本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 適用於 Amazon CloudWatch Logs 的 Identity and Access Management
存取 Amazon CloudWatch Logs 需要使用 AWS 登入資料來驗證您的請求。這些登入資料必須具有存取 AWS 資源的許可,例如擷取您雲端資源的 CloudWatch Logs 資料。以下章節提供詳細資訊,詳述如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 與 CloudWatch Logs 來控制誰可存取,以協助保護資源的安全:
+ [身分驗證](#authentication-cwl)
+ [存取控制](#access-control-cwl)
## 身分驗證
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
## 存取控制
您可以持有效憑證來驗證請求,但還須具備許可,才能建立或存取 CloudWatch Logs 資源。例如,您必須有建立日誌串流、建立日誌群組等的許可。
以下章節說明如何管理 CloudWatch Logs 的許可。我們建議您先閱讀概觀。
+ [管理 CloudWatch Logs 資源的存取許可概觀](iam-access-control-overview-cwl.md)
+ [對 CloudWatch Logs 使用以身分為基礎的政策 (IAM 政策)](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Logs 許可參考](permissions-reference-cwl.md)
# 管理 CloudWatch Logs 資源的存取許可概觀
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
**Topics**
+ [CloudWatch Logs 資源和操作](#CWL_ARN_Format)
+ [了解資源所有權](#understanding-resource-ownership-cwl)
+ [管理 資源的存取](#managing-access-resources-cwl)
+ [指定政策元素:動作、效果和委託人](#actions-effects-principals-cwl)
+ [在政策中指定條件](#policy-conditions-cwl)
## CloudWatch Logs 資源和操作
在 CloudWatch Logs 中,主資源為日誌群組、日誌串流和目的地。CloudWatch Logs 不支援子資源 (搭配主資源使用的其他資源)。
這些資源和子資源都有獨一無二的 Amazon Resource Name (ARN) 與其相關聯,如下表所示。
| Resource Type (資源類型) | ARN 格式 |
| --- | --- |
| 日誌群組 | 以下兩種方式皆可使用。以 `:*` 結尾的第二種,是由 `describe-log-groups` CLI 命令和 **DescribeLogGroups** API 所傳回的。 arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name* arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name*:\$1 在下列情況下,使用第一個沒有結尾 `:*`的版本: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) 在 IAM 政策中指定所有其他 API 動作的許可時,使用第二個版本搭配結尾 來`:*`參考 ARN。 |
| 日誌串流 | arn:aws:logs:*region*:*account-id*:log-group:*log\$1group\$1name*:log-stream:*log-stream-name* |
| 目標 | arn:aws:logs:*region*:*account-id*:destination:*destination\$1name* |
如需 ARN 的詳細資訊,請參閱《IAM 使用者指南》**中的 [ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)。如需 CloudWatch Logs ARN 的相關資訊,請參閱 *Amazon Web Services 一般參考* 中的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs)。有關 CloudWatch Logs 適用的政策範例,請參閱[對 CloudWatch Logs 使用以身分為基礎的政策 (IAM 政策)](iam-identity-based-access-control-cwl.md)。
CloudWatch Logs 提供一組操作來使用 CloudWatch Logs 資源。如需可用操作的清單,請參閱 [CloudWatch Logs 許可參考](permissions-reference-cwl.md)。
## 了解資源所有權
無論誰建立資源, AWS 帳戶都會擁有在帳戶中建立的資源。具體而言,資源擁有者是驗證資源建立請求的[委託人實體](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) AWS 帳戶 (即根帳戶、使用者或 IAM 角色)。下列範例說明其如何運作:
+ 如果您使用 AWS 帳戶的根帳戶登入資料來建立日誌群組, AWS 您的帳戶即為 CloudWatch Logs 資源的擁有者。
+ 如果您在 AWS 帳戶中建立使用者,並將建立 CloudWatch Logs 資源的許可授予該使用者,則使用者可以建立 CloudWatch Logs 資源。不過,使用者所屬 AWS 的帳戶擁有 CloudWatch Logs 資源。
+ 如果您在 AWS 帳戶中建立具有建立 CloudWatch Logs 資源許可的 IAM 角色,則任何可以擔任該角色的人都可以建立 CloudWatch Logs 資源。該角色所屬 AWS 的帳戶擁有 CloudWatch Logs 資源。
## 管理 資源的存取
*許可政策*描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
**注意**
本節討論如何在 CloudWatch Logs 的環境中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱《IAM 使用者指南》**中的[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需有關 IAM 政策語法和說明的資訊,請參閱《IAM 使用者指南》**中的 [IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策),而連接到資源的政策參考資源類型政策。CloudWatch Logs 支援以身分為基礎的政策,也支援以資源為基礎的政策來管理目的地,以用於啟用跨帳戶訂閱。如需詳細資訊,請參閱[跨帳戶跨區域訂閱](CrossAccountSubscriptions.md)。
