本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對 CloudWatch Logs 使用以身分為基礎的政策 (IAM 政策)
這個主題提供以身分為基礎的政策範例,在該政策中帳戶管理員可以將許可政策連接至 IAM 身分 (即使用者、群組和角色)。
**重要**
建議您先檢閱介紹主題,其中說明基本槪念與選項,讓您管理對 CloudWatch Logs 資源的存取。如需詳細資訊,請參閱[管理 CloudWatch Logs 資源的存取許可概觀](iam-access-control-overview-cwl.md)。
本主題涵蓋下列項目:
+ [使用 CloudWatch 主控台所需的許可](#console-permissions-cwl)
+ [AWS CloudWatch Logs 的 受管 (預先定義) 政策](#managed-policies-cwl)
+ [客戶管理政策範例](#customer-managed-policies-cwl)
以下是許可政策的範例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
此政策有一個陳述式,將授予許可來建立日誌群組和日誌串流,以便將日誌事件上傳至日誌串流,以及列出日誌串流的詳細資訊。
`Resource` 值中的萬用字元 (\*) 會授予任何 CloudWatch Logs 資源上所列動作的許可。
+ **若要限制特定日誌群組動作 (例如 、) 的許可**,請將萬用字元取代為日誌群組 ARN— `CreateLogGroup` `DescribeLogStreams``arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}`
+ **若要限制特定日誌串流動作 (例如 、) 的許可**,請將萬用字元取代為日誌串流 ARN—`arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}:*` (符合所有串流) 或 `arn:aws:logs:{{us-west-2}}:{{123456789012}}:log-group:{{MyLogGroup}}:log-stream:{{MyStream}}`(特定串流) `CreateLogStream` `PutLogEvents`
請參閱每個 API 所需資源類型的[服務授權參考](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html)。
## 使用 CloudWatch 主控台所需的許可
若要讓使用者在 CloudWatch 主控台中使用 CloudWatch Logs,該使用者必須擁有一組最低許可,允許使用者描述其 AWS 帳戶中的其他 AWS 資源。為了在 CloudWatch 主控台使用 CloudWatch Logs,您必須有以下服務的許可:
+ CloudWatch
+ CloudWatch Logs
+ OpenSearch Service
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
如果您建立比最基本必要許可更嚴格的 IAM 政策,則對於採取該 IAM 政策的使用者而言,主控台就無法如預期運作。為確保這些使用者仍可使用 CloudWatch 主控台,也請將 `CloudWatchReadOnlyAccess` 受管政策連接至使用者,如[AWS CloudWatch Logs 的 受管 (預先定義) 政策](#managed-policies-cwl)所述。
對於僅呼叫 AWS CLI 或 CloudWatch Logs API 的使用者,您不需要允許最低主控台許可。
對於不使用主控台來管理日誌訂閱的使用者,使用 CloudWatch 主控台所需的整套許可如下:
+ cloudwatch:GetMetricData
+ cloudwatch:ListMetrics
+ logs:CancelExportTask
+ logs:CreateExportTask
+ logs:CreateLogGroup
+ logs:CreateLogStream
+ logs:DeleteLogGroup
+ logs:DeleteLogStream
+ logs:DeleteMetricFilter
+ logs:DeleteQueryDefinition
+ logs:DeleteRetentionPolicy
+ logs:DeleteSubscriptionFilter
+ logs:DescribeExportTasks
+ logs:DescribeLogGroups
+ logs:DescribeLogStreams
+ logs:DescribeMetricFilters
+ logs:DescribeQueryDefinitions
+ logs:DescribeQueries
+ logs:DescribeSubscriptionFilters
+ logs:FilterLogEvents
+ logs:GetLogEvents
+ logs:GetLogGroupFields
+ logs:GetLogRecord
+ logs:GetQueryResults
+ logs:PutMetricFilter
+ logs:PutQueryDefinition
+ logs:PutRetentionPolicy
+ logs:StartQuery
+ logs:StopQuery
+ logs:PutSubscriptionFilter
+ logs:TestMetricFilter
對於也將使用主控台來管理日誌訂閱的使用者而言,也需要以下許可:
+ es:DescribeElasticsearchDomain
+ es:ListDomainNames
+ iam:AttachRolePolicy
+ iam:CreateRole
+ iam:GetPolicy
+ iam:GetPolicyVersion
+ iam:GetRole
+ iam:ListAttachedRolePolicies
+ iam:ListRoles
+ kinesis:DescribeStreams
+ kinesis:ListStreams
+ lambda:AddPermission
+ lambda:CreateFunction
+ lambda:GetFunctionConfiguration
+ lambda:ListAliases
+ lambda:ListFunctions
+ lambda:ListVersionsByFunction
+ lambda:RemovePermission
+ s3:ListBuckets
## AWS CloudWatch Logs 的 受管 (預先定義) 政策
AWS 提供由 建立和管理的獨立 IAM 政策,以解決許多常見的使用案例 AWS。受管政策授與常見使用案例中必要的許可,讓您免於查詢需要哪些許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
下列 AWS 受管政策是 CloudWatch Logs 特有的,您可以連接到帳戶中的使用者和角色:
+ **CloudWatchLogsFullAccess** – 授予對 CloudWatch Logs 的完整存取。
+ **CloudWatchLogsReadOnlyAccess** – 授予對 CloudWatch Logs 的唯讀存取。
