本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
對 CloudWatch Logs 使用以身分為基礎的政策 (IAM 政策)
這個主題提供以身分為基礎的政策範例,在該政策中帳戶管理員可以將許可政策連接至 IAM 身分 (即使用者、群組和角色)。
重要
建議您先檢閱介紹主題,其中說明基本槪念與選項,讓您管理對 CloudWatch Logs 資源的存取。如需詳細資訊,請參閱管理 CloudWatch Logs 資源的存取許可概觀。
本主題涵蓋下列項目:
以下是許可政策的範例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }
此政策有一個陳述式,將授予許可來建立日誌群組和日誌串流,以便將日誌事件上傳至日誌串流,以及列出日誌串流的詳細資訊。
Resource 值結尾的萬用字元 (*) 表示該陳述式允許對任何日誌群組執行 logs:CreateLogGroup、logs:CreateLogStream、logs:PutLogEvents 及 logs:DescribeLogStreams 動作的許可。若要限制此許可只提供給特定日誌群組,請將資源 ARN 中的萬用字元 (*) 更換為特定日誌群組 ARN。如需 IAM 政策陳述式中各區段的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 政策元素參考。如需所有 CloudWatch Logs 動作的清單,請參閱 CloudWatch Logs 許可參考。
使用 CloudWatch 主控台所需的許可
若要讓使用者在 CloudWatch 主控台中使用 CloudWatch Logs,該使用者必須擁有一組最低許可,允許使用者描述其 AWS 帳戶中的其他 AWS 資源。為了在 CloudWatch 主控台使用 CloudWatch Logs,您必須有以下服務的許可:
-
CloudWatch
-
CloudWatch Logs
-
OpenSearch Service
-
IAM
-
Kinesis
-
Lambda
-
Amazon S3
如果您建立比最基本必要許可更嚴格的 IAM 政策,則對於採取該 IAM 政策的使用者而言, 主控台就無法如預期運作。為確保這些使用者仍可使用 CloudWatch 主控台,也請將 CloudWatchReadOnlyAccess 受管政策連接至使用者,如AWS CloudWatch Logs 的受管 (預先定義) 政策所述。
對於僅呼叫 AWS CLI 或 CloudWatch Logs API 的使用者,您不需要允許最低主控台許可。
對於不使用主控台來管理日誌訂閱的使用者,使用 CloudWatch 主控台所需的整套許可如下:
-
cloudwatch:GetMetricData
-
cloudwatch:ListMetrics
-
logs:CancelExportTask
-
logs:CreateExportTask
-
logs:CreateLogGroup
-
logs:CreateLogStream
-
logs:DeleteLogGroup
-
logs:DeleteLogStream
-
logs:DeleteMetricFilter
-
logs:DeleteQueryDefinition
-
logs:DeleteRetentionPolicy
-
logs:DeleteSubscriptionFilter
-
logs:DescribeExportTasks
-
logs:DescribeLogGroups
-
logs:DescribeLogStreams
-
logs:DescribeMetricFilters
-
logs:DescribeQueryDefinitions
-
logs:DescribeQueries
-
logs:DescribeSubscriptionFilters
-
logs:FilterLogEvents
-
logs:GetLogEvents
-
logs:GetLogGroupFields
-
logs:GetLogRecord
-
logs:GetQueryResults
-
logs:PutMetricFilter
-
logs:PutQueryDefinition
-
logs:PutRetentionPolicy
-
logs:StartQuery
-
logs:StopQuery
-
logs:PutSubscriptionFilter
-
logs:TestMetricFilter
對於也將使用主控台來管理日誌訂閱的使用者而言,也需要以下許可:
-
es:DescribeElasticsearchDomain
-
es:ListDomainNames
-
iam:AttachRolePolicy
-
iam:CreateRole
-
iam:GetPolicy
-
iam:GetPolicyVersion
-
iam:GetRole
-
iam:ListAttachedRolePolicies
-
iam:ListRoles
-
kinesis:DescribeStreams
-
kinesis:ListStreams
-
lambda:AddPermission
-
lambda:CreateFunction
-
lambda:GetFunctionConfiguration
-
lambda:ListAliases
-
lambda:ListFunctions
-
lambda:ListVersionsByFunction
-
lambda:RemovePermission
-
s3:ListBuckets
AWS CloudWatch Logs 的受管 (預先定義) 政策
