|
|
创建 CloudWatch 日志资源策略所必需的。 |
|
|
需要设置日志组中的日志事件的保存(保留)天数。 |
|
|
需要创建或更新订阅筛选器并将其与日志组关联。 |
|
|
启动 CloudWatch 日志见解查询所必需的。 |
|
|
需要停止正在进行的 CloudWatch Logs Insights 查询。 |
|
|
需要添加或更新日志组标签。 |
|
|
需要针对日志事件消息采样测试筛选器模式。 |