**Topics**
+ [日誌群組許可和 Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [資源型政策](#resource-based-policies-cwl)
### 日誌群組許可和 Contributor Insights
Contributor Insights 是 CloudWatch 的一項功能,可讓您分析日誌群組的資料,以及建立時間序列來顯示參與者資料。您可以查看與前 N 個參與者有關的指標、唯一參與者的總數及其用量。如需詳細資訊,請參閱[使用 Contributor Insights 來分析高基數資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html)。
當您將 `cloudwatch:PutInsightRule` 和 `cloudwatch:GetInsightRuleReport` 許可授予使用者時,該使用者就可以建立規則來評估 CloudWatch Logs 中的任何日誌群組,然後查看結果。結果可能包含這些日誌群組的參與者資料。請務必將這些許可只授予允許檢視此資料的使用者。
### 資源型政策
CloudWatch Logs 支援以資源為基礎的政策來管理目的地,可用於啟用跨帳戶訂閱。如需詳細資訊,請參閱[步驟 1:建立目的地](CreateDestination.md)。您可以使用 [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) API 建立目的地,也可以使用 [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) API 將資源政策新增至目的地。以下範例可讓帳戶 ID 為 111122223333 的另一個 AWS 帳戶將日誌群組訂閱到目的地 `arn:aws:logs:us-east-1:123456789012:destination:testDestination`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## 指定政策元素:動作、效果和委託人
對於每項 CloudWatch Logs 資源,該服務定義一組 API 操作。CloudWatch Logs 定義一組您可在政策中指定的動作,以授予這些 API 操作的許可。為了執行 API 操作,某些 API 操作可能需要多個動作的許可。如需資源與 API 操作的詳細資訊,請參閱 [CloudWatch Logs 資源和操作](#CWL_ARN_Format) 與 [CloudWatch Logs 許可參考](permissions-reference-cwl.md).
以下是基本的政策元素:
+ **資源** - 您使用 Amazon Resource Name (ARN) 識別欲套用政策的資源。如需詳細資訊,請參閱[CloudWatch Logs 資源和操作](#CWL_ARN_Format)。
+ **動作**:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,`logs.DescribeLogGroups` 許可允許使用者執行 `DescribeLogGroups` 操作。
+ **效果** – 您可以指定使用者請求特定動作時會有什麼效果 (允許或拒絕)。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ **委託人**:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。CloudWatch Logs 支援以資源為基礎的政策來管理目的地。
如需進一步了解 IAM 政策語法和說明,請參閱《IAM 使用者指南》**中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
如需查看所有 CloudWatch Logs API 動作及其適用資源的表格,請參閱 [CloudWatch Logs 許可參考](permissions-reference-cwl.md)。
## 在政策中指定條件
當您授予許可時,可以使用存取政策語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
欲表示條件,您可以使用預先定義的條件金鑰。如需每個 AWS 服務支援的內容金鑰清單,以及 AWS全政策金鑰清單,請參閱[AWS 服務和全域條件內容金鑰的動作、資源](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)[AWS 和條件金鑰。 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
**注意**
您可以使用標籤來控制對 CloudWatch Logs 資源的存取,包括對日誌群組和目的地的存取。由於日誌群組與日誌串流之間的階層關係,系統會在日誌群組層級控制對日誌串流的存取。如需有關使用標籤來控制存取的詳細資訊,請參閱[使用標籤控制對 Amazon Web Services 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
# 對 CloudWatch Logs 使用以身分為基礎的政策 (IAM 政策)
這個主題提供以身分為基礎的政策範例,在該政策中帳戶管理員可以將許可政策連接至 IAM 身分 (即使用者、群組和角色)。
**重要**
建議您先檢閱介紹主題,其中說明基本槪念與選項,讓您管理對 CloudWatch Logs 資源的存取。如需詳細資訊,請參閱[管理 CloudWatch Logs 資源的存取許可概觀](iam-access-control-overview-cwl.md)。
本主題涵蓋下列項目:
+ [使用 CloudWatch 主控台所需的許可](#console-permissions-cwl)
+ [AWS CloudWatch Logs 的受管 (預先定義) 政策](#managed-policies-cwl)
+ [客戶管理政策範例](#customer-managed-policies-cwl)
以下是許可政策的範例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
此政策有一個陳述式,將授予許可來建立日誌群組和日誌串流,以便將日誌事件上傳至日誌串流,以及列出日誌串流的詳細資訊。
`Resource` 值結尾的萬用字元 (\$1) 表示該陳述式允許對任何日誌群組執行 `logs:CreateLogGroup`、`logs:CreateLogStream`、`logs:PutLogEvents` 及 `logs:DescribeLogStreams` 動作的許可。若要限制此許可只提供給特定日誌群組,請將資源 ARN 中的萬用字元 (\$1) 更換為特定日誌群組 ARN。如需 IAM 政策陳述式中各區段的詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html)。如需所有 CloudWatch Logs 動作的清單,請參閱 [CloudWatch Logs 許可參考](permissions-reference-cwl.md)。