### CloudWatchLogsFullAccess
**CloudWatchLogsFullAccess** 政策會授予對 CloudWatch Logs 的完整存取權。此政策包含 `cloudwatch:GenerateQuery`和 `cloudwatch:GenerateQueryResultsSummary`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Logs Insights ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)查詢字串。若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)。
### CloudWatchLogsReadOnlyAccess
**CloudWatchLogsReadOnlyAccess** 政策會授予對 CloudWatch Logs 的唯讀存取權。它包含 `cloudwatch:GenerateQuery`和 `cloudwatch:GenerateQueryResultsSummary`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Logs Insights ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)查詢字串。若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)。
### CloudWatchOpenSearchDashboardsFullAccess
**CloudWatchOpenSearchDashboardsFullAccess** 政策授予許可,以建立、管理和刪除與 OpenSearch Service 的整合,以及在這些整合中建立刪除和管理自動產生的日誌儀表板。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 進行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。
若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)。
### CloudWatchOpenSearchDashboardAccess
**CloudWatchOpenSearchDashboardAccess** 政策授予檢視使用 Amazon OpenSearch Service 分析建立之已結束日誌儀表板的存取權。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 進行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。
**重要**
除了授予此政策之外,若要讓角色或使用者能夠檢視付費日誌儀表板,您還必須在建立與 OpenSearch Service 的整合時指定它們。如需詳細資訊,請參閱[步驟 1:建立與 OpenSearch Service 的整合](OpenSearch-Dashboards-Integrate.md)。
若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)。
#### CloudWatchLogsCrossAccountSharingConfiguration
**CloudWatchLogsCrossAccountSharingConfiguration** 政策授予可建立、管理和檢視 Observability Access Manager 連結的存取權,以便在帳戶之間共用 CloudWatch Logs 資源。如需詳細資訊,請參閱 [CloudWatch 跨帳戶觀察功能](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。
若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)。
#### CloudWatchLogsAPIKeyAccess
**CloudWatchLogsAPIKeyAccess** 政策會啟用 CloudWatch Logs API 金鑰身分驗證和加密日誌擷取。此政策授予許可,以使用承載權杖進行身分驗證,並將日誌事件寫入 CloudWatch Logs,並在日誌加密時具有解密和產生資料金鑰的額外 AWS KMS 許可。
此政策可授予下列許可:
+ `logs` – 允許主體透過 API 金鑰承載字符進行驗證,並將日誌事件寫入 CloudWatch Logs 串流。
+ `kms` – 允許主體讀取 AWS KMS 金鑰中繼資料、產生用於加密的資料金鑰,以及解密資料。這些許可允許服務使用客戶受管 AWS KMS 金鑰加密日誌資料,以支援加密的 CloudWatch Logs。存取僅限於透過 CloudWatch Logs 服務呼叫的操作。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 *AWS 受管政策參考指南*》中的 [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html)。
### AWS 受管政策的 CloudWatch Logs 更新
檢視自此服務開始追蹤這些變更以來CloudWatch Logs AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch Logs 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAccess](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) – 新政策。 | CloudWatch Logs 新增了新的受管政策 **CloudWatchLogsAPIKeyAccess**。
此政策會啟用 CloudWatch Logs API 金鑰身分驗證和加密日誌擷取,授予使用承載字符進行身分驗證的許可,並將日誌事件寫入 CloudWatch Logs。 | 2026 年 2 月 17 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsFullAccess**。
新增可觀測性管理動作的許可,以允許唯讀存取遙測管道和 S3 資料表整合。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。
新增可觀測性管理動作的許可,以允許唯讀存取遙測管道和 S3 資料表整合。 | 2025 年 12 月 2 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsFullAccess**。
`cloudwatch:GenerateQueryResultsSummary` 已新增 的許可,以允許產生查詢結果的自然語言摘要。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。
`cloudwatch:GenerateQueryResultsSummary` 已新增 的許可,以允許產生查詢結果的自然語言摘要。 | 2025 年 5 月 20 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsFullAccess**。
已新增 Amazon OpenSearch Service 和 IAM 的許可,以針對某些功能啟用 CloudWatch Logs 與 OpenSearch Service 的整合。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess) – 新的 IAM 政策。 | CloudWatch Logs 新增了新的 IAM 政策 **CloudWatchOpenSearchDashboardsFullAccess**。- 此政策授予建立、管理和刪除與 OpenSearch Service 整合的存取權,以及建立、管理和刪除這些整合中已結束的日誌儀表板。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 進行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。 | 2024 年 12 月 1 日 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) – 新的 IAM 政策。 | CloudWatch Logs 新增了新的 IAM 政策 **CloudWatchOpenSearchDashboardAccess**。- 此政策會授予檢視由 提供之付費日誌儀表板的存取權 Amazon OpenSearch Service。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 進行分析](CloudWatchLogs-OpenSearch-Dashboards.md)。 | 2024 年 12 月 1 日 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess) – 更新至現有政策。 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsFullAccess**。
