本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon CloudWatch 日志的身份和访问管理
访问 Amazon CloudWatch Logs 需要凭证 AWS 才能对您的请求进行身份验证。这些凭证必须具有访问 AWS 资源的权限,例如检索有关您的云资源的 CloudWatch 日志数据。以下各节详细介绍了如何使用 AWS Identity and Access Management (IAM) 和 CloudWatch 日志,通过控制谁可以访问资源来保护您的资源:
身份验证
要提供访问权限,请为您的用户、组或角色添加权限:
-
中的用户和群组 AWS IAM Identity Center:
创建权限集。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以代入的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户群组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
访问控制
您可以拥有有效的凭证来验证您的请求,但是除非您拥有权限,否则您无法创建或访问 CloudWatch 日志资源。例如,您必须拥有创建日志流、创建日志组和执行其他操作的权限。
以下各节介绍如何管理 CloudWatch 日志的权限。我们建议您先阅读概述。
