本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理您的 L CloudWatch ogs 资源的访问权限概述
<a name="iam-access-control-overview-cwl"></a>

要提供访问权限，请为您的用户、组或角色添加权限：
+ 中的用户和群组 AWS IAM Identity Center：

  创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色（联合身份验证）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。

**Topics**
+ [CloudWatch 记录资源和操作](#CWL_ARN_Format)
+ [了解资源所有权](#understanding-resource-ownership-cwl)
+ [管理对 资源的访问](#managing-access-resources-cwl)
+ [指定策略元素：操作、效果和主体](#actions-effects-principals-cwl)
+ [在策略中指定条件](#policy-conditions-cwl)

## CloudWatch 记录资源和操作
<a name="CWL_ARN_Format"></a>

在 CloudWatch 日志中，主要资源是日志组、日志流和目标。 CloudWatch 日志不支持子资源（用于主资源的其他资源）。

这些资源和子资源具有与之关联的唯一 Amazon 资源名称 (ARNs)，如下表所示。


| 资源类型 | ARN 格式 | 
| --- | --- | 
|  日志组  |  使用以下两种方法。第二个命令结尾为，是 `describe-log-groups` CLI 命令和 **DescribeLogGroups**API 返回的内容。`:*` arn: aws: logs:: log-group:: *region* *account-id* *log\$1group\$1name* arn: aws: logs::: log-group:: \$1 *region* *account-id* *log\$1group\$1name* 在以下情况下，使用不带尾随字符 `:*` 的第一个版本： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) 在 IAM 策略中为所有其他 API 操作指定权限时，使用带有尾随字符 `:*` 的第二个版本来引用 ARN。  | 
|  日志流  |  arn: aws: logs:: log-group:: log-stream:: *region* *account-id* *log\$1group\$1name* *log-stream-name*  | 
|  目标位置  |  arn: aws: logs::: 目的地:*region**account-id**destination\$1name*  | 

有关更多信息 ARNs，请参阅 *IAM 用户指南[ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)*中的。有关 CloudWatch 日志的信息 ARNs，请参阅中的 [Amazon 资源名称 (ARNs) *Amazon Web Services 一般参考*](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs)。有关涵盖 CloudWatch 日志的策略的示例，请参阅[对日志使用基于身份的策略（IAM 策略） CloudWatch](iam-identity-based-access-control-cwl.md)。

CloudWatch 日志提供了一组使用 CloudWatch 日志资源的操作。有关可用操作的列表，请参阅 [CloudWatch 日志权限参考](permissions-reference-cwl.md)。

## 了解资源所有权
<a name="understanding-resource-ownership-cwl"></a>

该 AWS 账户拥有在账户中创建的资源，无论谁创建了这些资源。具体而言，资源所有者是对 AWS 资源创建请求进行身份验证的[委托人实体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)（即根账户、用户或 IAM 角色）的账户。以下示例说明了它的工作原理：
+ 如果您使用账户的根账户凭证创建日志组，则您的 AWS 账户就是 CloudWatch 日志资源的所有者。 AWS 
+ 如果您在 AWS 账户中创建用户并向该用户授予创建CloudWatch 日志资源的权限，则该用户可以创建 CloudWatch 日志资源。但是，该用户所属的您的 AWS 账户拥有 CloudWatch 日志资源。
+ 如果您在 AWS 账户中创建具有创建 CloudWatch 日志资源的权限的 IAM 角色，则任何能够担任该角色的人都可以创建 CloudWatch 日志资源。该角色所属的您的 AWS 账户拥有 CloudWatch 日志资源。

## 管理对 资源的访问
<a name="managing-access-resources-cwl"></a>

*权限策略*规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。

**注意**  
本节讨论在 CloudWatch 日志上下文中使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档，请参阅 *IAM 用户指南*中的[什么是 IAM？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和说明的信息，请参阅 *IAM 用户指南*中的 [ IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

附加到 IAM 身份的策略称为基于身份的策略（IAM 策略），附加到资源的策略称为基于资源的策略。 CloudWatch 日志支持基于身份的策略和基于资源的目的地策略，这些策略用于启用跨账户订阅。有关更多信息，请参阅 [跨账户跨区域订阅](CrossAccountSubscriptions.md)。

