本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon CloudWatch 日志的身份和访问管理
访问 Amazon CloudWatch Logs 需要凭证 AWS 才能对您的请求进行身份验证。这些证书必须具有访问 AWS 资源的权限,例如检索有关您的云资源的 CloudWatch 日志数据。以下各节详细介绍了如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 和 CloudWatch 日志,通过控制谁可以访问资源来保护您的资源:
+ [身份验证](#authentication-cwl)
+ [访问控制](#access-control-cwl)
## 身份验证
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
## 访问控制
您可以拥有有效的凭证来验证您的请求,但是除非您拥有权限,否则您无法创建或访问 CloudWatch 日志资源。例如,您必须拥有创建日志流、创建日志组和执行其他操作的权限。
以下各节介绍如何管理 CloudWatch 日志的权限。我们建议您先阅读概述。
+ [管理您的 L CloudWatch ogs 资源的访问权限概述](iam-access-control-overview-cwl.md)
+ [对日志使用基于身份的策略(IAM 策略) CloudWatch](iam-identity-based-access-control-cwl.md)
+ [CloudWatch 日志权限参考](permissions-reference-cwl.md)
# 管理您的 L CloudWatch ogs 资源的访问权限概述
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
**Topics**
+ [CloudWatch 记录资源和操作](#CWL_ARN_Format)
+ [了解资源所有权](#understanding-resource-ownership-cwl)
+ [管理对 资源的访问](#managing-access-resources-cwl)
+ [指定策略元素:操作、效果和主体](#actions-effects-principals-cwl)
+ [在策略中指定条件](#policy-conditions-cwl)
## CloudWatch 记录资源和操作
在 CloudWatch 日志中,主要资源是日志组、日志流和目标。 CloudWatch 日志不支持子资源(用于主资源的其他资源)。
这些资源和子资源具有与之关联的唯一 Amazon 资源名称 (ARNs),如下表所示。
| 资源类型 | ARN 格式 |
| --- | --- |
| 日志组 | 使用以下两种方法。第二个命令结尾为,是 `describe-log-groups` CLI 命令和 **DescribeLogGroups**API 返回的内容。`:*` arn: aws: logs:: log-group:: *region* *account-id* *log\$1group\$1name* arn: aws: logs::: log-group:: \$1 *region* *account-id* *log\$1group\$1name* 在以下情况下,使用不带尾随字符 `:*` 的第一个版本: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) 在 IAM 策略中为所有其他 API 操作指定权限时,使用带有尾随字符 `:*` 的第二个版本来引用 ARN。 |
| 日志流 | arn: aws: logs:: log-group:: log-stream:: *region* *account-id* *log\$1group\$1name* *log-stream-name* |
| 目标位置 | arn: aws: logs::: 目的地:*region**account-id**destination\$1name* |
有关更多信息 ARNs,请参阅 *IAM 用户指南[ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)*中的。有关 CloudWatch 日志的信息 ARNs,请参阅中的 [Amazon 资源名称 (ARNs) *Amazon Web Services 一般参考*](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs)。有关涵盖 CloudWatch 日志的策略的示例,请参阅[对日志使用基于身份的策略(IAM 策略) CloudWatch](iam-identity-based-access-control-cwl.md)。
CloudWatch 日志提供了一组使用 CloudWatch 日志资源的操作。有关可用操作的列表,请参阅 [CloudWatch 日志权限参考](permissions-reference-cwl.md)。
## 了解资源所有权
该 AWS 账户拥有在账户中创建的资源,无论谁创建了这些资源。具体而言,资源所有者是对 AWS 资源创建请求进行身份验证的[委托人实体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)(即根账户、用户或 IAM 角色)的账户。以下示例说明了它的工作原理:
+ 如果您使用账户的根账户凭证创建日志组,则您的 AWS 账户就是 CloudWatch 日志资源的所有者。 AWS
+ 如果您在 AWS 账户中创建用户并向该用户授予创建CloudWatch 日志资源的权限,则该用户可以创建 CloudWatch 日志资源。但是,该用户所属的您的 AWS 账户拥有 CloudWatch 日志资源。
+ 如果您在 AWS 账户中创建具有创建 CloudWatch 日志资源的权限的 IAM 角色,则任何能够担任该角色的人都可以创建 CloudWatch 日志资源。该角色所属的您的 AWS 账户拥有 CloudWatch 日志资源。
## 管理对 资源的访问
*权限策略*规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。
