本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# CloudWatch Logs 許可參考
<a name="permissions-reference-cwl"></a>

當您在設定 [存取控制](auth-and-access-control-cwl.md#access-control-cwl) 並撰寫可連接到 IAM 身分 (以身分為基礎的政策) 的許可政策時，可以使用下列資料表作為參考。下表列出每個 CloudWatch Logs API 操作和您可以授予許可執行的相對應動作。您可以在政策的 `Action` 欄位中指定動作。針對 `Resource` 欄位，您可以指定日誌群組或日誌串流的 ARN，或是指定 `*` 來代表所有 CloudWatch Logs 資源。

您可以在 CloudWatch Logs 政策中使用 AWS整體條件金鑰來表達條件。如需 AWS全系列金鑰的完整清單，請參閱《[AWS IAM 使用者指南》中的全域和 IAM 條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 **

**注意**  
若要指定動作，請使用 `logs:` 前綴，後面接著 API 操作名稱。例如：。`logs:CreateLogGroup`、`logs:CreateLogStream` 或 `logs:*` (適用於所有 CloudWatch Logs 動作)。


**CloudWatch Logs API 操作及動作所需的許可**  

| CloudWatch Logs API 操作 | 所需許可 (API 動作) | 
| --- | --- | 
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask`<br />取消待處理或執行匯出任務時為必要。 | 
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask`<br />從日誌群組將資料匯出至 Simple Storage Service (Amazon S3) 儲存貯體時為必要。 | 
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup`<br />建立新日誌群組時為必要。 | 
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream`<br />在日誌群組中建立新日誌串流時為必要。 | 
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination`<br />刪除日誌目的地及停用其任何訂閱篩選條件時為必要。 | 
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup`<br />刪除日誌群組及任何相關的存檔日誌事件時為必要。 | 
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream`<br />刪除日誌串流及任何相關的存檔日誌事件時為必要。 | 
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter`<br />刪除與日誌群組相關聯的指標篩選條件時為必要。 | 
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition`<br />刪除 CloudWatch Logs Insights 中儲存的查詢定義時為必要。 | 
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy`<br />刪除 CloudWatch Logs 資源政策時為必要。 | 
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy`<br />刪除日誌群組的保留政策時為必要。 | 
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter`<br />刪除與日誌群組相關聯的訂閱篩選條件時為必要。 | 
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations`<br />檢視與帳戶相關的所有目的地時為必要。 | 
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks`<br />檢視與帳戶相關的所有匯出任務時為必要。 | 
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups`<br />檢視與帳戶相關的所有日誌群組時為必要。 | 
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams`<br />檢視與日誌群組相關的所有日誌串流時為必要。 | 
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters`<br />檢視與日誌群組相關的所有指標時為必要。 | 
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions`<br />查看 CloudWatch Logs Insights 中儲存的查詢定義清單時為必要。 | 
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries`<br />查看已排程、正在執行或最近已執行的 CloudWatch Logs Insights 查詢清單時為必要。 | 
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies`<br />檢視 CloudWatch Logs 資源政策清單時為必要。 | 
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters`<br />檢視與日誌群組相關聯的所有訂閱篩選條件時為必要。 | 
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents`<br />依據日誌群組篩選條件模式排序日誌事件時為必要。 | 
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents`<br />從日誌串流擷取日誌事件時為必要。 | 
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields`<br />擷取日誌群組內日誌事件中包含的欄位清單時為必要。 | 
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord`<br />從單一日誌事件擷取詳細資訊時為必要。 | 
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord`<br />擷取透過 PutOpenTelemetryLogs API 擷取的大量日誌事件內容時需要。 | 
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults`<br />擷取 CloudWatch Logs Insights 查詢的結果時為必要。 | 
| ListEntitiesForLogGroup<br />(僅限 CloudWatch 主控台的許可) | `logs:ListEntitiesForLogGroup`<br />尋找與日誌群組相關聯的實體時需要。在 CloudWatch 主控台中探索相關日誌時需要。 | 
| ListLogGroupsForEntity<br />(僅限 CloudWatch 主控台的許可) | `logs:ListLogGroupsForEntity`<br />尋找與實體相關聯的日誌群組時需要。在 CloudWatch 主控台中探索相關日誌時需要。 | 
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup`<br />列出與日誌群組相關的標籤時為必要。 | 
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups`<br />檢視與帳戶相關的所有日誌群組時為必要。 | 
| ProcessWithPipeline （僅限許可） | `logs:ProcessWithPipeline`<br />在儲存之前，透過管道轉換器處理和轉換日誌事件時需要。必須在管道組態中以 CloudWatch Logs 來源角色身分傳遞的 IAM 角色上授予此許可。資源是日誌群組 ARN。 | 
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination`<br />需要建立或更新目的地日誌串流 (例如 Kinesis 串流) 時為必要。 | 
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy`<br />建立或更新與現有日誌目的地相關的存取政策時為必要。 | 
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents`<br />將日誌事件批次上傳至日誌串流時為必要。 | 
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter`<br />建立或更新指標篩選條件並將其與日誌群組建立關聯時為必要。 | 
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition`<br />在 CloudWatch Logs Insights 中儲存查詢時需要，包括具有參數的已儲存查詢。 | 
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy`<br />建立 CloudWatch Logs 資源政策時為必要。 | 
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy`<br />設定將日誌事件保持 (保留) 在日誌群組中的天數時為必要。 | 
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter`<br />建立或更新訂閱篩選條件並將其與日誌群組建立關聯時為必要。 | 
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery`<br />開始 CloudWatch Logs Insights 查詢時為必要。若要使用參數執行已儲存的查詢，您也需要 `logs:DescribeQueryDefinitions`。 | 
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery`<br />停止進行中的 CloudWatch Logs Insights 查詢時為必要。 | 
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup`<br />新增或更新日誌群組標籤時為必要。 | 
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter`<br />針對日誌事件訊息的取樣來測試篩選條件模式時為必要。 |