本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 適用於 Amazon CloudWatch Logs 的 Identity and Access Management
<a name="auth-and-access-control-cwl"></a>

存取 Amazon CloudWatch Logs 需要使用 AWS 登入資料來驗證您的請求。這些登入資料必須具有存取 AWS 資源的許可，例如擷取您雲端資源的 CloudWatch Logs 資料。以下章節提供詳細資訊，詳述如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 與 CloudWatch Logs 來控制誰可存取，以協助保護資源的安全：
+ [身分驗證](#authentication-cwl)
+ [存取控制](#access-control-cwl)

## 身分驗證
<a name="authentication-cwl"></a>

若要提供存取權，請新增權限至您的使用者、群組或角色：
+ 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者：
  + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
  + (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。

## 存取控制
<a name="access-control-cwl"></a>

您可以持有效憑證來驗證請求，但還須具備許可，才能建立或存取 CloudWatch Logs 資源。例如，您必須有建立日誌串流、建立日誌群組等的許可。

以下章節說明如何管理 CloudWatch Logs 的許可。我們建議您先閱讀概觀。
+ [管理 CloudWatch Logs 資源的存取許可概觀](iam-access-control-overview-cwl.md)
+ [對 CloudWatch Logs 使用以身分為基礎的政策 (IAM 政策)](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Logs 許可參考](permissions-reference-cwl.md)