## 使用 CloudWatch 主控台所需的許可
若要讓使用者在 CloudWatch 主控台中使用 CloudWatch Logs,該使用者必須擁有一組最低許可,允許使用者描述其 AWS 帳戶中的其他 AWS 資源。為了在 CloudWatch 主控台使用 CloudWatch Logs,您必須有以下服務的許可:
+ CloudWatch
+ CloudWatch Logs
+ OpenSearch Service
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
如果您建立比最基本必要許可更嚴格的 IAM 政策,則對於採取該 IAM 政策的使用者而言,主控台就無法如預期運作。為確保這些使用者仍可使用 CloudWatch 主控台,也請將 `CloudWatchReadOnlyAccess` 受管政策連接至使用者,如[AWS CloudWatch Logs 的受管 (預先定義) 政策](#managed-policies-cwl)所述。
對於僅呼叫 AWS CLI 或 CloudWatch Logs API 的使用者,您不需要允許最低主控台許可。
對於不使用主控台來管理日誌訂閱的使用者,使用 CloudWatch 主控台所需的整套許可如下:
+ cloudwatch:GetMetricData
+ cloudwatch:ListMetrics
+ logs:CancelExportTask
+ logs:CreateExportTask
+ logs:CreateLogGroup
+ logs:CreateLogStream
+ logs:DeleteLogGroup
+ logs:DeleteLogStream
+ logs:DeleteMetricFilter
+ logs:DeleteQueryDefinition
+ logs:DeleteRetentionPolicy
+ logs:DeleteSubscriptionFilter
+ logs:DescribeExportTasks
+ logs:DescribeLogGroups
+ logs:DescribeLogStreams
+ logs:DescribeMetricFilters
+ logs:DescribeQueryDefinitions
+ logs:DescribeQueries
+ logs:DescribeSubscriptionFilters
+ logs:FilterLogEvents
+ logs:GetLogEvents
+ logs:GetLogGroupFields
+ logs:GetLogRecord
+ logs:GetQueryResults
+ logs:PutMetricFilter
+ logs:PutQueryDefinition
+ logs:PutRetentionPolicy
+ logs:StartQuery
+ logs:StopQuery
+ logs:PutSubscriptionFilter
+ logs:TestMetricFilter
對於也將使用主控台來管理日誌訂閱的使用者而言,也需要以下許可:
+ es:DescribeElasticsearchDomain
+ es:ListDomainNames
+ iam:AttachRolePolicy
+ iam:CreateRole
+ iam:GetPolicy
+ iam:GetPolicyVersion
+ iam:GetRole
+ iam:ListAttachedRolePolicies
+ iam:ListRoles
+ kinesis:DescribeStreams
+ kinesis:ListStreams
+ lambda:AddPermission
+ lambda:CreateFunction
+ lambda:GetFunctionConfiguration
+ lambda:ListAliases
+ lambda:ListFunctions
+ lambda:ListVersionsByFunction
+ lambda:RemovePermission
+ s3:ListBuckets
## AWS CloudWatch Logs 的受管 (預先定義) 政策
AWS 透過提供由 建立和管理的獨立 IAM 政策,解決許多常見的使用案例 AWS。受管政策授與常見使用案例中必要的許可,讓您免於查詢需要哪些許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
下列 AWS 受管政策是 CloudWatch Logs 特有的,您可以連接到帳戶中的使用者和角色:
+ **CloudWatchLogsFullAccess** – 授予對 CloudWatch Logs 的完整存取。
+ **CloudWatchLogsReadOnlyAccess** – 授予對 CloudWatch Logs 的唯讀存取。
### CloudWatchLogsFullAccess
**CloudWatchLogsFullAccess** 政策會授予對 CloudWatch Logs 的完整存取權。此政策包含 `cloudwatch:GenerateQuery`和 `cloudwatch:GenerateQueryResultsSummary`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Logs Insights ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)查詢字串。若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)。
### CloudWatchLogsReadOnlyAccess
**CloudWatchLogsReadOnlyAccess** 政策會授予對 CloudWatch Logs 的唯讀存取權。它包含 `cloudwatch:GenerateQuery`和 `cloudwatch:GenerateQueryResultsSummary`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Logs Insights ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)查詢字串。若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)。
### CloudWatchOpenSearchDashboardsFullAccess
**CloudWatchOpenSearchDashboardsFullAccess** 政策授予許可,以建立、管理和刪除與 OpenSearch Service 的整合,以及在這些整合中建立刪除和管理自動產生的日誌儀表板。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 進行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。
若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)。
