本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudWatch Logs 許可參考
當您在設定 存取控制 並撰寫可連接到 IAM 身分 (以身分為基礎的政策) 的許可政策時,可以使用下列資料表作為參考。下表列出每個 CloudWatch Logs API 操作和您可以授予許可執行的相對應動作。您可以在政策的 Action 欄位中指定動作。針對 Resource 欄位,您可以指定日誌群組或日誌串流的 ARN,或是指定 * 來代表所有 CloudWatch Logs 資源。
您可以在 CloudWatch Logs 政策中使用 AWS全局條件索引鍵來表達條件。如需 AWS全局金鑰的完整清單,請參閱《AWS IAM 使用者指南》中的全域和 IAM 條件內容金鑰。
注意
若要指定動作,請使用 logs: 前綴,後面接著 API 操作名稱。例如:。logs:CreateLogGroup、logs:CreateLogStream 或 logs:* (適用於所有 CloudWatch Logs 動作)。
| CloudWatch Logs API 操作 | 所需許可 (API 動作) |
|---|---|
|
取消待處理或執行匯出任務時為必要。 |
|
|
從日誌群組將資料匯出至 Simple Storage Service (Amazon S3) 儲存貯體時為必要。 |
|
|
建立新日誌群組時為必要。 |
|
|
在日誌群組中建立新日誌串流時為必要。 |
|
|
刪除日誌目的地及停用其任何訂閱篩選條件時為必要。 |
|
|
刪除日誌群組及任何相關的存檔日誌事件時為必要。 |
|
|
刪除日誌串流及任何相關的存檔日誌事件時為必要。 |
|
|
刪除與日誌群組相關聯的指標篩選條件時為必要。 |
|
|
刪除 CloudWatch Logs Insights 中儲存的查詢定義時為必要。 |
|
|
刪除 CloudWatch Logs 資源政策時為必要。 |
|
|
刪除日誌群組的保留政策時為必要。 |
|
|
刪除與日誌群組相關聯的訂閱篩選條件時為必要。 |
|
|
檢視與帳戶相關的所有目的地時為必要。 |
|
|
檢視與帳戶相關的所有匯出任務時為必要。 |
|
|
檢視與帳戶相關的所有日誌群組時為必要。 |
|
|
檢視與日誌群組相關的所有日誌串流時為必要。 |
|
|
檢視與日誌群組相關的所有指標時為必要。 |
|
|
查看 CloudWatch Logs Insights 中儲存的查詢定義清單時為必要。 |
|
|
查看已排程、正在執行或最近已執行的 CloudWatch Logs Insights 查詢清單時為必要。 |
|
|
檢視 CloudWatch Logs 資源政策清單時為必要。 |
|
|
檢視與日誌群組相關聯的所有訂閱篩選條件時為必要。 |
|
|
依據日誌群組篩選條件模式排序日誌事件時為必要。 |
|
|
從日誌串流擷取日誌事件時為必要。 |
|
|
擷取日誌群組內日誌事件中包含的欄位清單時為必要。 |
|
|
從單一日誌事件擷取詳細資訊時為必要。 |
|
|
擷取 CloudWatch Logs Insights 查詢的結果時為必要。 |
|
|
ListEntitiesForLogGroup (僅限 CloudWatch 主控台的許可) |
尋找與日誌群組相關聯的實體時需要。在 CloudWatch 主控台中探索相關日誌時需要。 |
|
ListLogGroupsForEntity (僅限 CloudWatch 主控台的許可) |
尋找與實體相關聯的日誌群組時需要。在 CloudWatch 主控台中探索相關日誌時需要。 |
|
列出與日誌群組相關的標籤時為必要。 |
|
|
需要建立或更新目的地日誌串流 (例如 Kinesis 串流) 時為必要。 |
|
|
建立或更新與現有日誌目的地相關的存取政策時為必要。 |
|
|
將日誌事件批次上傳至日誌串流時為必要。 |
|
|
建立或更新指標篩選條件並將其與日誌群組建立關聯時為必要。 |
|
|
在 CloudWatch Logs Insights 中儲存查詢時為必要。 |
|
|
建立 CloudWatch Logs 資源政策時為必要。 |
|
|
設定將日誌事件保持 (保留) 在日誌群組中的天數時為必要。 |
|
|
建立或更新訂閱篩選條件並將其與日誌群組建立關聯時為必要。 |
|
|
開始 CloudWatch Logs Insights 查詢時為必要。 |
|
|
停止進行中的 CloudWatch Logs Insights 查詢時為必要。 |
|
|
新增或更新日誌群組標籤時為必要。 |
|
|
針對日誌事件訊息的取樣來測試篩選條件模式時為必要。 |
