本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
傳送至 CloudWatch Logs 的日誌
重要
當您將下列清單中的日誌類型設定為傳送至 CloudWatch Logs 時, AWS 會視需要為接收日誌的日誌群組建立或變更相關聯的資源政策。繼續閱讀本節以查看詳細資訊。
本節適用於將上一節表中列出的日誌類型,傳送至 CloudWatch Logs 的情況:
使用者許可
您必須以具有下列許可的帳戶登入,才能第一次設定將任何這些類型的日誌傳送到 CloudWatch Logs。
-
logs:CreateLogDelivery -
logs:PutResourcePolicy -
logs:DescribeResourcePolicies -
logs:DescribeLogGroups注意
當您指定
logs:DescribeLogGroups、logs:DescribeResourcePolicies或logs:PutResourcePolicy許可時,請務必將其Resource行的 ARN 設定為使用*萬用字元,而不是只指定單一日誌群組名稱。例如"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"
如果任何這些類型的日誌已傳送到 CloudWatch Logs 中的某個日誌群組,則若要設定將另一種類型的日誌傳送到同一個日誌群組,您只需要 logs:CreateLogDelivery 許可。
日誌群組和資源政策
日誌送往的日誌群組必須具有包含特定許可的資源政策。如果日誌群組目前沒有資源政策,且設定記錄的使用者具有日誌群組的 logs:PutResourcePolicy、logs:DescribeResourcePolicies 及logs:DescribeLogGroups 許可,則當您開始將日誌傳送至 CloudWatch Logs 時, AWS
會自動建立下列政策。對於新建立的訂閱,資源政策是在日誌群組層級設定,大小上限為 51,200 個位元組。如果現有的帳戶層級資源政策已透過萬用字元授予許可,則不會建立單獨的日誌群組層級政策。若要檢查特定日誌群組的 logGroup 層級資源政策,請使用 describe-resource-policies命令,並將 --resource-arn 參數設定為日誌群組 ARN,並將 --policy-scope 參數設定為 RESOURCE。
日誌群組的資源政策限制為 51,200 個位元組。一旦達到此限制,AWS 就無法新增新許可。這需要客戶手動修改政策,以授予 logs:CreateLogStream和 logs:PutLogEvents動作delivery.logs.amazonaws.com的服務主體許可。客戶應該將日誌群組名稱字首與萬用字元搭配使用,例如 ,/aws/vendedlogs/*並將此日誌群組名稱用於未來的交付建立。