**注意**
本节讨论在 CloudWatch 日志上下文中使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅 *IAM 用户指南*中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和说明的信息,请参阅 *IAM 用户指南*中的 [ IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
附加到 IAM 身份的策略称为基于身份的策略(IAM 策略),附加到资源的策略称为基于资源的策略。 CloudWatch 日志支持基于身份的策略和基于资源的目的地策略,这些策略用于启用跨账户订阅。有关更多信息,请参阅 [跨账户跨区域订阅](CrossAccountSubscriptions.md)。
**Topics**
+ [日志组权限和 Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [基于资源的策略](#resource-based-policies-cwl)
### 日志组权限和 Contributor Insights
Contributor Insights 是一项 CloudWatch 功能,它使您能够分析来自日志组的数据并创建显示贡献者数据的时间序列。您可以查看有关前 N 个贡献者、独特贡献者总数及其使用情况的指标。有关更多信息,请参阅[使用 Contributor Insights 分析高基数数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html)。
当您向用户授予`cloudwatch:PutInsightRule`和`cloudwatch:GetInsightRuleReport`权限时,该用户可以创建一个规则来评估日志中的 CloudWatch 任何日志组,然后查看结果。结果可以包含这些日志组的贡献者数据。确保仅将这些权限授予能够查看此数据的用户。
### 基于资源的策略
CloudWatch 日志支持基于资源的目标策略,您可以使用这些策略来启用跨账户订阅。有关更多信息,请参阅 [步骤 1:创建目标](CreateDestination.md)。可以使用 [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API 创建目的地,也可以使用 AP [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)I 向目的地添加资源策略。在以下示例中,允许账户 ID 为 111122223333 的另一个 AWS 账户将其日志组订阅到目标 `arn:aws:logs:us-east-1:123456789012:destination:testDestination`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## 指定策略元素:操作、效果和主体
对于每个 CloudWatch Logs 资源,该服务都定义了一组 API 操作。为了授予这些 API 操作的权限, CloudWatch 日志定义了一组可以在策略中指定的操作。某些 API 操作可能需要多个操作的权限才能执行 API 操作。有关资源和 API 操作的更多信息,请参阅 [CloudWatch 记录资源和操作](#CWL_ARN_Format) 和 [CloudWatch 日志权限参考](permissions-reference-cwl.md)。
以下是基本的策略元素:
+ **资源** – 您使用 Amazon 资源名称(ARN)来标识策略应用到的资源。有关更多信息,请参阅 [CloudWatch 记录资源和操作](#CWL_ARN_Format)。
+ **操作** – 您可以使用操作关键字标识要允许或拒绝的资源操作。例如,`logs.DescribeLogGroups` 权限允许执行 `DescribeLogGroups` 操作的用户权限。
+ **效果** – 用于指定用户请求特定操作时的效果(可以是允许或拒绝)。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。
+ **主体**:在基于身份的策略(IAM 策略)中,附加了策略的用户是隐式主体。对于基于资源的策略,您可以指定要获得权限的用户、账户、服务或其他实体(仅适用于基于资源的策略)。 CloudWatch 日志支持基于资源的目标策略。
有关 IAM 策略语法和描述的更多信息,请参阅《IAM 用户指南》**中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
有关显示所有 L CloudWatch ogs API 操作及其适用的资源的表格,请参阅[CloudWatch 日志权限参考](permissions-reference-cwl.md)。
## 在策略中指定条件
当您授予权限时,可使用访问策略语言来指定规定策略何时生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
要表示条件,您可以使用预定义的条件键。有关每项 AWS 服务支持的上下文密钥列表以及 AWS全局条件上下文密钥列表,请参阅[AWS 服务的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)以及[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
**注意**
您可以使用标签来控制对 CloudWatch 日志资源的访问权限,包括日志组和目标。由于日志组和日志流之间存在分层关系,因此在日志组级别控制对日志流的访问。有关使用标签控制访问的更多信息,请参阅[使用标签控制对 Amazon Web Services 资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
# 对日志使用基于身份的策略(IAM 策略) CloudWatch
本主题提供了基于身份的策略的示例,在这些策略中,账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。
