# 创建 IAM 策略以访问 CloudWatch Logs 资源
<a name="AuroraMySQL.Integrating.Authorizing.IAM.CWCreatePolicy"></a>

Aurora 可以访问 CloudWatch Logs 以从 Aurora 数据库集群中导出审核日志数据。不过，您必须先创建一个 IAM 策略，以提供允许 Aurora 访问 CloudWatch Logs 的日志组和日志流权限。

以下策略添加 Aurora 代表您访问 Amazon CloudWatch Logs 所需的权限以及创建日志组和导出数据所需的最小权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}
```

------

您可以修改策略中的 ARN 以限制对特定 AWS 区域和账户的访问。

您可以执行以下步骤以创建一个 IAM 策略，以便提供 Aurora 代表您访问 CloudWatch Logs 所需的最小权限。要允许 Aurora 对 CloudWatch Logs 进行完全访问，您可以跳过这些步骤并使用 `CloudWatchLogsFullAccess` 预定义 IAM 策略，而不是创建自己的策略。有关更多信息，请参阅 *Amazon CloudWatch 用户指南* 中的[为 CloudWatch Logs 使用基于身份的策略（IAM 策略）](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl)。

**创建 IAM 策略来授予对您的 CloudWatch Logs 资源的访问权限**

1. 打开 [IAM 控制台](https://console.aws.amazon.com/iam/home?#home)。

1. 在导航窗格中，选择**策略**。

1. 选择 **Create policy (创建策略)**。

1. 在**可视化编辑器**选项卡上，选择**选择服务**，然后选择 **CloudWatch Logs**。

1. 在 **Actions (操作)** 下面选择 **Expand all (全部展开)**（位于右侧），然后选择 IAM 策略所需的 Amazon CloudWatch Logs 权限。

   确保选择了以下权限：
   + `CreateLogGroup`
   + `CreateLogStream`
   + `DescribeLogStreams`
   + `GetLogEvents`
   + `PutLogEvents`
   + `PutRetentionPolicy`

1. 选择**资源**，然后为 **log-group** 选择**添加 ARN**。

1. 在 **Add ARN(s) (添加 ARN)** 对话框中，输入以下值：
   + **区域** – 一个 AWS 区域或 `*`
   + **账户** – 账号或 `*`
   + **日志组名称** – `/aws/rds/*`

1. 在 **Add ARN(s) (添加 ARN)** 对话框中，选择 **Add (添加)**。

1. 为 **log-stream** 选择**添加 ARN**。

1. 在 **Add ARN(s) (添加 ARN)** 对话框中，输入以下值：
   + **区域** – 一个 AWS 区域或 `*`
   + **账户** – 账号或 `*`
   + **日志组名称** – `/aws/rds/*`
   + **日志流名称** – `*`

1. 在 **Add ARN(s) (添加 ARN)** 对话框中，选择 **Add (添加)**。

1. 选择 **Review policy (查看策略)**。

1. 将**名称**设置为适合您的 IAM 策略的名称，例如 `AmazonRDSCloudWatchLogs`。在创建 IAM 角色与 Aurora 数据库集群关联时，需要使用此名称。您也可以添加可选的**描述**值。

1. 选择**创建策略**。

1. 完成 [创建 IAM 角色以允许 Amazon Aurora 访问AWS服务](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md) 中的步骤。