**Topics**
+ [日志组权限和 Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [基于资源的策略](#resource-based-policies-cwl)

### 日志组权限和 Contributor Insights
<a name="cloudwatch-logs-permissions-and-contributor-insights"></a>

Contributor Insights 是一项 CloudWatch 功能，它使您能够分析来自日志组的数据并创建显示贡献者数据的时间序列。您可以查看有关前 N 个贡献者、独特贡献者总数及其使用情况的指标。有关更多信息，请参阅[使用 Contributor Insights 分析高基数数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html)。

当您向用户授予`cloudwatch:PutInsightRule`和`cloudwatch:GetInsightRuleReport`权限时，该用户可以创建一个规则来评估日志中的 CloudWatch 任何日志组，然后查看结果。结果可以包含这些日志组的贡献者数据。确保仅将这些权限授予能够查看此数据的用户。

### 基于资源的策略
<a name="resource-based-policies-cwl"></a>

CloudWatch 日志支持基于资源的目标策略，您可以使用这些策略来启用跨账户订阅。有关更多信息，请参阅 [步骤 1：创建目标](CreateDestination.md)。可以使用 [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API 创建目的地，也可以使用 AP [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)I 向目的地添加资源策略。在以下示例中，允许账户 ID 为 111122223333 的另一个 AWS 账户将其日志组订阅到目标 `arn:aws:logs:us-east-1:123456789012:destination:testDestination`。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Sid" : "",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "111122223333"
      },
      "Action" : "logs:PutSubscriptionFilter",
      "Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
    }
  ]
}
```

------

## 指定策略元素：操作、效果和主体
<a name="actions-effects-principals-cwl"></a>

 对于每个 CloudWatch Logs 资源，该服务都定义了一组 API 操作。为了授予这些 API 操作的权限， CloudWatch 日志定义了一组可以在策略中指定的操作。某些 API 操作可能需要多个操作的权限才能执行 API 操作。有关资源和 API 操作的更多信息，请参阅 [CloudWatch 记录资源和操作](#CWL_ARN_Format) 和 [CloudWatch 日志权限参考](permissions-reference-cwl.md)。

以下是基本的策略元素：
+ **资源** – 您使用 Amazon 资源名称（ARN）来标识策略应用到的资源。有关更多信息，请参阅 [CloudWatch 记录资源和操作](#CWL_ARN_Format)。
+ **操作** – 您可以使用操作关键字标识要允许或拒绝的资源操作。例如，`logs.DescribeLogGroups` 权限允许执行 `DescribeLogGroups` 操作的用户权限。
+ **效果** – 用于指定用户请求特定操作时的效果（可以是允许或拒绝）。如果没有显式授予（允许）对资源的访问权限，则隐式拒绝访问。您也可显式拒绝对资源的访问，这样可确保用户无法访问该资源，即使有其他策略授予了访问权限的情况下也是如此。
+ **主体**：在基于身份的策略（IAM 策略）中，附加了策略的用户是隐式主体。对于基于资源的策略，您可以指定要获得权限的用户、账户、服务或其他实体（仅适用于基于资源的策略）。 CloudWatch 日志支持基于资源的目标策略。

有关 IAM 策略语法和描述的更多信息，请参阅《IAM 用户指南》**中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

有关显示所有 L CloudWatch ogs API 操作及其适用的资源的表格，请参阅[CloudWatch 日志权限参考](permissions-reference-cwl.md)。

## 在策略中指定条件
<a name="policy-conditions-cwl"></a>

当您授予权限时，可使用访问策略语言来指定规定策略何时生效的条件。例如，您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息，请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。

要表示条件，您可以使用预定义的条件键。有关每项 AWS 服务支持的上下文密钥列表以及 AWS全局条件上下文密钥列表，请参阅[AWS 服务的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)以及[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

**注意**  
您可以使用标签来控制对 CloudWatch 日志资源的访问权限，包括日志组和目标。由于日志组和日志流之间存在分层关系，因此在日志组级别控制对日志流的访问。有关使用标签控制访问的更多信息，请参阅[使用标签控制对 Amazon Web Services 资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。