**重要**
我们建议您先阅读介绍性主题,这些主题解释了管理 CloudWatch 日志资源访问权限的基本概念和选项。有关更多信息,请参阅 [管理您的 L CloudWatch ogs 资源的访问权限概述](iam-access-control-overview-cwl.md)。
本主题包含以下内容:
+ [使用 CloudWatch 控制台所需的权限](#console-permissions-cwl)
+ [AWS CloudWatch 日志的托管(预定义)策略](#managed-policies-cwl)
+ [客户管理型策略示例](#customer-managed-policies-cwl)
下面是权限策略的示例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
本策略具有一个语句,该语句授予了创建日志组和日志流、将事件上传到日志流和列出有关日志流的详细信息的权限。
`Resource` 值结尾的通配符(\$1)表示一个语句,该语句授予了对任何日志组执行 `logs:CreateLogGroup`、`logs:CreateLogStream`、`logs:PutLogEvents` 和 `logs:DescribeLogStreams` 操作的权限。要将此权限限制到特定日志组,请使用将资源 ARN 中的通配符(\$1)替换为特定日志组 ARN。有关 IAM policy 语句中各部分的更多信息,请参阅 *IAM 用户指南*中的 [IAM policy 元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html)。有关显示所有 L CloudWatch ogs 操作的列表,请参阅[CloudWatch 日志权限参考](permissions-reference-cwl.md)。
## 使用 CloudWatch 控制台所需的权限
要让用户在 CloudWatch 控制台中使用 CloudWatch 日志,该用户必须拥有一组允许用户描述其 AWS 账户中的其他 AWS 资源的最低权限。要在 CloudWatch 控制台中使用 CloudWatch 日志,您必须拥有以下服务的权限:
+ CloudWatch
+ CloudWatch 日志
+ OpenSearch 服务
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
如果创建比必需的最低权限更为严格的 IAM policy,对于附加了该 IAM policy 的用户, 控制台将无法按预期正常运行。为确保这些用户仍然可以使用 CloudWatch 控制台,还要将`CloudWatchReadOnlyAccess`托管策略附加到该用户,如中所述[AWS CloudWatch 日志的托管(预定义)策略](#managed-policies-cwl)。
对于仅调用 AWS CLI 或 CloudWatch 日志 API 的用户,您无需为其设置最低控制台权限。
对于不使用 CloudWatch 控制台管理日志订阅的用户,使用控制台所需的全部权限为:
+ 云观察:GetMetricData
+ 云观察:ListMetrics
+ 日志:CancelExportTask
+ 日志:CreateExportTask
+ 日志:CreateLogGroup
+ 日志:CreateLogStream
+ 日志:DeleteLogGroup
+ 日志:DeleteLogStream
+ 日志:DeleteMetricFilter
+ 日志:DeleteQueryDefinition
+ 日志:DeleteRetentionPolicy
+ 日志:DeleteSubscriptionFilter
+ 日志:DescribeExportTasks
+ 日志:DescribeLogGroups
+ 日志:DescribeLogStreams
+ 日志:DescribeMetricFilters
+ 日志:DescribeQueryDefinitions
+ 日志:DescribeQueries
+ 日志:DescribeSubscriptionFilters
+ 日志:FilterLogEvents
+ 日志:GetLogEvents
+ 日志:GetLogGroupFields
+ 日志:GetLogRecord
+ 日志:GetQueryResults
+ 日志:PutMetricFilter
+ 日志:PutQueryDefinition
+ 日志:PutRetentionPolicy
+ 日志:StartQuery
+ 日志:StopQuery
+ 日志:PutSubscriptionFilter
+ 日志:TestMetricFilter
对于同时使用控制台来管理日志订阅的用户,还需要以下权限:
+ 是:DescribeElasticsearchDomain
+ 是:ListDomainNames
+ 我是:AttachRolePolicy
+ 我是:CreateRole
+ 我是:GetPolicy
+ 我是:GetPolicyVersion
+ 我是:GetRole
+ 我是:ListAttachedRolePolicies
+ 我是:ListRoles
+ 运动学:DescribeStreams
+ 运动学:ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3:ListBuckets
## AWS CloudWatch 日志的托管(预定义)策略
AWS 通过提供由创建和管理的独立 IAM 策略来解决许多常见用例 AWS。托管策略可针对常见使用案例授予必要权限,因此,您无需自行调查具体需要哪些权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
以下 AWS 托管策略特定于 CloudWatch 日志,您可以将其附加到账户中的用户和角色:
+ **CloudWatchLogsFullAccess**— 授予对 CloudWatch 日志的完全访问权限。
+ **CloudWatchLogsReadOnlyAccess**— 授予对 CloudWatch 日志的只读访问权限。
