本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # CloudWatch Logs 許可參考 當您在設定 [存取控制](auth-and-access-control-cwl.md#access-control-cwl) 並撰寫可連接到 IAM 身分 (以身分為基礎的政策) 的許可政策時,可以使用下列資料表作為參考。下表列出每個 CloudWatch Logs API 操作和您可以授予許可執行的相對應動作。您可以在政策的 `Action` 欄位中指定動作。針對 `Resource` 欄位,您可以指定日誌群組或日誌串流的 ARN,或是指定 `*` 來代表所有 CloudWatch Logs 資源。 您可以在 CloudWatch Logs 政策中使用 AWS整體條件金鑰來表達條件。如需 AWS全系列金鑰的完整清單,請參閱《[AWS IAM 使用者指南》中的全域和 IAM 條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 ** **注意** 若要指定動作,請使用 `logs:` 前綴,後面接著 API 操作名稱。例如:。`logs:CreateLogGroup`、`logs:CreateLogStream` 或 `logs:*` (適用於所有 CloudWatch Logs 動作)。 **CloudWatch Logs API 操作及動作所需的許可** | CloudWatch Logs API 操作 | 所需許可 (API 動作) | | --- | --- | | [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` 取消待處理或執行匯出任務時為必要。 | | [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` 從日誌群組將資料匯出至 Simple Storage Service (Amazon S3) 儲存貯體時為必要。 | | [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` 建立新日誌群組時為必要。 | | [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` 在日誌群組中建立新日誌串流時為必要。 | | [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` 刪除日誌目的地及停用其任何訂閱篩選條件時為必要。 | | [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` 刪除日誌群組及任何相關的存檔日誌事件時為必要。 | | [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` 刪除日誌串流及任何相關的存檔日誌事件時為必要。 | | [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` 刪除與日誌群組相關聯的指標篩選條件時為必要。 | | [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` 刪除 CloudWatch Logs Insights 中儲存的查詢定義時為必要。 | | [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` 刪除 CloudWatch Logs 資源政策時為必要。 | | [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` 刪除日誌群組的保留政策時為必要。 | | [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` 刪除與日誌群組相關聯的訂閱篩選條件時為必要。 | | [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` 檢視與帳戶相關的所有目的地時為必要。 | | [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` 檢視與帳戶相關的所有匯出任務時為必要。 | | [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` 檢視與帳戶相關的所有日誌群組時為必要。 | | [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` 檢視與日誌群組相關的所有日誌串流時為必要。 | | [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` 檢視與日誌群組相關的所有指標時為必要。 | | [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` 查看 CloudWatch Logs Insights 中儲存的查詢定義清單時為必要。 | | [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` 查看已排程、正在執行或最近已執行的 CloudWatch Logs Insights 查詢清單時為必要。 | | [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` 檢視 CloudWatch Logs 資源政策清單時為必要。 | | [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` 檢視與日誌群組相關聯的所有訂閱篩選條件時為必要。 | | [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` 依據日誌群組篩選條件模式排序日誌事件時為必要。 | | [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` 從日誌串流擷取日誌事件時為必要。 | | [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` 擷取日誌群組內日誌事件中包含的欄位清單時為必要。 | | [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` 從單一日誌事件擷取詳細資訊時為必要。 | | [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` 擷取透過 PutOpenTelemetryLogs API 擷取的大量日誌事件內容時需要。 | | [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` 擷取 CloudWatch Logs Insights 查詢的結果時為必要。 | | ListEntitiesForLogGroup (僅限 CloudWatch 主控台的許可) | `logs:ListEntitiesForLogGroup` 尋找與日誌群組相關聯的實體時需要。在 CloudWatch 主控台中探索相關日誌時需要。 | | ListLogGroupsForEntity (僅限 CloudWatch 主控台的許可) | `logs:ListLogGroupsForEntity` 尋找與實體相關聯的日誌群組時需要。在 CloudWatch 主控台中探索相關日誌時需要。 | | [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` 列出與日誌群組相關的標籤時為必要。 | | [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` 檢視與帳戶相關的所有日誌群組時為必要。 | | [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` 需要建立或更新目的地日誌串流 (例如 Kinesis 串流) 時為必要。 | | [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` 建立或更新與現有日誌目的地相關的存取政策時為必要。 | | [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` 將日誌事件批次上傳至日誌串流時為必要。 | | [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` 建立或更新指標篩選條件並將其與日誌群組建立關聯時為必要。 | | [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` 在 CloudWatch Logs Insights 中儲存查詢時需要,包括具有參數的已儲存查詢。 | | [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` 建立 CloudWatch Logs 資源政策時為必要。 | | [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` 設定將日誌事件保持 (保留) 在日誌群組中的天數時為必要。 | | [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` 建立或更新訂閱篩選條件並將其與日誌群組建立關聯時為必要。 | | [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` 開始 CloudWatch Logs Insights 查詢時為必要。若要使用參數執行已儲存的查詢,您也需要 `logs:DescribeQueryDefinitions`。 | | [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` 停止進行中的 CloudWatch Logs Insights 查詢時為必要。 | | [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` 新增或更新日誌群組標籤時為必要。 | | [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` 針對日誌事件訊息的取樣來測試篩選條件模式時為必要。 |