### CloudWatchOpenSearchDashboardAccess
**CloudWatchOpenSearchDashboardAccess** 政策授予檢視使用 Amazon OpenSearch Service 分析建立之已結束日誌儀表板的存取權。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 進行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。
**重要**
除了授予此政策之外,若要讓角色或使用者能夠檢視付費日誌儀表板,您還必須在建立與 OpenSearch Service 的整合時指定它們。如需詳細資訊,請參閱[步驟 1:建立與 OpenSearch Service 的整合](OpenSearch-Dashboards-Integrate.md)。
若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)。
#### CloudWatchLogsCrossAccountSharingConfiguration
**CloudWatchLogsCrossAccountSharingConfiguration** 政策授予可建立、管理和檢視 Observability Access Manager 連結的存取權,以便在帳戶之間共用 CloudWatch Logs 資源。如需詳細資訊,請參閱 [CloudWatch 跨帳戶觀察功能](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。
若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)。
#### CloudWatchLogsAPIKeyAccess
**CloudWatchLogsAPIKeyAccess** 政策會啟用 CloudWatch Logs API 金鑰身分驗證和加密日誌擷取。此政策授予許可,以使用承載權杖進行身分驗證,並將日誌事件寫入 CloudWatch Logs,並在日誌加密時提供其他解密和產生資料金鑰的 AWS KMS 許可。
此政策可授予下列許可:
+ `logs` – 允許主體透過 API 金鑰承載字符進行驗證,並將日誌事件寫入 CloudWatch Logs 串流。
+ `kms` – 允許主體讀取 AWS KMS 金鑰中繼資料、產生用於加密的資料金鑰,以及解密資料。這些許可允許服務使用客戶受管 AWS KMS 金鑰加密日誌資料,以支援加密的 CloudWatch Logs。存取僅限於透過 CloudWatch Logs 服務呼叫的操作。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html)。
### AWS 受管政策的 CloudWatch Logs 更新
檢視自此服務開始追蹤這些變更以來CloudWatch Logs AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch Logs 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccess](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) – 新政策。 | CloudWatch Logs 新增了新的受管政策 **CloudWatchLogsAPIKeyAccess**。 此政策會啟用 CloudWatch Logs API 金鑰身分驗證和加密日誌擷取,授予使用承載字符進行身分驗證的許可,並將日誌事件寫入 CloudWatch Logs。 | 2026 年 2 月 17 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsFullAccess**。 新增可觀測性管理動作的許可,以允許唯讀存取遙測管道和 S3 資料表整合。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。 新增可觀測性管理動作的許可,以允許唯讀存取遙測管道和 S3 資料表整合。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsFullAccess**。 `cloudwatch:GenerateQueryResultsSummary` 已新增 的許可,以允許產生查詢結果的自然語言摘要。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。 `cloudwatch:GenerateQueryResultsSummary` 已新增 的許可,以允許產生查詢結果的自然語言摘要。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsFullAccess**。 已新增 Amazon OpenSearch Service 和 IAM 的許可,以針對某些功能啟用 CloudWatch Logs 與 OpenSearch Service 的整合。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess) – 新的 IAM 政策。 | CloudWatch Logs 新增了新的 IAM 政策 **CloudWatchOpenSearchDashboardsFullAccess**。- 此政策授予建立、管理和刪除與 OpenSearch Service 整合的存取權,以及建立、管理和刪除這些整合中已結束的日誌儀表板。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 進行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) – 新的 IAM 政策。 | CloudWatch Logs 新增了新的 IAM 政策 **CloudWatchOpenSearchDashboardAccess**。- 此政策授予檢視由 提供之付費日誌儀表板的存取權 Amazon OpenSearch Service。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 進行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。 | 2024 年 12 月 1 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsFullAccess**。 已新增 `cloudwatch:GenerateQuery`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Logs Insights ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)查詢字串。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新至現有政策。 | CloudWatch 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。 