### CloudWatchLogsFullAccess
该**CloudWatchLogsFullAccess**策略授予对 CloudWatch 日志的完全访问权限。该策略包括`cloudwatch:GenerateQuery`和`cloudwatch:GenerateQueryResultsSummary`权限,因此拥有此策略的用户可以根据自然语言提示生成 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 查询字符串。要查看该策略的全部内容,请参阅[CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)《*AWS 托管策略参考指南》*。
### CloudWatchLogsReadOnlyAccess
该**CloudWatchLogsReadOnlyAccess**策略授予对 CloudWatch 日志的只读访问权限。它包括`cloudwatch:GenerateQuery`和`cloudwatch:GenerateQueryResultsSummary`权限,因此拥有此策略的用户可以根据自然语言提示生成 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 查询字符串。要查看该策略的全部内容,请参阅[CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)《*AWS 托管策略参考指南》*。
### CloudWatchOpenSearchDashboardsFullAccess
该**CloudWatchOpenSearchDashboardsFullAccess**策略授予创建、管理和删除与 Serv OpenSearch ice 的集成,以及在这些集成中创建、删除和管理已售日志仪表板的权限。有关更多信息,请参阅 [使用 Amazon OpenSearch 服务进行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。
要查看该策略的全部内容,请参阅[CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)《*AWS 托管策略参考指南》*。
### CloudWatchOpenSearchDashboardAccess
该**CloudWatchOpenSearchDashboardAccess**策略授予查看使用 Amazon OpenSearch Service 分析创建的销售日志仪表板的访问权限。有关更多信息,请参阅 [使用 Amazon OpenSearch 服务进行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。
**重要**
除了授予此策略外,要使角色或用户能够查看提供的日志仪表板,还必须在创建与 Serv OpenSearch ice 的集成时指定它们。有关更多信息,请参阅 [步骤 1:创建与 OpenSearch 服务的集成](OpenSearch-Dashboards-Integrate.md)。
要查看该策略的全部内容,请参阅[CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)《*AWS 托管策略参考指南》*。
#### CloudWatchLogsCrossAccountSharingConfiguration
该**CloudWatchLogsCrossAccountSharingConfiguration**策略授予创建、管理和查看用于在账户之间共享 CloudWatch 日志资源的 Observability Access Manager 链接的权限。有关更多信息,请参阅 [ CloudWatch 跨账户可观测性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。
要查看该策略的全部内容,请参阅[CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)《*AWS 托管策略参考指南》*。
#### CloudWatchLogsAPIKey访问权限
**CloudWatchLogsAPIKey访问**策略启用 CloudWatch 日志 API 密钥身份验证和加密日志提取。此策略授予使用不记名令牌进行身份验证和将日志事件写入CloudWatch 日志的 AWS KMS 权限,以及在加密日志时解密和生成数据密钥的额外权限。
此策略授予以下权限:
+ `logs`— 允许委托人通过 API 密钥持有者令牌进行身份验证并将日志事件写入日志流 CloudWatch 。
+ `kms`— 允许委托人读取 AWS KMS 密钥元数据、生成用于加密的数据密钥以及解密数据。这些权限允许服务使用客户管理的密 AWS KMS 钥加密日志数据,从而支持加密日志。 CloudWatch 访问权限仅限于通过 CloudWatch 日志服务调用的操作。
要查看有关策略的更多详细信息,包括最新版本的 JSON 策略文档,请参阅*AWS 托管策略参考指南*中的[CloudWatchLogsAPIKey访问权限](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html)。
### CloudWatch 记录 AWS 托管策略的更新
查看自该服务开始跟踪 CloudWatch 日志 AWS 托管策略更改以来这些更新的详细信息。要获得有关此页面更改的自动提醒,请订阅 “ CloudWatch 日志文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [CloudWatchLogsAPIKey访问权限](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess)-新政策。 | CloudWatch 日志添加了新的托管策略 A **CloudWatchLogsAPIKeycces** s。 此策略启用 CloudWatch 日志 API 密钥身份验证和加密日志提取,授予使用不记名令牌进行身份验证并将日志事件写入日志的权限。 