本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 适用于亚马逊 IAM 的政策 CloudWatch 使用以下示例创建用于向 CloudWatch群组发送事件的策略。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*" ] } ] } ``` ------ 有关 IAM 策略的更多信息,请参阅《IAM 用户指南》中的 ** [IAM 中的策略与权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。 以下示例语句使用可选但推荐的`SourceAccount`和`SourceArn`条件来检查是否只有 AWS 最终用户消息 SMS 所有者帐户才有权访问配置集。在此示例中,*accountId*用您的 AWS 账户 ID、*region*配置集的 AWS 区域 *ConfigSetName*名称和名称替换。 创建策略之后,创建一个新的 IAM 角色,然后将策略附加给该角色。创建角色时,还要向其添加以下信任策略: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sms-voice.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:sms-voice:us-east-1:111122223333:configuration-set/ConfigSetName" } } } } ``` ------ 有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》**中的[创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。