AWS 提供由 建立和管理的獨立 IAM 政策,以解決許多常見的使用案例 AWS。受管政策授與常見使用案例中必要的許可,讓您免於查詢需要哪些許可。如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
下列 AWS 受管政策是 CloudWatch Logs 特有的,您可以連接到帳戶中的使用者和角色:
-
CloudWatchLogsFullAccess – 授予對 CloudWatch Logs 的完整存取。
-
CloudWatchLogsReadOnlyAccess – 授予對 CloudWatch Logs 的唯讀存取。
CloudWatchLogsFullAccess
CloudWatchLogsFullAccess 政策會授予對 CloudWatch Logs 的完整存取權。此政策包含 cloudwatch:GenerateQuery和 cloudwatch:GenerateQueryResultsSummary許可,因此使用此政策的使用者可以從自然語言提示產生 CloudWatch Logs Insights 查詢字串。若要查看政策的完整內容,請參閱《 AWS 受管政策參考指南》中的 CloudWatchLogsFullAccess。
CloudWatchLogsReadOnlyAccess
CloudWatchLogsReadOnlyAccess 政策會授予對 CloudWatch Logs 的唯讀存取權。它包含 cloudwatch:GenerateQuery和 cloudwatch:GenerateQueryResultsSummary許可,因此使用此政策的使用者可以從自然語言提示產生 CloudWatch Logs Insights 查詢字串。若要查看政策的完整內容,請參閱《 AWS 受管政策參考指南》中的 CloudWatchLogsReadOnlyAccess。
CloudWatchOpenSearchDashboardsFullAccess
CloudWatchOpenSearchDashboardsFullAccess 政策授予許可,以建立、管理和刪除與 OpenSearch Service 的整合,以及在這些整合中建立刪除和管理自動產生的日誌儀表板。如需詳細資訊,請參閱使用 Amazon OpenSearch Service 進行分析。
若要查看政策的完整內容,請參閱《 AWS 受管政策參考指南》中的 CloudWatchOpenSearchDashboardsFullAccess。
CloudWatchOpenSearchDashboardAccess
CloudWatchOpenSearchDashboardAccess 政策授予檢視使用 Amazon OpenSearch Service 分析建立之已結束日誌儀表板的存取權。如需詳細資訊,請參閱使用 Amazon OpenSearch Service 進行分析。
重要
除了授予此政策之外,若要讓角色或使用者能夠檢視付費日誌儀表板,您還必須在建立與 OpenSearch Service 的整合時指定它們。如需詳細資訊,請參閱步驟 1:建立與 OpenSearch Service 的整合。
若要查看政策的完整內容,請參閱《 AWS 受管政策參考指南》中的 CloudWatchOpenSearchDashboardAccess。
CloudWatchLogsCrossAccountSharingConfiguration
CloudWatchLogsCrossAccountSharingConfiguration 政策授予可建立、管理和檢視 Observability Access Manager 連結的存取權,以便在帳戶之間共用 CloudWatch Logs 資源。如需詳細資訊,請參閱 CloudWatch 跨帳戶觀察功能。
若要查看政策的完整內容,請參閱《 AWS 受管政策參考指南》中的 CloudWatchLogsCrossAccountSharingConfiguration。
AWS 受管政策的 CloudWatch Logs 更新
檢視自此服務開始追蹤這些變更以來CloudWatch Logs AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch Logs 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
CloudWatchLogsFullAccess – 更新至現有政策。 |
CloudWatch Logs 已將許可新增至 CloudWatchLogsFullAccess。
|
2025 年 5 月 20 日 |
|
CloudWatchLogsReadOnlyAccess – 更新至現有政策。 |
CloudWatch Logs 已將許可新增至 CloudWatchLogsReadOnlyAccess。
|
2025 年 5 月 20 日 |
|
CloudWatchLogsFullAccess – 更新至現有政策。 |
CloudWatch Logs 已將許可新增至 CloudWatchLogsFullAccess。 已新增 Amazon OpenSearch Service 和 IAM 的許可,以針對某些功能啟用 CloudWatch Logs 與 OpenSearch Service 的整合。 |
2024 年 12 月 1 日 |
|
CloudWatchOpenSearchDashboardsFullAccess – 新的 IAM 政策。 |
CloudWatch Logs 新增了新的 IAM 政策 CloudWatchOpenSearchDashboardsFullAccess。- 此政策授予建立、管理和刪除與 OpenSearch Service 整合的存取權,以及建立、管理和刪除這些整合中已結束的日誌儀表板。如需詳細資訊,請參閱使用 Amazon OpenSearch Service 進行分析。 |