已新增 `cloudwatch:GenerateQuery`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Logs Insights ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)查詢字串。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新為現有政策 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。 已新增 `logs:StartLiveTail` 和 `logs:StopLiveTail` 許可,以便具有此政策的使用者可以使用主控台啟動和停止 CloudWatch Logs Live Tail 工作階段。如需詳細資訊,請參閱[使用 Live Tail 以近乎即時的方式檢視日誌](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)。 | 2023 年 6 月 6 日 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – 新政策 | CloudWatch Logs 新增了一項新政策,讓您能管理共用 CloudWatch Logs 日誌群組的 CloudWatch 跨帳戶觀察功能連結。 如需詳細資訊,請參閱 [CloudWatch 跨帳戶觀察功能](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。 | 2022 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新為現有政策 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。 新增 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。 | 2022 年 11 月 27 日 |
### 客戶管理政策範例
您可以建立自己的自訂 IAM 政策,以允許 CloudWatch Logs 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的使用者或群組。
在本節中,您可以找到使用者政策範例,以了解授予各種 CloudWatch Logs 動作的許可。當您使用 CloudWatch Logs API、 AWS 開發套件或 AWS CLI時,這些政策會起作用。
**Topics**
+ [範例 1:允許完整存取 CloudWatch Logs](#w2aac59c15c15c23c19b9)
+ [範例 2:允許唯讀存取 CloudWatch Logs](#w2aac59c15c15c23c19c11)
+ [範例 3:允許存取一個日誌群組](#w2aac59c15c15c23c19c13)
#### 範例 1:允許完整存取 CloudWatch Logs
以下政策允許使用者存取所有 CloudWatch Logs 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 範例 2:允許唯讀存取 CloudWatch Logs
AWS 提供 **CloudWatchLogsReadOnlyAccess** 政策,可啟用 CloudWatch Logs 資料的唯讀存取。此政策包含以下許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 範例 3:允許存取一個日誌群組
以下政策允許使用者在一個指定的日誌群組中讀取和寫入日誌事件。
**重要**
在 `Resource` 行中,需要日誌群組名稱末尾的 `:*` 來表示該政策適用於此日誌群組中的所有日誌串流。如果省略 `:*`,將不會強制執行此政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### 使用標記和 IAM 政策在日誌群組層級進行控制
您可以授與使用者存取特定日誌群組,同時防止他們存取其他日誌群組。若要這樣做,請標記日誌群組,並使用 IAM 政策來參考這些標籤。若要將標籤套用至日誌群組,您必須擁有 `logs:TagResource` 或 `logs:TagLogGroup` 許可。無論您是在建立日誌群組時將標籤指派給日誌群組,或稍後將標籤指派給日誌群組,此許可要求均適用。
如需有關標籤日誌群組的詳細資訊,請參閱 [在 Amazon CloudWatch Logs 中標記日誌群組](Working-with-log-groups-and-streams.md#log-group-tagging)。
當您標記日誌群組時,您就可以授予 IAM 政策給使用者,以只允許存取包含特定標籤的日誌群組。例如,以下政策陳述式只會授予標籤鍵 `Team` 值為 `Green` 日誌群組的存取。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
**StopQuery** 和 **StopLiveTail** API 操作在傳統意義上不會與 AWS 資源互動。其不會傳回任何資料,放置任何資料,或以任何方式修改資源。而只是針對指定的 Live Tail 工作階段或指定的 CloudWatch Logs Insights 查詢進行操作,這些並未歸類為資源。因此,當您在 IAM 政策中針對這些操作指定 `Resource` 欄位時,必須將 `Resource` 欄位的值設定為 `*`,如下列範例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
如需有關使用 IAM 政策陳述式的詳細資訊,請參閱《IAM 使用者指南》**中的[使用政策控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)。
# CloudWatch Logs 許可參考
當您在設定 [存取控制](auth-and-access-control-cwl.md#access-control-cwl) 並撰寫可連接到 IAM 身分 (以身分為基礎的政策) 的許可政策時,可以使用下列資料表作為參考。下表列出每個 CloudWatch Logs API 操作和您可以授予許可執行的相對應動作。您可以在政策的 `Action` 欄位中指定動作。針對 `Resource` 欄位,您可以指定日誌群組或日誌串流的 ARN,或是指定 `*` 來代表所有 CloudWatch Logs 資源。
您可以在 CloudWatch Logs 政策中使用 AWS整體條件金鑰來表達條件。如需 AWS全系列金鑰的完整清單,請參閱《[AWS IAM 使用者指南》中的全域和 IAM 條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 **
**注意**
若要指定動作,請使用 `logs:` 前綴,後面接著 API 操作名稱。例如:。`logs:CreateLogGroup`、`logs:CreateLogStream` 或 `logs:*` (適用於所有 CloudWatch Logs 動作)。