CloudWatch | 2026 年 2 月 17 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 对现有策略的更新。 | CloudWatch 记录已添加的权限**CloudWatchLogsFullAccess**。 添加了可观测性管理操作的权限,以允许对遥测管道及 S3 表集成进行只读访问。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 对现有策略的更新。 | CloudWatch 记录已添加的权限**CloudWatchLogsReadOnlyAccess**。 添加了可观测性管理操作的权限,以允许对遥测管道及 S3 表集成进行只读访问。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 对现有策略的更新。 | CloudWatch 记录已添加的权限**CloudWatchLogsFullAccess**。 添加了 `cloudwatch:GenerateQueryResultsSummary` 的权限,以允许生成查询结果的自然语言摘要。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 对现有策略的更新。 | CloudWatch 记录已添加的权限**CloudWatchLogsReadOnlyAccess**。 添加了 `cloudwatch:GenerateQueryResultsSummary` 的权限,以允许生成查询结果的自然语言摘要。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 对现有策略的更新。 | CloudWatch 记录已添加的权限**CloudWatchLogsFullAccess**。 添加了 Amazon OpenSearch Service 和 IAM 的权限,以便为某些功能启用 CloudWatch 日志与 OpenSearch 服务的集成。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— 新的 IAM 政策。 | CloudWatch Logs 添加了新的 IAM 策略**CloudWatchOpenSearchDashboardsFullAccess**。-此策略授予创建、管理和删除与 Serv OpenSearch ice 的集成,以及在这些集成中创建、管理和删除已售日志仪表板的权限。有关更多信息,请参阅 [使用 Amazon OpenSearch 服务进行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— 新的 IAM 政策。 | CloudWatch Logs 添加了新的 IAM 策略**CloudWatchOpenSearchDashboardAccess**。-此策略授予查看由 Amazon OpenSearch Service提供支持的销售日志仪表板的访问权限。有关更多信息,请参阅 [使用 Amazon OpenSearch 服务进行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。 | 2024 年 12 月 1 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 对现有策略的更新。 | CloudWatch 日志已向添加权限**CloudWatchLogsFullAccess**。 此`cloudwatch:GenerateQuery`权限已添加,因此拥有此策略的用户可以根据自然语言提示生成 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 查询字符串。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 对现有策略的更新。 | CloudWatch 向。添加了权限**CloudWatchLogsReadOnlyAccess**。 此`cloudwatch:GenerateQuery`权限已添加,因此拥有此策略的用户可以根据自然语言提示生成 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) 查询字符串。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess):对现有策略的更新 | CloudWatch 记录已添加的权限**CloudWatchLogsReadOnlyAccess**。 添加了`logs:StartLiveTail`和`logs:StopLiveTail`权限,以便拥有此策略的用户可以使用控制台启动和停止 L CloudWatch ogs 实时尾部会话。有关更多信息,请参阅 [使用 Live Tail 近乎实时地查看日志](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)。 | 2023 年 6 月 6 日 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration):新策略 | CloudWatch Logs 添加了一项新策略,使您能够管理共享 CloudWatch 日志组的 CloudWatch跨账户可观察性链接。 如需了解更多信息,请参阅[ CloudWatch 跨账户](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)可观察性 | 2022 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess):对现有策略的更新 | CloudWatch 记录已添加的权限**CloudWatchLogsReadOnlyAccess**。 添加了`oam:ListSinks`和`oam:ListAttachedLinks`权限,以便拥有此策略的用户可以使用控制台在 CloudWatch 跨账户可观察性中查看源账户共享的数据。 | 2022 年 11 月 27 日 |
### 客户管理型策略示例
您可以创建自己的自定义 IAM 策略以授予 CloudWatch 日志操作和资源的权限。您可以将这些自定义策略附加到需要这些权限的用户或组。
