本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon CloudWatch Logs 的動作、資源和條件索引鍵
Amazon CloudWatch Logs (服務字首:logs) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon CloudWatch Logs 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateKmsKey | 准許將指定的 AWS Key Management Service (AWS KMS) 客戶主金鑰 (CMK) 與指定的日誌群組建立關聯 | 寫入 | |||
| CancelExportTask | 准許取消處於 PENDING (待定) 或 RUNNING (執行中) 狀態的匯出任務 | 寫入 | |||
| CreateDelivery | 准許建立將傳遞來源連線至傳遞目的地的傳遞 | 寫入 | |||
| CreateExportTask | 准許建立 ExportTask,以便您有效率地將資料從日誌群組匯出到 Amazon S3 儲存貯體 | 寫入 | |||
| CreateLogAnomalyDetector | 准許建立日誌異常偵測器 | 寫入 | |||
| CreateLogDelivery [僅限許可] | 准許建立日誌交付 | 寫入 | |||
| CreateLogGroup | 准許使用指定名稱建立新的日誌群組 | 寫入 | |||
| CreateLogStream | 准許使用指定名稱建立新的日誌串流 | 寫入 | |||
| DeleteAccountPolicy | 准許刪除帳戶政策 | 寫入 | |||
| DeleteDataProtectionPolicy | 准許刪除與日誌群組連接的資料保護政策 | 寫入 | |||
| DeleteDelivery | 准許刪除傳遞 | 寫入 | |||
| DeleteDeliveryDestination | 准許在刪除所有關聯傳遞後刪除傳遞目的地 | 寫入 | |||
| DeleteDeliveryDestinationPolicy | 准許刪除與傳遞目的地關聯的傳遞目的地政策 | 寫入 | |||
| DeleteDeliverySource | 准許在刪除所有關聯傳遞後刪除傳遞來源 | 寫入 | |||
| DeleteDestination | 准許刪除指定名稱的目的地 | 寫入 | |||
| DeleteIndexPolicy | 准許刪除連接到日誌群組的索引政策 | 寫入 | |||
| DeleteIntegration | 准許刪除整合 | 寫入 | |||
| DeleteLogAnomalyDetector | 准許刪除日誌異常偵測器 | 寫入 | |||
| DeleteLogDelivery [僅限許可] | 准許刪除指定日誌交付的日誌交付資訊 | 寫入 | |||
| DeleteLogGroup | 准許刪除指定名稱的日誌群組 | 寫入 | |||
| DeleteLogStream | 准許刪除日誌串流 | 寫入 | |||
| DeleteMetricFilter | 准許刪除與指定日誌群組相關聯的指標篩選條件 | 寫入 | |||
| DeleteQueryDefinition | 准許刪除儲存的 CloudWatch Logs Insights 查詢定義 | 寫入 | |||
| DeleteResourcePolicy | 准許從此帳戶中刪除資源政策 | 許可管理 | |||
| DeleteRetentionPolicy | 准許刪除指定日誌群組的保留政策 | 寫入 | |||
| DeleteSubscriptionFilter | 准許刪除與指定日誌群組相關聯的訂閱篩選條件 | 寫入 | |||
| DeleteTransformer | 准許刪除與指定日誌群組相關聯的轉換器 | 寫入 | |||
| DescribeAccountPolicies | 准許擷取帳戶政策 | 清單 | |||
| DescribeConfigurationTemplates | 准許擷取可用日誌類型的組態範本清單 | 清單 | |||
| DescribeDeliveries | 准許擷取帳戶中的傳遞清單 | 清單 | |||
| DescribeDeliveryDestinations | 准許擷取帳戶中的傳遞目的地清單 | 清單 | |||
| DescribeDeliverySources | 准許擷取帳戶中的傳遞來源清單 | 清單 | |||
| DescribeDestinations | 准許傳回與 AWS 帳戶 提出請求相關聯的所有目的地 | 清單 | |||
| DescribeExportTasks | 准許傳回 AWS 帳戶 與發出請求相關聯的所有匯出任務 | 清單 | |||
| DescribeFieldIndexes | 准許傳回與日誌群組連接的所有索引屬性 | 清單 | |||
| DescribeIndexPolicies | 准許傳回與日誌群組連接的所有索引政策 | 清單 | |||
