AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon CloudWatch Logs 的操作、资源和条件键

Amazon CloudWatch Logs(服务前缀:logs)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon CloudWatch Logs 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssociateKmsKey 将指定的 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK) 与指定的日志组关联。 写入

log-group*

CancelExportTask 如果导出任务处于 PENDING(待处理)或 RUNNING(正在运行)状态,则取消该任务 写入
CreateExportTask 创建 ExportTask,以便将数据从日志组高效导出到 Amazon S3 存储桶 写入

log-group*

CreateLogDelivery [仅权限] 创建日志传送 写入
CreateLogGroup 用指定的名称创建新日志组 写入
CreateLogStream 用指定的名称创建新日志流 写入

log-group*

DeleteDestination 删除具有指定名称的目标并最终禁用发布到该目标的所有订阅筛选条件 写入
DeleteLogDelivery [仅权限] 删除指定日志传送的日志传送信息 写入
DeleteLogGroup 删除具有指定名称的日志组并永久删除与其关联的所有已存档日志事件 写入

log-group*

DeleteLogStream 删除日志流并永久删除与之关联的所有已存档日志事件 写入

log-group*

log-stream*

DeleteMetricFilter 删除与指定日志组关联的指标筛选条件 写入

log-group*

DeleteResourcePolicy 从该账户中删除资源策略 写入
DeleteRetentionPolicy 删除指定日志组的保留策略 写入

log-group*

DeleteSubscriptionFilter 删除与指定日志组关联的订阅筛选条件 写入

log-group*

DescribeDestinations 返回与发出请求的 AWS 账户关联的所有目标 List
DescribeExportTasks 返回与发出请求的 AWS 账户关联的所有导出任务 List
DescribeLogGroups 返回与发出请求的 AWS 账户关联的所有日志组 List

log-group*

DescribeLogStreams 返回与指定日志组关联的所有日志流 List

log-group*

DescribeMetricFilters 返回与指定日志组关联的所有指标筛选条件 List

log-group*

DescribeQueries 返回最近在该账户中计划、正在执行或已执行的 CloudWatch Logs Insights 查询列表。您可以请求所有查询,或将其限制为特定日志组的查询或具有特定状态的查询。 List
DescribeResourcePolicies 返回此账户中的所有资源策略。 List
DescribeSubscriptionFilters 返回与指定日志组关联的所有订阅筛选条件 List

log-group*

DisassociateKmsKey 取消关联的 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK) 与指定日志组的关联。 写入

log-group*

FilterLogEvents 从指定日志组中检索日志事件,可以选择通过筛选条件模式进行筛选 Read

log-group*

GetLogDelivery [仅权限] 获取指定日志传送的日志传送信息 Read
GetLogEvents 从指定日志流中检索日志事件 Read

log-group*

log-stream*

GetLogGroupFields 返回指定日志组中的日志事件包含的字段列表,以及包含每个字段的日志事件的百分比。搜索限制为您指定的时间段。 Read

log-group*

GetLogRecord 检索单个日志事件的所有字段和值。即使生成 logRecordPointer 的原始查询仅检索一部分字段,也会检索所有字段。将以字段名称/字段值对形式返回这些字段。 Read
GetQueryResults 返回指定查询的结果。如果正在执行查询,则返回该当前执行的部分结果。仅返回在查询中请求的字段。 Read
ListLogDeliveries [仅权限] 列出指定账户和/或日志源的所有日志传送 List
ListTagsLogGroup 列出指定日志组的标签 List

log-group*

PutDestination 创建或更新目标 写入
PutDestinationPolicy 创建或更新与现有目标关联的访问策略 写入
PutLogEvents 将一批日志事件上传到指定的日志流 写入

log-group*

log-stream*

PutMetricFilter 创建或更新指标筛选条件并将其与指定日志组关联 写入

log-group*

PutResourcePolicy 创建或更新资源策略,允许其他 AWS 服务将日志事件放入此账户 写入
PutRetentionPolicy 设置指定日志组的保留 写入

log-group*

PutSubscriptionFilter 创建或更新订阅筛选条件并将其与指定日志组关联 写入

log-group*

StartQuery 使用 CloudWatch Logs Insights 计划日志组的查询。您可以指定要查询的日志组和时间范围,以及要使用的查询字符串。 Read

log-group*

StopQuery 停止正在执行的 CloudWatch Logs Insights 查询。如果查询已结束,该操作将返回错误以指示未运行指定的查询。 Read
TagLogGroup 为指定的日志组添加或更新指定的标签 写入

log-group*

TestMetricFilter 针对日志事件消息示例测试指标筛选条件的筛选条件模式 Read
UntagLogGroup 从指定日志组中删除指定标签 写入

log-group*

UpdateLogDelivery [仅权限] 更新指定日志传送的日志传送信息 写入

Amazon CloudWatch Logs 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
log-group arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
log-stream arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:${LogStream}:${LogStreamName}

用于 Amazon CloudWatch Logs 的条件键

CloudWatch Logs 没有可以在策略语句的 Condition 元素中使用的服务特定上下文键。有关适用于所有服务的全局上下文键列表,请参阅 IAM 策略参考 中的可用的条件键