Amazon CloudWatch 日志的操作、资源和条件密钥 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon CloudWatch 日志的操作、资源和条件密钥

Ama CloudWatch zon Logs(服务前缀:logs)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。

参考:

由 Amazon CloudWatch 日志定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssociateKmsKey 授予权限以将指定的 Amazon Key Management Service (Amazon KMS) 客户主密钥 (CMK) 与指定的日志组关联 写入

log-group*

CancelExportTask 授予权限,如果导出任务处于 PENDING(待处理)或 RUNNING(正在运行)状态,则取消该任务 写入
CreateDelivery 授予创建将传输源连接到传输目标的传输的权限 写入

delivery*

delivery-destination*

delivery-source*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateExportTask 授予创建权限 ExportTask ,允许您高效地将数据从日志组导出到 Amazon S3 存储桶 写入

log-group*

CreateLogAnomalyDetector 授予创建日志异常检测器的权限 写入

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLogDelivery [仅权限] 授予权限以创建日志传送 写入
CreateLogGroup 授予权限以创建具有指定名称的新日志组 写入

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLogStream 授予权限以创建具有指定名称的新日志流 写入

log-stream*

DeleteAccountPolicy 授予删除附加到账户的数据保护策略的权限 写入
DeleteDataProtectionPolicy 授予权限以删除附加到日志组的数据保护策略 写入

log-group*

DeleteDelivery 授予删除传输的权限 写入

delivery*

DeleteDeliveryDestination 授予删除所有关联的传输后删除传输目标的权限 写入

delivery-destination*

DeleteDeliveryDestinationPolicy 授予删除与传输目标关联的传输目标策略的权限 写入

delivery-destination*

DeleteDeliverySource 授予删除所有关联的传输后删除传输源的权限 写入

delivery-destination*

DeleteDestination 授予权限以删除具有指定名称的目标 写入

destination*

DeleteLogAnomalyDetector 授予删除日志异常探测器的权限 写入

anomaly-detector*

DeleteLogDelivery [仅权限] 授予权限以删除指定日志传送的日志传送信息 写入
DeleteLogGroup 授予权限以删除具有指定名称的日志组 写入

log-group*

DeleteLogStream 授予权限以删除日志流 写入

log-stream*

DeleteMetricFilter 授予权限以删除与指定日志组关联的指标筛选条件 写入

log-group*

DeleteQueryDefinition 授予删除已保存的 L CloudWatch ogs Insights 查询定义的权限 写入
DeleteResourcePolicy 授予权限以从此账户删除资源策略 权限管理
DeleteRetentionPolicy 授予权限以删除指定日志组的保留策略 写入

log-group*

DeleteSubscriptionFilter 授予权限以删除与指定日志组关联的订阅筛选条件 写入

log-group*

DescribeAccountPolicies 授予检索附加到账户的数据保护策略的权限 列出
DescribeDeliveries 授予检索账户中的传输列表的权限 列出
DescribeDeliveryDestinations 授予检索账户中的传输目标列表的权限 列出
DescribeDeliverySources 授予检索账户中的传输源列表的权限 列出
DescribeDestinations 授予权限以返回与发出请求的 Amazon Web Services 账户 关联的所有目标 列出
DescribeExportTasks 授予权限以返回与发出请求的 Amazon Web Services 账户 关联的所有导出任务 列出
DescribeLogGroups 授予权限以返回与发出请求的 Amazon Web Services 账户 关联的所有日志组 列出
DescribeLogStreams 授予权限以返回与指定日志组关联的所有日志流 列出

log-group*

DescribeMetricFilters 授予权限以返回与指定日志组关联的所有指标筛选条件 列出

log-group*

DescribeQueries 授予返回此账户中已计划、正在执行或最近执行的 L CloudWatch ogs Insights 查询列表的权限 列出
DescribeQueryDefinitions 授予返回已保存的 Lo CloudWatch gs Insights 查询定义的分页列表的权限 列出
DescribeResourcePolicies 授予权限以返回此账户中的所有资源策略 列出
DescribeSubscriptionFilters 授予权限以返回与指定日志组关联的所有订阅筛选条件 列出

log-group*

DisassociateKmsKey 授予权限以取消关联的 Amazon Key Management Service (Amazon KMS) 客户主密钥 (CMK) 与指定日志组的关联。 写入

log-group*

FilterLogEvents 授予权限以从指定日志组中检索日志事件,可以选择通过筛选条件模式进行筛选 读取

log-group*

GetDataProtectionPolicy 授予权限以检索附加到日志组的数据保护策略 读取

log-group*

GetDelivery 授予检索单个传输的权限 读取

delivery*

GetDeliveryDestination 授予检索单个传输目标的权限 读取

delivery-destination*

GetDeliveryDestinationPolicy 授予检索附加到传输目标的传输目标策略的权限 读取

delivery-destination*

GetDeliverySource 授予检索单个传输源的权限 读取

delivery-source*

GetLogAnomalyDetector 授予获取日志异常检测器的权限 读取

anomaly-detector*

GetLogDelivery [仅权限] 授予权限以获取指定日志传送的日志传送信息 读取
GetLogEvents 授予权限以从指定日志流中检索日志事件 读取

log-stream*

GetLogGroupFields 授予权限以返回指定日志组中的日志事件包含的字段列表,以及包含每个字段的日志事件的百分比 读取

log-group*

GetLogRecord 授予权限以检索单个日志事件的所有字段和值 读取

log-group*

GetQueryResults 授予权限以返回指定查询的结果 读取

log-group*

授予与监控账户共享 CloudWatch 资源的权限 写入
ListAnomalies 授予列出在发出请求的 Amazon Web Services 账户中检测到的所有异常的权限 列出