| DescribeLogGroups | 准許傳回與 AWS 帳戶 發出請求相關聯的所有日誌群組 | 清單 | |||
| DescribeLogStreams | 准許傳回與指定日誌群組相關聯的所有日誌串流 | 清單 | |||
| DescribeMetricFilters | 准許傳回與指定日誌群組相關聯的所有指標篩選條件 | 清單 | |||
| DescribeQueries | 准許傳回在此帳戶中已排程、執行中或近期已執行的 CloudWatch Logs Insights 查詢清單 | 清單 | |||
| DescribeQueryDefinitions | 准許傳回儲存的 CloudWatch Logs Insights 查詢定義的分頁清單 | 清單 | |||
| DescribeResourcePolicies | 准許傳回此帳戶中的所有資源政策 | 清單 | |||
| DescribeSubscriptionFilters | 准許傳回與指定日誌群組相關聯的所有訂閱篩選條件 | 清單 | |||
| DisassociateKmsKey | 准許取消相關聯的 AWS Key Management Service (AWS KMS) 客戶主金鑰 (CMK) 與指定日誌群組的關聯 | 寫入 | |||
| FilterLogEvents | 准許擷取日誌事件 (透過從指定日誌群組依篩選條件模式篩選而出) | 閱讀 | |||
| GetDataProtectionPolicy | 准許擷取與日誌群組連接的資料保護政策 | 閱讀 | |||
| GetDelivery | 准許擷取單一傳遞 | 閱讀 | |||
| GetDeliveryDestination | 准許擷取單一傳遞目的地 | 閱讀 | |||
| GetDeliveryDestinationPolicy | 准許擷取連接至傳遞目的地的傳遞目的地政策 | 閱讀 | |||
| GetDeliverySource | 准許擷取單一傳遞來源 | 閱讀 | |||
| GetIntegration | 准許擷取單一整合 | 閱讀 | |||
| GetLogAnomalyDetector | 准許取得日誌異常偵測器 | 閱讀 | |||
| GetLogDelivery [僅限許可] | 准許取得指定日誌交付的日誌交付資訊 | 閱讀 | |||
| GetLogEvents | 准許從指定的日誌串流擷取日誌事件 | 閱讀 | |||
| GetLogGroupFields | 准許傳回在指定日誌群組中日誌事件所包含的欄位清單,連同包含每個欄位的日誌事件百分比 | 閱讀 | |||
| GetLogRecord | 准許擷取所有欄位與單一日誌事件的值 | 閱讀 | |||
| GetQueryResults | 准許傳回指定查詢的結果 | 閱讀 | |||
| GetTransformer | 准許傳回與指定日誌群組相關聯的轉換器 | 閱讀 | |||
| Link [僅限許可] | 准許與監控帳戶共用 CloudWatch 資源 | 寫入 | |||
| ListAnomalies | 准許列出 AWS 帳戶 提出請求時偵測到的所有異常 | 清單 | |||
| ListEntitiesForLogGroup [僅限許可] | 准許擷取與日誌群組相關聯的所有實體 | 清單 | |||
| ListIntegrations | 准許列出 AWS 帳戶 與提出請求相關聯的所有整合 | 清單 | |||
| ListLogAnomalyDetectors | 准許傳回與 AWS 帳戶 提出請求相關聯的所有異常偵測器 | 清單 | |||
| ListLogDeliveries [僅限許可] | 准許列出指定帳戶和/或日誌來源的所有日誌交付 | 清單 | |||
| ListLogGroups | 准許傳回與 AWS 帳戶 發出請求相關聯的所有日誌群組 | 清單 | |||
| ListLogGroupsForEntity [僅限許可] | 准許擷取與實體相關聯的所有日誌群組 | 清單 | |||
| ListLogGroupsForQuery | 准許傳回與指定查詢相關聯的所有日誌群組 | 清單 | |||
| ListTagsForResource | 准許列出指定資源的標籤 | 清單 | |||
| ListTagsLogGroup | 准許列出指定日誌群組的標籤 | 清單 | |||
| PutAccountPolicy | 准許連接帳戶政策 | 寫入 | |||
| PutDataProtectionPolicy | 准許連接資料保護政策,以偵測和遮蔽日誌事件中的敏感資訊 | 寫入 | |||
| PutDeliveryDestination | 准許建立/更新傳遞目的地 | 寫入 | |||
| PutDeliveryDestinationPolicy | 准許將傳遞目的地政策連接至傳遞目的地 | 寫入 | |||
| PutDeliverySource | 准許建立/更新傳遞來源 | 寫入 | |||
| PutDestination | 准許建立或更新目的地 | 寫入 |
iam:PassRole |
||
