本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 教程:添加 CloudWatch 日志 IAM 策略 在您的任务可以向日志发送日志数据和详细指标之前,您必须创建使用 CloudWatch 日志的 IAM 策略 APIs。 CloudWatch 创建 IAM policy 后,将其附加到`ecsInstanceRole`角色。 **注意** 如果该`ECS-CloudWatchLogs`策略未附加到该`ecsInstanceRole`角色,则仍可以将基本指标发送到 CloudWatch Logs。但是,基本指标不包括日志数据或详细指标,例如可用磁盘空间。 AWS Batch 计算环境使用 Amazon EC2 资源。使用 AWS Batch 首次运行向导创建计算环境时, AWS Batch 会创建`ecsInstanceRole`角色并使用该角色配置环境。 如果您未使用首次运行向导,则可以在 AWS Command Line Interface 或 AWS Batch API 中创建计算环境时指定`ecsInstanceRole`角色。有关更多信息,请参阅[AWS CLI 命令参考](https://docs.aws.amazon.com/cli/latest/reference/)或 [AWS Batch API 参考](https://docs.aws.amazon.com/batch/latest/APIReference/API_CreateComputeEnvironment.html)。 **创建`ECS-CloudWatchLogs` IAM policy** 1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。 1. 在导航窗格中,选择**策略**。 1. 选择**创建策略**。 1. 选择 **JSON**,然后输入以下策略: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] } ``` ------ 1. 选择**下一步:标签**。 1. (可选)对于**添加标签**,选择**添加标签**以向策略添加标签。 1. 选择**下一步:查看**。 1. 在**查看策略**页面上,对于**名称**,输入**ECS-CloudWatchLogs**;然后输入可选的**描述**。 1. 选择**创建策略**。 **将`ECS-CloudWatchLogs`策略附加到`ecsInstanceRole`** 1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。 1. 在导航窗格中,选择**角色**。 1. 选择`ecsInstanceRole`。如果角色不存在,请按照[Amazon ECS 实例角色](instance_IAM_role.md)中的程序来创建角色。 1. 选择**添加权限**,然后选择**附加策略**。 1. 选择 **ECS CloudWatchLogs** 策略,然后选择**附加策略**。