anomaly-detector

ListLogAnomalyDetectors 授予返回与发出请求的 Amazon Web Services 账户关联的所有异常检测器的权限 列出

log-group

ListLogDeliveries [仅权限] 授予权限以列出指定账户和/或日志源的所有日志传送 列出
ListTagsForResource 授予权限以列出指定资源的标签 列出

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

ListTagsLogGroup 授予权限以列出指定日志组的标签 列出

log-group*

PutAccountPolicy 授予在账户级别附加数据保护策略的权限,以检测和编校日志事件中的敏感信息 写入
PutDataProtectionPolicy 授予权限以附加数据保护策略,以检测和编辑日志事件中的敏感信息 写入

log-group*

PutDeliveryDestination 授予创建/更新传输目标的权限 写入

delivery-destination*

aws:TagKeys

aws:RequestTag/${TagKey}

logs:DeliveryDestinationResourceArn

PutDeliveryDestinationPolicy 授予将传输目标策略附加到传输目标的权限 写入

delivery-destination*

PutDeliverySource 授予创建/更新传输源的权限 写入

delivery-source*

aws:TagKeys

aws:RequestTag/${TagKey}

logs:LogGeneratingResourceArns

PutDestination 授予权限以创建或更新目标 写入

destination*

iam:PassRole

aws:TagKeys

aws:RequestTag/${TagKey}

PutDestinationPolicy 授予权限以创建或更新与现有目标关联的访问策略 写入

destination*

PutLogEvents 授予权限以将一批日志事件上传到指定的日志流 写入

log-stream*

PutMetricFilter 授予权限以创建或更新指标筛选条件并将其与指定日志组关联 写入

log-group*

PutQueryDefinition 授予权限以创建或更新查询定义 写入
PutResourcePolicy 授予权限以创建或更新资源策略,允许其他 Amazon 服务将日志事件放入此账户 权限管理
PutRetentionPolicy 授予权限以设置指定日志组的保留 写入

log-group*

PutSubscriptionFilter 授予权限以创建或更新订阅筛选器并将其与指定日志组关联 写入

log-group*

iam:PassRole

destination

StartLiveTail 授予在 CloudWatch 日志中启动 Live Tail 会话的权限 读取

log-group*

StartQuery 授予使用 Logs Insights 计划对日志组进行 CloudWatch 查询的权限 读取

log-group*

StopLiveTail [仅权限] 授予停止正在执行的 Live Tail 会话的权限 读取
StopQuery 授予停止正在进行的 CloudWatch Logs Insights 查询的权限 读取
TagLogGroup 授予权限以为指定日志组添加或更新指定的标签 标记

log-group*

aws:TagKeys

aws:RequestTag/${TagKey}

TagResource 授予权限以将指定标签添加到指定资源或进行更新 标记

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

aws:TagKeys

aws:RequestTag/${TagKey}

TestMetricFilter 授予权限以针对日志事件消息示例测试指标筛选条件的筛选条件模式 读取
Unmask [仅权限] 授予权限以获取已通过数据保护策略编辑的未屏蔽日志事件 读取

log-group*

UntagLogGroup 授予权限以删除指定日志组的指定标签 标记

log-group*

aws:TagKeys

UntagResource 授予权限以从指定资源中删除指定标签 标记

anomaly-detector

delivery

delivery-destination

delivery-source

destination

log-group

aws:TagKeys

UpdateAnomaly 授予更新日志异常检测器所报告异常的权限 写入

anomaly-detector*

UpdateLogAnomalyDetector 授予更新日志异常检测器的权限 写入

anomaly-detector*

UpdateLogDelivery [仅权限] 授予权限以更新指定日志传送的日志传送信息 写入

由 Amazon CloudWatch 日志定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
log-group arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}

aws:ResourceTag/${TagKey}

log-stream arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}

aws:ResourceTag/${TagKey}

destination arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}

aws:ResourceTag/${TagKey}

delivery-source arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}

aws:ResourceTag/${TagKey}

delivery arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}

aws:ResourceTag/${TagKey}

delivery-destination arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}

aws:ResourceTag/${TagKey}

anomaly-detector arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}

aws:ResourceTag/${TagKey}

Amazon CloudWatch 日志的条件密钥

A CloudWatch mazon Logs 定义了以下可在 IAM 策略Condition元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中传递的标签筛选访问权限 字符串
aws:ResourceTag/${TagKey} 按与资源关联的标签筛选访问权限 字符串
aws:TagKeys 按请求中传递的标签键筛选访问权限 ArrayOfString
logs:DeliveryDestinationResourceArn 按请求中传递的日志目标 ARN 筛选访问权限 ARN
logs:LogGeneratingResourceArns 按请求中传递的日志生成资源 ARN 筛选访问权限 ArrayOfARN