| PutDestinationPolicy | 准許建立或更新與現有目的地相關聯的存取政策 | 寫入 | |||
| PutIndexPolicy | 准許在日誌群組層級連接索引政策,以最佳化搜尋和查詢 | 寫入 | |||
| PutIntegration | 准許在 cloudwatch 日誌和 opensearch 之間建立整合 | 寫入 | |||
| PutLogEvents | 准許將批次日誌事件上傳到指定的日誌串流 | 寫入 | |||
| PutMetricFilter | 准許建立或更新指標篩選條件,並將其和指定日誌群組建立關聯 | 寫入 | |||
| PutQueryDefinition | 准許建立或更新查詢定義 | 寫入 | |||
| PutResourcePolicy | 准許建立或更新資源政策 AWS ,允許其他服務將日誌事件放入此帳戶 | 許可管理 | |||
| PutRetentionPolicy | 准許設定指定日誌群組的保留期限 | 寫入 | |||
| PutSubscriptionFilter | 准許建立或更新訂閱篩選條件,並將其與指定的日誌群組建立關聯 | 寫入 |
iam:PassRole |
||
| PutTransformer | 准許建立或更新轉換器,並將其與指定的日誌群組建立關聯 | 寫入 | |||
| StartLiveTail | 准許啟動 CloudWatch Logs 中的 Live Tail 工作階段 | 閱讀 | |||
| StartQuery | 准許使用 CloudWatch Logs Insights 對日誌群組查詢進行排程 | 閱讀 | |||
| StopLiveTail [僅限許可] | 准許停止進行中的 Live Tail 階段 | 閱讀 | |||
| StopQuery | 准許停止進行中的 CloudWatch Logs Insights 查詢 | 閱讀 | |||
| TagLogGroup | 准許新增或更新指定日誌群組的指定標籤 | 標記 | |||
| TagResource | 准許為指定資源新增或更新指定的標籤 | 標記 | |||
| TestMetricFilter | 准許依據日誌事件訊息的範例,測試指標篩選條件的篩選條件模式 | 閱讀 | |||
| TestTransformer | 准許根據日誌事件訊息範例測試轉換器 | 閱讀 | |||
| Unmask [僅限許可] | 准許擷取未遮罩日誌事件 (已根據資料保護政策進行遮蔽的日誌事件) | 閱讀 | |||
| UntagLogGroup | 准許從指定的日誌群組移除指定的標籤 | 標記 | |||
| UntagResource | 准許從指定的資源移除指定的標籤 | 標記 | |||
| UpdateAnomaly | 准許更新日誌異常偵測器報告的異常 | 寫入 | |||
| UpdateDeliveryConfiguration | 准許更新與交付相關的組態 | 寫入 | |||
| UpdateLogAnomalyDetector | 准許更新日誌異常偵測器 | 寫入 | |||
| UpdateLogDelivery [僅限許可] | 准許更新指定日誌交付的日誌交付資訊 | 寫入 |
Amazon CloudWatch Logs 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| log-group |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}
|
|
| log-stream |
arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}
|
|
| destination |
arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}
|
|
| delivery-source |
arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}
|
|
| delivery |
arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}
|
|
| delivery-destination |
arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}
|
|
| anomaly-detector |
arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}
|
Amazon CloudWatch Logs 條件索引鍵
Amazon CloudWatch Logs 會定義下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
| logs:DeliveryDestinationResourceArn | 依在請求中傳遞的日誌目的地 ARN 篩選存取 | ARN |
| logs:LogGeneratingResourceArns | 依在請求中傳遞的日誌產生資源 ARN 篩選存取 | ArrayOfARN |