已新增 `cloudwatch:GenerateQuery`許可,因此具有此政策的使用者可以從自然語言提示產生 [CloudWatch Logs Insights ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)查詢字串。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新至現有政策。 | CloudWatch 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。
已新增 `cloudwatch:GenerateQuery`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Logs Insights ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)查詢字串。 | 2023 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新為現有政策 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。
已新增 `logs:StartLiveTail` 和 `logs:StopLiveTail` 許可,以便具有此政策的使用者可以使用主控台啟動和停止 CloudWatch Logs Live Tail 工作階段。如需詳細資訊,請參閱[使用 Live Tail 以近乎即時的方式檢視日誌](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)。 | 2023 年 6 月 6 日 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – 新政策 | CloudWatch Logs 新增了一項新政策,讓您能管理共用 CloudWatch Logs 日誌群組的 CloudWatch 跨帳戶觀察功能連結。
如需詳細資訊,請參閱 [CloudWatch 跨帳戶觀察功能](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。 | 2022 年 11 月 27 日 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – 更新為現有政策 | CloudWatch Logs 已將許可新增至 **CloudWatchLogsReadOnlyAccess**。
新增 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。 | 2022 年 11 月 27 日 |
### 客戶管理政策範例
您可以建立自己的自訂 IAM 政策,以允許 CloudWatch Logs 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的使用者或群組。
在本節中,您可以找到使用者政策範例,以了解授予各種 CloudWatch Logs 動作的許可。當您使用 CloudWatch Logs API、 AWS 開發套件或 AWS CLI時,這些政策會起作用。
**Topics**
+ [範例 1:允許完整存取 CloudWatch Logs](#w2aac61c15c15c27c19b9)
+ [範例 2:允許唯讀存取 CloudWatch Logs](#w2aac61c15c15c27c19c11)
+ [範例 3:允許存取一個日誌群組/日誌串流](#w2aac61c15c15c27c19c13)
#### 範例 1:允許完整存取 CloudWatch Logs
以下政策允許使用者存取所有 CloudWatch Logs 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 範例 2:允許唯讀存取 CloudWatch Logs
AWS 提供 **CloudWatchLogsReadOnlyAccess** 政策,可啟用 CloudWatch Logs 資料的唯讀存取。此政策包含以下許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### 範例 3:允許存取一個日誌群組/日誌串流
CloudWatch Logs 有兩種具有不同 ARN 格式的資源類型:
+ **日誌群組**: `arn:aws:logs:{{region}}:{{account}}:log-group:{{LogGroupName}}`
+ **日誌串流**: `arn:aws:logs:{{region}}:{{account}}:log-group:{{LogGroupName}}:log-stream:{{StreamName}}`
撰寫 IAM 政策時,您使用的 ARN 格式必須符合 API 授權的資源類型。請參閱每個 API 所需資源類型的[服務授權參考](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html)。
##### 範例 3a:允許存取特定log-group-level動作
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy",
"logs:PutSubscriptionFilter",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
}
]
}
```
這些動作會授權 `log-group` 資源類型。支援標準 ARN 格式 (不含 `:*`)。
##### 範例 3b:允許存取特定log-stream-level動作
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
這些動作會授權 `log-stream` 資源類型。`:*` 尾碼必須符合日誌群組中的所有日誌串流,或使用 指定特定串流`:log-stream:{{StreamName}}`。
##### 範例 3c:日誌群組和日誌串流動作的合併政策
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy",
"logs:DescribeLogStreams",
"logs:FilterLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
### 使用標記和 IAM 政策在日誌群組層級進行控制
您可以授與使用者存取特定日誌群組,同時防止他們存取其他日誌群組。若要這樣做,請標記日誌群組,並使用 IAM 政策來參考這些標籤。若要將標籤套用至日誌群組,您必須擁有 `logs:TagResource` 或 `logs:TagLogGroup` 許可。無論您是在建立日誌群組時將標籤指派給日誌群組,或稍後將標籤指派給日誌群組,此許可要求均適用。
如需有關標籤日誌群組的詳細資訊,請參閱 [在 Amazon CloudWatch Logs 中標記日誌群組](Working-with-log-groups-and-streams.md#log-group-tagging)。
當您標記日誌群組時,您就可以授予 IAM 政策給使用者,以只允許存取包含特定標籤的日誌群組。例如,以下政策陳述式只會授予標籤鍵 `Team` 值為 `Green` 日誌群組的存取。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
**StopQuery** 和 **StopLiveTail** API 操作在傳統意義上不會與 AWS 資源互動。其不會傳回任何資料,放置任何資料,或以任何方式修改資源。而只是針對指定的 Live Tail 工作階段或指定的 CloudWatch Logs Insights 查詢進行操作,這些並未歸類為資源。因此,當您在 IAM 政策中針對這些操作指定 `Resource` 欄位時,必須將 `Resource` 欄位的值設定為 `*`,如下列範例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
如需有關使用 IAM 政策陳述式的詳細資訊,請參閱《IAM 使用者指南》**中的[使用政策控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)。