管理 CloudWatch Logs 資源存取許可的概觀 - Amazon CloudWatch Logs
資源和操作了解資源所有權管理資源存取指定政策元素:動作、效果和委託人在政策中指定條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 CloudWatch Logs 資源存取許可的概觀

若要提供存取權,請新增權限至您的使用者、群組或角色:

CloudWatch 記錄資源和操作

在 CloudWatch 日誌中,主要資源是日誌群組、日誌串流和目的地。 CloudWatch 日誌不支援子資源 (與主要資源搭配使用的其他資源)。

這些資源和子資源具有與其相關聯的唯一 Amazon Resource Name (ARNs),如下表所示。

資源類型 ARN 格式

日誌群組

以下兩種方式皆可使用。第二個:*結尾為 ,是 describe-log-groupsCLI命令和 DescribeLogGroups 傳回的內容API。

arn:aws:logs:regionaccount-id:log-group:log_group_name

arn:aws:logs:regionaccount-id:log-group:log_group_name:*

在下列情況下:*,使用第一個版本,沒有尾端 :

在政策中指定所有其他API動作IAM的許可ARN時,使用第二個版本搭配結尾 :*參考 。

日誌串流

arn:aws:logs:regionaccount-idlog-group:log_group_name:log-stream:log-stream-name

目的地

arn:aws:logs:regionaccount-id:destination:destination_name

如需 的詳細資訊ARNs,請參閱IAM《 使用者指南ARNs中的 。如需 CloudWatch 日誌 的詳細資訊ARNs,請參閱 中的 Amazon Resource Names (ARNs)Amazon Web Services 一般參考。如需涵蓋 CloudWatch Logs 的政策範例,請參閱 使用 CloudWatch Logs 的身分型政策 (IAM 政策)

CloudWatch Logs 提供一組操作來使用 CloudWatch Logs 資源。如需可用操作的清單,請參閱 CloudWatch 記錄許可參考

了解資源所有權

AWS 帳戶擁有在帳戶中建立的資源,無論誰建立資源。具體而言,資源擁有者是驗證資源建立請求之主體實體 AWS 的帳戶 (即根帳戶、使用者或IAM角色)。下列範例說明其如何運作:

  • 如果您使用 AWS 帳戶的根帳戶登入資料來建立日誌群組, AWS 您的帳戶即為 CloudWatch Logs 資源的擁有者。

  • 如果您在 AWS 帳戶中建立使用者,並將建立 CloudWatch Logs 資源的許可授予該使用者,則使用者可以建立 CloudWatch Logs 資源。不過,使用者所屬 AWS 的帳戶擁有 CloudWatch Logs 資源。

  • 如果您在 AWS 帳戶中建立具有建立 CloudWatch Logs 資源許可IAM的角色,則任何可以擔任該角色的人都可以建立 CloudWatch Logs 資源。您的角色所屬 AWS 帳戶擁有 CloudWatch Logs 資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節討論在 CloudWatch Logs 內容IAM中使用 。其中不提供 IAM 服務的詳細資訊。如需完整IAM文件,請參閱 IAM 使用者指南中的什麼是 IAM?。如需IAM政策語法和描述的相關資訊,請參閱IAM《 使用者指南》中的IAM政策參考

連接到IAM身分的政策稱為以身分為基礎的政策 (IAM 政策),而連接到資源的政策稱為以資源為基礎的政策。 CloudWatch Logs 支援以身分為基礎的政策,以及以資源為基礎的目的地政策,這些政策用於啟用跨帳戶訂閱。如需詳細資訊,請參閱跨帳戶跨區域訂閱

日誌群組許可和 Contributor Insights

Contributor Insights 是 的一項功能 CloudWatch ,可讓您分析來自日誌群組的資料,並建立顯示貢獻者資料的時間序列。您可以查看與前 N 個參與者有關的指標、唯一參與者的總數及其用量。如需詳細資訊,請參閱使用 Contributor Insights 來分析高基數資料

當您授予使用者 cloudwatch:PutInsightRulecloudwatch:GetInsightRuleReport許可時,該使用者可以建立規則來評估 CloudWatch 日誌中的任何日誌群組,然後查看結果。結果可能包含這些日誌群組的參與者資料。請務必將這些許可只授予允許檢視此資料的使用者。

資源型政策

CloudWatch 日誌支援以資源為基礎的目的地政策,您可以使用這些政策來啟用跨帳戶訂閱。如需詳細資訊,請參閱步驟 1:建立目的地。您可以使用 PutDestination 建立目的地API,而且您可以使用 將資源政策新增至目的地PutDestinationPolicyAPI。下列範例允許 AWS 帳戶 ID 為 111122223333 的另一個帳戶將其日誌群組訂閱到目的地 arn:aws:logs:us-east-1:123456789012:destination:testDestination

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}

指定政策元素:動作、效果和委託人

對於每個 CloudWatch Logs 資源,服務會定義一組API操作。若要授予這些API操作的許可, CloudWatch Logs 會定義一組您可以在政策中指定的動作。有些API操作可能需要多個動作的許可,才能執行API操作。如需資源和API操作的詳細資訊,請參閱 CloudWatch 記錄資源和操作CloudWatch 記錄許可參考

以下是基本的政策元素:

  • 資源 – 您可以使用 Amazon Resource Name (ARN) 來識別政策適用的資源。如需詳細資訊,請參閱CloudWatch 記錄資源和操作

  • 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,logs.DescribeLogGroups 許可允許使用者執行 DescribeLogGroups 操作。

  • 效果 – 您可以指定使用者請求特定動作時會有什麼效果 (允許或拒絕)。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。

  • 委託人 – 在以身分為基礎的政策 (IAM 政策),政策連接到的使用者是隱含委託人。對於資源型政策,您可以指定要接收許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。 CloudWatch 日誌支援目的地的資源型政策。

若要進一步了解IAM政策語法和描述,請參閱IAM《 使用者指南》中的AWS IAM政策參考

如需顯示所有 CloudWatch Logs API動作及其適用的資源的資料表,請參閱 CloudWatch 記錄許可參考

在政策中指定條件

當您授予許可時,可以使用存取政策語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱IAM《 使用者指南》中的條件

欲表示條件,您可以使用預先定義的條件金鑰。如需每個 AWS 服務支援的內容金鑰清單,以及 AWS全政策金鑰清單,請參閱AWS 服務和全域條件內容金鑰的動作、資源AWS 和條件金鑰。

注意

您可以使用標籤來控制對 CloudWatch 日誌資源的存取,包括日誌群組和目的地。由於日誌群組與日誌串流之間的階層關係,系統會在日誌群組層級控制對日誌串流的存取。如需有關使用標籤來控制存取的詳細資訊,請參閱使用標籤控制對 Amazon Web Services 資源的存取