傳送至 CloudWatch Logs 的日誌

重要

當您將下列清單中的日誌類型設定為傳送至 CloudWatch Logs 時， AWS 會視需要為接收日誌的日誌群組建立或變更相關聯的資源政策。繼續閱讀本節以查看詳細資訊。

本節適用於將上一節表中列出的日誌類型，傳送至 CloudWatch Logs 的情況：

使用者許可

您必須以具有下列許可的帳戶登入，才能第一次設定將任何這些類型的日誌傳送到 CloudWatch Logs。

• logs:CreateLogDelivery

• logs:PutResourcePolicy

• logs:DescribeResourcePolicies

• logs:DescribeLogGroups

  注意

  當您指定 logs:DescribeLogGroups、 logs:DescribeResourcePolicies或 logs:PutResourcePolicy許可時，請務必將其Resource行的 ARN 設定為使用*萬用字元，而不是只指定單一日誌群組名稱。例如 "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

如果任何這些類型的日誌已傳送到 CloudWatch Logs 中的某個日誌群組，則若要設定將另一種類型的日誌傳送到同一個日誌群組，您只需要 logs:CreateLogDelivery 許可。

日誌群組和資源政策

日誌送往的日誌群組必須具有包含特定許可的資源政策。如果日誌群組目前沒有資源政策，且設定記錄的使用者具有日誌群組的 logs:PutResourcePolicy、logs:DescribeResourcePolicies 及logs:DescribeLogGroups 許可，則當您開始將日誌傳送至 CloudWatch Logs 時， AWS 會自動建立下列政策。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

如果日誌群組有資源政策，但該政策未包含前一個政策中出現的陳述式，且設定記錄的使用者具有日誌群組的 logs:PutResourcePolicy、logs:DescribeResourcePolicies 及 logs:DescribeLogGroups 許可，則該陳述式會附加至日誌群組的資源政策。