在本节中,您可以找到授予各种 CloudWatch 日志操作权限的用户策略示例。这些策略在您使用 CloudWatch 日志 API 时起作用 AWS SDKs,或者 AWS CLI。
**Topics**
+ [示例 1:允许完全访问 CloudWatch 日志](#w2aac59c15c15c23c19b9)
+ [示例 2:允许对 CloudWatch 日志进行只读访问](#w2aac59c15c15c23c19c11)
+ [示例 3:允许访问一个日志组](#w2aac59c15c15c23c19c13)
#### 示例 1:允许完全访问 CloudWatch 日志
以下策略允许用户访问所有 CloudWatch Logs 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 示例 2:允许对 CloudWatch 日志进行只读访问
AWS 提供了允许对 CloudWatch 日志数据进行只读访问的**CloudWatchLogsReadOnlyAccess**策略。该策略包含以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 示例 3:允许访问一个日志组
以下策略允许用户在一个指定的日志组中读取和写入日志事件。
**重要**
`Resource` 行中日志组名称末尾的 `:*` 是必需的,以指示该策略适用于此日志组中的所有日志流。如果省略 `:*`,则不会强制执行该策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### 使用标记和 IAM policy 在日志组级别进行控制
您可以为用户授予某些日志组的访问权限,同时禁止他们访问其他日志组。为此,请标记您的日志组,并使用引用这些标记的 IAM policy。要将标签应用于日志组,您需要拥有 `logs:TagResource` 或 `logs:TagLogGroup` 权限。这既适用于在创建日志组时为其分配标签,也适用于稍后分配标签。
有关标记日志组的更多信息,请参阅 [在 Amazon 日志中标记 CloudWatch 日志组](Working-with-log-groups-and-streams.md#log-group-tagging)。
在标记日志组时,您可以为用户授予 IAM policy 以仅允许访问具有特定标记的日志组。例如,以下策略语句仅授予 `Team` 标签键值为 `Green` 的日志组的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
**StopQuery**和 **StopLiveTail**API 操作不与传统意义上的 AWS 资源交互。它们不会返回任何数据、放置任何数据或以任何方式修改资源。相反,它们仅对给定的实时跟踪会话或给定的 L CloudWatch ogs Insights 查询进行操作,这些查询未归类为资源。因此,在 IAM policy 中为这些操作指定 `Resource` 字段时,必须将 `Resource` 字段的值设置为 `*`,如下例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
有关使用 IAM policy 语句的更多信息,请参阅 *IAM 用户指南*中的[使用策略控制访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)。
# CloudWatch 日志权限参考
在设置 [访问控制](auth-and-access-control-cwl.md#access-control-cwl) 和编写您可挂载到 IAM 身份的权限策略(基于身份的策略)时,可以使用下表作为参考。该表列出了每 CloudWatch 个 Logs API 操作以及您可以为其授予执行该操作的权限的相应操作。请在策略的 `Action` 字段中指定这些操作。对于该`Resource`字段,您可以指定日志组或日志流的 ARN,也可以指定`*`代表所有 CloudWatch 日志资源。
您可以在 CloudWatch 日志策略中使用 AWS-wide 条件键来表达条件。有关 AWS范围密钥的完整列表,请参阅 [IAM *用户指南中的AWS 全局和 IAM* 条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
**注意**
要指定操作,请在 API 操作名称之前使用 `logs:` 前缀。例如:`logs:CreateLogGroup``logs:CreateLogStream`、或`logs:*`(适用于所有 CloudWatch 日志操作)。
**CloudWatch 记录 API 操作和操作所需的权限**
| CloudWatch 记录 API 的操作 | 所需权限(API 操作) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` 需要取消待处理或正在运行的导出任务。 |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` 将数据从日志组导出到 Amazon S3 存储桶所需。 |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` 需要创建新的日志组。 |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` 需要在日志组中创建新的日志流。 |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` 需要删除日志目标并对其禁用所有订阅筛选器。 |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` 需要删除日志组和所有关联的存档日志事件。 |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` 需要删除日志流和所有关联的存档日志事件。 |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` 需要删除与日志组关联的指标筛选器。 |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` 需要在 Logs Insight CloudWatch s 中删除已保存的查询定义。 |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` 删除 CloudWatch 日志资源策略所必需的。 |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` 需要删除日志组的保留策略。 |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` 需要删除与日志组关联的订阅筛选器。 |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` 需要查看与账户关联的所有目标。 |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` 需要查看与账户关联的所有导出任务。 |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` 需要查看与账户关联的所有日志组。 |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` 需要查看与日志组关联的所有日志流。 |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` 需要查看与日志组关联的所有指标。 |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` 需要在 Logs Insights 中 CloudWatch 查看已保存的查询定义列表。 |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` 需要查看已计划、正在执行或最近执行的 L CloudWatch ogs Insights 查询列表。 |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` 查看 CloudWatch 日志资源策略列表所必需的。 |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` 需要查看与日志组关联的所有订阅筛选器。 |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` 需要按照日志组筛选器模式对日志事件进行排序。 |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` 需要从日志流中检索日志事件。 |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` 需要检索日志组中日志事件内包含的字段列表。 |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` 需要从单个日志事件中检索详细信息。 |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` 需要获取通过 PutOpenTelemetryLogs API 摄取的大部分日志事件的内容。 |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` 检索 L CloudWatch ogs Insights 查询结果所必需的。 |
| ListEntitiesForLogGroup (CloudWatch 仅限控制台权限) | `logs:ListEntitiesForLogGroup` 查找与日志组关联的实体所需的权限。需要在 CloudWatch 控制台中浏览相关日志。 |
| ListLogGroupsForEntity (CloudWatch 仅限控制台权限) | `logs:ListLogGroupsForEntity` 查找与实体关联的日志组所需的权限。需要在 CloudWatch 控制台中浏览相关日志。 |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` 需要列出与日志组关联的标签。 |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` 需要查看与账户关联的所有日志组。 |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` 创建或更新目标日志流(例如,Kinesis 流)所需。 |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` 需要创建或更新与现有日志目标关联的访问策略。 |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` 需要将一批日志事件上传到日志流。 |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` 需要创建或更新指标筛选器并将其与日志组关联。 |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` 需要在 L CloudWatch ogs Insights 中保存查询,包括已保存的带参数的查询。 |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` 创建 CloudWatch 日志资源策略所必需的。 |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` 需要设置日志组中的日志事件的保存(保留)天数。 |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` 需要创建或更新订阅筛选器并将其与日志组关联。 |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` 启动 CloudWatch 日志见解查询所必需的。要使用参数运行已保存的查询,还需要`logs:DescribeQueryDefinitions`。 |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` 需要停止正在进行的 CloudWatch Logs Insights 查询。 |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` 需要添加或更新日志组标签。 |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` 需要针对日志事件消息采样测试筛选器模式。 |