**CloudWatch Logs API 操作及動作所需的許可**
| CloudWatch Logs API 操作 | 所需許可 (API 動作) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` 取消待處理或執行匯出任務時為必要。 |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` 從日誌群組將資料匯出至 Simple Storage Service (Amazon S3) 儲存貯體時為必要。 |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` 建立新日誌群組時為必要。 |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` 在日誌群組中建立新日誌串流時為必要。 |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` 刪除日誌目的地及停用其任何訂閱篩選條件時為必要。 |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` 刪除日誌群組及任何相關的存檔日誌事件時為必要。 |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` 刪除日誌串流及任何相關的存檔日誌事件時為必要。 |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` 刪除與日誌群組相關聯的指標篩選條件時為必要。 |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` 刪除 CloudWatch Logs Insights 中儲存的查詢定義時為必要。 |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` 刪除 CloudWatch Logs 資源政策時為必要。 |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` 刪除日誌群組的保留政策時為必要。 |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` 刪除與日誌群組相關聯的訂閱篩選條件時為必要。 |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` 檢視與帳戶相關的所有目的地時為必要。 |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` 檢視與帳戶相關的所有匯出任務時為必要。 |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` 檢視與帳戶相關的所有日誌群組時為必要。 |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` 檢視與日誌群組相關的所有日誌串流時為必要。 |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` 檢視與日誌群組相關的所有指標時為必要。 |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` 查看 CloudWatch Logs Insights 中儲存的查詢定義清單時為必要。 |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` 查看已排程、正在執行或最近已執行的 CloudWatch Logs Insights 查詢清單時為必要。 |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` 檢視 CloudWatch Logs 資源政策清單時為必要。 |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` 檢視與日誌群組相關聯的所有訂閱篩選條件時為必要。 |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` 依據日誌群組篩選條件模式排序日誌事件時為必要。 |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` 從日誌串流擷取日誌事件時為必要。 |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` 擷取日誌群組內日誌事件中包含的欄位清單時為必要。 |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` 從單一日誌事件擷取詳細資訊時為必要。 |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` 擷取透過 PutOpenTelemetryLogs API 擷取的大量日誌事件內容時需要。 |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` 擷取 CloudWatch Logs Insights 查詢的結果時為必要。 |
| ListEntitiesForLogGroup (僅限 CloudWatch 主控台的許可) | `logs:ListEntitiesForLogGroup` 尋找與日誌群組相關聯的實體時需要。在 CloudWatch 主控台中探索相關日誌時需要。 |
| ListLogGroupsForEntity (僅限 CloudWatch 主控台的許可) | `logs:ListLogGroupsForEntity` 尋找與實體相關聯的日誌群組時需要。在 CloudWatch 主控台中探索相關日誌時需要。 |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` 列出與日誌群組相關的標籤時為必要。 |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` 檢視與帳戶相關的所有日誌群組時為必要。 |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` 需要建立或更新目的地日誌串流 (例如 Kinesis 串流) 時為必要。 |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` 建立或更新與現有日誌目的地相關的存取政策時為必要。 |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` 將日誌事件批次上傳至日誌串流時為必要。 |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` 建立或更新指標篩選條件並將其與日誌群組建立關聯時為必要。 |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` 在 CloudWatch Logs Insights 中儲存查詢時需要,包括具有參數的已儲存查詢。 |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` 建立 CloudWatch Logs 資源政策時為必要。 |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` 設定將日誌事件保持 (保留) 在日誌群組中的天數時為必要。 |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` 建立或更新訂閱篩選條件並將其與日誌群組建立關聯時為必要。 |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` 開始 CloudWatch Logs Insights 查詢時為必要。若要使用參數執行已儲存的查詢,您也需要 `logs:DescribeQueryDefinitions`。 |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` 停止進行中的 CloudWatch Logs Insights 查詢時為必要。 |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` 新增或更新日誌群組標籤時為必要。 |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` 針對日誌事件訊息的取樣來測試篩選條件模式時為必要。 |
# 對 CloudWatch Logs 使用服務連結角色
Amazon CloudWatch Logs 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服務連結角色是一種獨特的 IAM 角色,直接連結至 CloudWatch Logs。服務連結角色由 CloudWatch Logs 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可以更有效率設定 CloudWatch Logs,因為您不需要手動新增必要的許可。CloudWatch Logs 定義其服務連結角色的許可,除非另有定義,否則只有 CloudWatch Logs 可以擔任這些角色。已定義的許可包括信任政策和許可政策。該許可政策無法連接至其他任何 IAM 實體。
關於支援服務連結角色的其他服務,如需相關資訊,請參閱[與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。尋找**服務連結角色**欄中顯示 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## CloudWatch Logs 的服務連結角色許可
CloudWatch Logs 使用名為 **AWSServiceRoleForLogDelivery** 的服務連結角色。CloudWatch Logs 使用此服務連結角色將日誌直接寫入 Firehose。如需詳細資訊,請參閱[從 AWS 服務啟用記錄](AWS-logs-and-resource-policy.md)。
**AWSServiceRoleForLogDelivery** 服務連結角色信任下列服務擔任角色:
+ `logs.amazonaws.com`
角色許可政策允許 CloudWatch Logs 對指定的資源完成下列動作:
+ 動作: `firehose:PutRecord` 和 在所有 Firehose 串流`firehose:PutRecordBatch`上,其標籤的`LogDeliveryEnabled`索引鍵值為 `True`。當您建立訂閱以將日誌交付至 Firehose 時,此標籤會自動附加至 Firehose 串流。
您必須設定許可來允許 IAM 實體建立、編輯或刪除服務連結角色。此實體可以是使用者、群組或角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 CloudWatch Logs 的服務連結角色
您不需要手動建立服務連結角色。當您設定要直接傳送到 AWS 管理主控台、 AWS CLI或 AWS API 中 Firehose 串流的日誌時,CloudWatch Logs 會為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您再次設定日誌以直接傳送到 Firehose 串流時,CloudWatch Logs 會再次為您建立服務連結角色。
## 編輯 CloudWatch Logs 的服務連結角色
當您建立 **AWSServiceRoleForLogDelivery** 或其他任何服務連結角色後,CloudWatch Logs 就不允許您編輯角色。因為各種實體可能會參考角色,所以您無法變更角色的名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 CloudWatch Logs 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
當您嘗試刪除資源時,如果 CloudWatch Logs 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除由 **AWSServiceRoleForLogDelivery** 服務連結角色所使用的 CloudWatch Logs 資源**
+ 停止將日誌直接傳送至 Firehose 串流。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除**AWSServiceRoleForLogDelivery**服務連結角色。如需詳細資訊,請參閱[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
### CloudWatch Logs 服務連結角色支援的區域
CloudWatch Logs 支援在提供服務的所有 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 [CloudWatch Logs 區域和端點](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region)。
# CloudWatch Logs 更新 AWS 服務連結角色
檢視自 CloudWatch Logs 開始追蹤這些變更以來 AWS ,服務連結角色的更新詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch Logs 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSServiceRoleForLogDelivery 服務連結角色政策](AWS-logs-infrastructure-Firehose.md) — 更新現有政策 | CloudWatch Logs 已變更 IAM 政策中與 **AWSServiceRoleForLogDelivery** 服務連結角色相關聯的許可。變更如下: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 2021 年 7 月 15 日 |
| CloudWatch Logs 開始追蹤變更 | CloudWatch Logs 開始追蹤其 AWS 受管政策的變更。 | 2021 年 6 月 10 日 |