2024 年 12 月 1 日 |
|
CloudWatchOpenSearchDashboardAccess – 新的 IAM 政策。 |
CloudWatch Logs 新增了新的 IAM 政策 CloudWatchOpenSearchDashboardAccess。- 此政策會授予檢視由 提供之付費日誌儀表板的存取權 Amazon OpenSearch Service。如需詳細資訊,請參閱使用 Amazon OpenSearch Service 進行分析。 |
2024 年 12 月 1 日 |
|
CloudWatchLogsFullAccess – 更新至現有政策。 |
CloudWatch Logs 已將許可新增至 CloudWatchLogsFullAccess。 已新增 |
2023 年 11 月 27 日 |
|
CloudWatchLogsReadOnlyAccess – 更新至現有政策。 |
CloudWatch 已將許可新增至 CloudWatchLogsReadOnlyAccess。 已新增 |
2023 年 11 月 27 日 |
|
CloudWatchLogsReadOnlyAccess – 更新為現有政策 |
CloudWatch Logs 已將許可新增至 CloudWatchLogsReadOnlyAccess。 已新增 |
2023 年 6 月 6 日 |
|
CloudWatch Logs 新增了一項新政策,讓您能管理共用 CloudWatch Logs 日誌群組的 CloudWatch 跨帳戶觀察功能連結。 如需詳細資訊,請參閱 CloudWatch 跨帳戶觀察功能。 |
2022 年 11 月 27 日 | |
|
CloudWatchLogsReadOnlyAccess – 更新為現有政策 |
CloudWatch Logs 已將許可新增至 CloudWatchLogsReadOnlyAccess。 新增 |
2022 年 11 月 27 日 |
客戶受管政策範例
您可以建立自己的自訂 IAM 政策,以允許 CloudWatch Logs 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的使用者或群組。
在本節中,您可以找到使用者政策範例,以了解授予各種 CloudWatch Logs 動作的許可。當您使用 CloudWatch Logs API、 AWS 開發套件或 AWS CLI時,這些政策會起作用。
範例 1:允許完整存取 CloudWatch Logs
以下政策允許使用者存取所有 CloudWatch Logs 動作。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*" } ] }
範例 2:允許唯讀存取 CloudWatch Logs
AWS 提供 CloudWatchLogsReadOnlyAccess 政策,可啟用 CloudWatch Logs 資料的唯讀存取。此政策包含以下許可。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "cloudwatch:GenerateQuery" ], "Effect": "Allow", "Resource": "*" } ] }
範例 3:允許存取一個日誌群組
以下政策允許使用者在一個指定的日誌群組中讀取和寫入日誌事件。
重要
在 Resource 行中,需要日誌群組名稱末尾的 :* 來表示該政策適用於此日誌群組中的所有日誌串流。如果省略 :*,將不會強制執行此政策。
{ "Version":"2012-10-17", "Statement":[ { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*" } ] }
使用標記和 IAM 政策在日誌群組層級進行控制
您可以授與使用者存取特定日誌群組,同時防止他們存取其他日誌群組。若要這樣做,請標記日誌群組,並使用 IAM 政策來參考這些標籤。若要將標籤套用至日誌群組,您必須擁有 logs:TagResource 或 logs:TagLogGroup 許可。無論您是在建立日誌群組時將標籤指派給日誌群組,或稍後將標籤指派給日誌群組,此許可要求均適用。
如需有關標籤日誌群組的詳細資訊,請參閱 在 Amazon CloudWatch Logs 中標記日誌群組。
當您標記日誌群組時,您就可以授予 IAM 政策給使用者,以只允許存取包含特定標籤的日誌群組。例如,以下政策陳述式只會授予標籤鍵 Team 值為 Green 日誌群組的存取。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:*" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/Team": "Green" } } } ] }
StopQuery 和 StopLiveTail API 操作在傳統意義上不會與 AWS 資源互動。其不會傳回任何資料,放置任何資料,或以任何方式修改資源。而只是針對指定的 Live Tail 工作階段或指定的 CloudWatch Logs Insights 查詢進行操作,這些並未歸類為資源。因此,當您在 IAM 政策中針對這些操作指定 Resource 欄位時,必須將 Resource 欄位的值設定為 *,如下列範例所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:StopLiveTail" ], "Resource": "*" } ] }
如需有關使用 IAM 政策陳述式的詳細資訊,請參閱《IAM 使用者指南》中的使用政策控制存取。