# 为 CloudWatch 日志使用服务相关角色
Amaz CloudWatch on Logs 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服务相关角色是一种独特的 IAM 角色,直接链接到 CloudWatch 日志。服务相关角色由 CloudWatch Logs 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可以提高 CloudWatch 日志设置的效率,因为您无需手动添加必要的权限。 CloudWatch 日志定义了其服务相关角色的权限,除非另有定义,否则只有 CloudWatch 日志可以担任这些角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。查找在 **Service-Linked Role(服务相关角色)**列中具有 **Yes(是)**值的服务。请选择**是**与查看该服务的服务关联角色文档的链接。
## 日志的服务相关角色权限 CloudWatch
CloudWatch 日志使用名**AWSServiceRoleForLogDelivery**为的服务相关角色。 CloudWatch 日志使用此服务相关角色将日志直接写入 Firehose。有关更多信息,请参阅 [启用来自 AWS 服务的日志记录](AWS-logs-and-resource-policy.md)。
**AWSServiceRoleForLogDelivery** 服务相关角色信任以下服务代入该角色:
+ `logs.amazonaws.com`
角色权限策略允许 CloudWatch Logs 对指定资源完成以下操作:
+ 操作:所有 Firehose 流上标记有 `LogDeliveryEnabled` 键且值为 `True` 的 `firehose:PutRecord` 和 `firehose:PutRecordBatch`。当您创建订阅以将日志传送到 Firehose 时,此标记会自动附加到 Firehose 流。
您必须配置权限以允许 IAM 实体创建、编辑或删除服务相关角色。此实体可以是用户、组或角色。有关更多信息,请参阅 *IAM 用户指南*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为日志创建服务相关角色 CloudWatch
您无需手动创建服务相关角色。当您在 AWS 管理控制台、或 AWS API 中将日志设置为直接发送到 Firehose 流时, CloudWatch 日志会为您创建服务相关角色。 AWS CLI
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您再次将日志设置为直接发送到 Firehose 流时, CloudWatch 日志会再次为您创建服务相关角色。
## 编辑日志的服务相关角色 CloudWatch
CloudWatch 日志不允许您在创建服务相关角色或任何其他服务相关角色后对其进行编辑**AWSServiceRoleForLogDelivery**。由于多个实体可能引用该角色,因此无法更改角色的名称。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除日志的服务相关角色 CloudWatch
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果您尝试删除资源时, CloudWatch 日志服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除**AWSServiceRoleForLogDelivery**服务相关角色使用的 CloudWatch 日志资源**
+ 停止将日志直接发送到 Firehose 流。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除**AWSServiceRoleForLogDelivery**服务相关角色。有关更多信息,请参阅[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
### CloudWatch 日志服务相关角色支持的区域
CloudWatch Logs 支持在提供服务的所有 AWS 区域中使用服务相关角色。有关更多信息,请参阅[CloudWatch 记录区域和终端节点](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region)。
# CloudWatch 记录 AWS 服务关联角色的更新
查看自该 AWS 服务开始跟踪 CloudWatch 日志服务关联角色变更以来这些更新的详细信息。要获得有关此页面更改的自动提醒,请订阅 “ CloudWatch 日志文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSServiceRoleForLogDelivery 服务相关角色策略](AWS-logs-infrastructure-Firehose.md)-更新现有策略 | CloudWatch 日志更改了与**AWSServiceRoleForLogDelivery**服务相关角色关联的 IAM 策略中的权限。更改内容如下: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 2021 年 7 月 15 日 |
| CloudWatch 日志已开始跟踪更改 | CloudWatch 日志开始跟踪其 AWS 托管策略的更改。 | 2021 年 6 月 10 日 |