发送到 CloudWatch Logs 的日志 - Amazon CloudWatch Logs

发送到 CloudWatch Logs 的日志

重要

当您将以下列表中的日志类型设置为发送到 CloudWatch Logs 时,AWS会创建或更改与接收日志的日志组关联的资源策略(如需要)。继续阅读本节,查看详细信息。

当前一部分的表中列出的日志类型发送到 CloudWatch Logs 时,本部分适用:

用户权限

若要能够设置首次将这些类型日志中的任一种日志发送到 CloudWatch Logs,您必须登录到具有以下权限的账户。

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    注意

    当您指定 logs:DescribeLogGroupslogs:DescribeResourcePolicieslogs:PutResourcePolicy 权限时,请确保将其 Resource 行的 ARN 设置为使用 * 通配符,而不是仅指定单个日志组名称。例如,"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

如果其中任何一种类型的日志已被发送到 CloudWatch Logs 中的日志组,要设置将其中另一种日志也发送到同一日志组,您只需要 logs:CreateLogDelivery 权限。

日志组和资源策略

接收日志的日志组必须具有包含特定权限的资源策略。如果日志组当前没有资源策略,而且设置日志记录的用户对日志组具有 logs:PutResourcePolicylogs:DescribeResourcePolicieslogs:DescribeLogGroups 权限,那么当您开始将日志发送到 CloudWatch Logs 日志时,AWS会自动为其创建以下策略。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

如果日志组具有资源策略,但该策略不包含上一个策略中所示的语句,并且设置日志记录的用户对日志组具有 logs:PutResourcePolicylogs:DescribeResourcePolicieslogs:DescribeLogGroups 权限,则该语句将附加到日志组的资源策略中。