本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # CloudWatch 日志权限参考 在设置 [访问控制](auth-and-access-control-cwl.md#access-control-cwl) 和编写您可挂载到 IAM 身份的权限策略(基于身份的策略)时,可以使用下表作为参考。该表列出了每 CloudWatch 个 Logs API 操作以及您可以为其授予执行该操作的权限的相应操作。请在策略的 `Action` 字段中指定这些操作。对于该`Resource`字段,您可以指定日志组或日志流的 ARN,也可以指定`*`代表所有 CloudWatch 日志资源。 您可以在 CloudWatch 日志策略中使用 Amazon-wide 条件键来表达条件。有关 Amazon范围密钥的完整列表,请参阅 [IAM *用户指南中的Amazon 全局和 IAM* 条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 **注意** 要指定操作,请在 API 操作名称之前使用 `logs:` 前缀。例如:`logs:CreateLogGroup``logs:CreateLogStream`、或`logs:*`(适用于所有 CloudWatch 日志操作)。 **CloudWatch 记录 API 操作和操作所需的权限** | CloudWatch 记录 API 的操作 | 所需权限(API 操作) | | --- | --- | | [CancelExportTask](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` 需要取消待处理或正在运行的导出任务。 | | [CreateExportTask](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` 将数据从日志组导出到 Amazon S3 存储桶所需。 | | [CreateLogGroup](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` 需要创建新的日志组。 | | [CreateLogStream](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` 需要在日志组中创建新的日志流。 | | [DeleteDestination](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` 需要删除日志目标并对其禁用所有订阅筛选器。 | | [DeleteLogGroup](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` 需要删除日志组和所有关联的存档日志事件。 | | [DeleteLogStream](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` 需要删除日志流和所有关联的存档日志事件。 | | [DeleteMetricFilter](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` 需要删除与日志组关联的指标筛选器。 | | [DeleteQueryDefinition](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` 需要在 Logs Insight CloudWatch s 中删除已保存的查询定义。 | | [DeleteResourcePolicy](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` 删除 CloudWatch 日志资源策略所必需的。 | | [DeleteRetentionPolicy](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` 需要删除日志组的保留策略。 | | [DeleteSubscriptionFilter](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` 需要删除与日志组关联的订阅筛选器。 | | [DescribeDestinations](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` 需要查看与账户关联的所有目标。 | | [DescribeExportTasks](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` 需要查看与账户关联的所有导出任务。 | | [DescribeLogGroups](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` 需要查看与账户关联的所有日志组。 | | [DescribeLogStreams](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` 需要查看与日志组关联的所有日志流。 | | [DescribeMetricFilters](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` 需要查看与日志组关联的所有指标。 | | [DescribeQueryDefinitions](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` 需要在 Logs Insights 中 CloudWatch 查看已保存的查询定义列表。 | | [DescribeQueries](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` 需要查看已计划、正在执行或最近执行的 L CloudWatch ogs Insights 查询列表。 | | [DescribeResourcePolicies](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` 查看 CloudWatch 日志资源策略列表所必需的。 | | [DescribeSubscriptionFilters](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` 需要查看与日志组关联的所有订阅筛选器。 | | [FilterLogEvents](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` 需要按照日志组筛选器模式对日志事件进行排序。 | | [GetLogEvents](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` 需要从日志流中检索日志事件。 | | [GetLogGroupFields](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` 需要检索日志组中日志事件内包含的字段列表。 | | [GetLogRecord](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` 需要从单个日志事件中检索详细信息。 | | [GetLogObject](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` 需要获取通过 PutOpenTelemetryLogs API 摄取的大部分日志事件的内容。 | | [GetQueryResults](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` 检索 L CloudWatch ogs Insights 查询结果所必需的。 | | ListEntitiesForLogGroup (CloudWatch 仅限控制台权限) | `logs:ListEntitiesForLogGroup` 查找与日志组关联的实体所需的权限。需要在 CloudWatch 控制台中浏览相关日志。 | | ListLogGroupsForEntity (CloudWatch 仅限控制台权限) | `logs:ListLogGroupsForEntity` 查找与实体关联的日志组所需的权限。需要在 CloudWatch 控制台中浏览相关日志。 | | [ListTagsLogGroup](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` 需要列出与日志组关联的标签。 | | [ListLogGroups](https://docs.amazonaws.cn/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` 需要查看与账户关联的所有日志组。 | | [PutDestination](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` 创建或更新目标日志流(例如,Kinesis 流)所需。 | | [PutDestinationPolicy](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` 需要创建或更新与现有日志目标关联的访问策略。 | | [PutLogEvents](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` 需要将一批日志事件上传到日志流。 | | [PutMetricFilter](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` 需要创建或更新指标筛选器并将其与日志组关联。 | | [PutQueryDefinition](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` 需要在 L CloudWatch ogs Insights 中保存查询,包括已保存的带参数的查询。 | | [PutResourcePolicy](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` 创建 CloudWatch 日志资源策略所必需的。 | | [PutRetentionPolicy](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` 需要设置日志组中的日志事件的保存(保留)天数。 | | [PutSubscriptionFilter](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` 需要创建或更新订阅筛选器并将其与日志组关联。 | | [StartQuery](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` 启动 CloudWatch 日志见解查询所必需的。要使用参数运行已保存的查询,还需要`logs:DescribeQueryDefinitions`。 | | [StopQuery](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` 需要停止正在进行的 CloudWatch Logs Insights 查询。 | | [TagLogGroup](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` 需要添加或更新日志组标签。 | | [TestMetricFilter](https://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` 需要针对日志事件消息采样测试筛选器模式。 |