Amazon CloudWatch 日誌的動作、資源和條件金鑰

Amazon CloudWatch Logs (服務前置詞：logs) 提供下列服務特定資源、動作和條件內容金鑰，可用於 IAM 許可政策。

參考資料：

了解如何設定此服務。
檢視可供此服務使用的 API 操作清單。
了解如何使用 IAM 許可政策來保護此服務及其資源。

主題

Amazon CloudWatch 日誌所定義的動作
Amazon CloudWatch 日誌定義的資源類型
Amazon CloudWatch 日誌的條件密鑰

Amazon CloudWatch 日誌所定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS 中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
AssociateKmsKey	准許將指定的 AWS Key Management Service (AWS KMS) 客戶主金鑰 (CMK) 與指定的日誌群組建立關聯	寫入	log-group*
CancelExportTask	准許取消處於 PENDING (待定) 或 RUNNING (執行中) 狀態的匯出任務	寫入
CreateDelivery	准許建立將傳遞來源連線至傳遞目的地的傳遞	寫入	delivery*
			delivery-destination*
			delivery-source*
				aws:TagKeys aws:RequestTag/${TagKey}
CreateExportTask	授予建立權限 ExportTask ，讓您有效地將資料從日誌群組匯出到 Amazon S3 儲存貯體	寫入	log-group*
CreateLogAnomalyDetector	准許建立日誌異常偵測器	寫入	log-group*
CreateLogAnomalyDetector	准許建立日誌異常偵測器	寫入		aws:TagKeys aws:RequestTag/${TagKey}
CreateLogDelivery [僅限許可]	准許建立日誌交付	寫入
CreateLogGroup	准許使用指定名稱建立新的日誌群組	寫入	log-group*
CreateLogGroup	准許使用指定名稱建立新的日誌群組	寫入		aws:TagKeys aws:RequestTag/${TagKey}
CreateLogStream	准許使用指定名稱建立新的日誌串流	寫入	log-stream*
DeleteAccountPolicy	准許刪除與帳戶連接的資料保護政策	寫入
DeleteDataProtectionPolicy	准許刪除與日誌群組連接的資料保護政策	寫入	log-group*
DeleteDelivery	准許刪除傳遞	寫入	delivery*
DeleteDeliveryDestination	准許在刪除所有關聯傳遞後刪除傳遞目的地	寫入	delivery-destination*
DeleteDeliveryDestinationPolicy	准許刪除與傳遞目的地關聯的傳遞目的地政策	寫入	delivery-destination*
DeleteDeliverySource	准許在刪除所有關聯傳遞後刪除傳遞來源	寫入	delivery-destination*
DeleteDestination	准許刪除指定名稱的目的地	寫入	destination*
DeleteLogAnomalyDetector	准許刪除日誌異常偵測器	寫入	anomaly-detector*
DeleteLogDelivery [僅限許可]	准許刪除指定日誌交付的日誌交付資訊	寫入
DeleteLogGroup	准許刪除指定名稱的日誌群組	寫入	log-group*
DeleteLogStream	准許刪除日誌串流	寫入	log-stream*
DeleteMetricFilter	准許刪除與指定日誌群組相關聯的指標篩選條件	寫入	log-group*
DeleteQueryDefinition	授與刪除已儲存 CloudWatch 記錄見解查詢定義的權限	寫入
DeleteResourcePolicy	准許從此帳戶中刪除資源政策	許可管理
DeleteRetentionPolicy	准許刪除指定日誌群組的保留政策	寫入	log-group*
DeleteSubscriptionFilter	准許刪除與指定日誌群組相關聯的訂閱篩選條件	寫入	log-group*
DescribeAccountPolicies	准許擷取與帳戶連接的資料保護政策	清單
DescribeDeliveries	准許擷取帳戶中的傳遞清單	清單
DescribeDeliveryDestinations	准許擷取帳戶中的傳遞目的地清單	清單
DescribeDeliverySources	准許擷取帳戶中的傳遞來源清單	清單
DescribeDestinations	准許傳回與發出請求之 AWS 帳戶相關聯的所有目的地	清單
DescribeExportTasks	准許傳回與發出請求之 AWS 帳戶相關聯的所有匯出任務	清單
DescribeLogGroups	准許傳回與發出請求之 AWS 帳戶相關聯的所有日誌群組	清單
DescribeLogStreams	准許傳回與指定日誌群組相關聯的所有日誌串流	清單	log-group*
DescribeMetricFilters	准許傳回與指定日誌群組相關聯的所有指標篩選條件	清單	log-group*
DescribeQueries	授與傳回在此帳戶中排定、執行或最近執行的 CloudWatch 記錄見解查詢清單的權限	清單
DescribeQueryDefinitions	授予傳回已儲存 CloudWatch 記錄深入解析查詢定義的分頁清單的權限	清單
DescribeResourcePolicies	准許傳回此帳戶中的所有資源政策	清單
DescribeSubscriptionFilters	准許傳回與指定日誌群組相關聯的所有訂閱篩選條件	清單	log-group*
DisassociateKmsKey	准許將相關聯的 AWS Key Management Service (AWS KMS) 客戶主金鑰 (CMK) 與指定的日誌群組解除關聯	寫入	log-group*
FilterLogEvents	准許擷取日誌事件 (透過從指定日誌群組依篩選條件模式篩選而出)	讀取	log-group*
GetDataProtectionPolicy	准許擷取與日誌群組連接的資料保護政策	讀取	log-group*
GetDelivery	准許擷取單一傳遞	讀取	delivery*
GetDeliveryDestination	准許擷取單一傳遞目的地	讀取	delivery-destination*
GetDeliveryDestinationPolicy	准許擷取連接至傳遞目的地的傳遞目的地政策	讀取	delivery-destination*
GetDeliverySource	准許擷取單一傳遞來源	讀取	delivery-source*
GetLogAnomalyDetector	准許取得日誌異常偵測器	讀取	anomaly-detector*
GetLogDelivery [僅限許可]	准許取得指定日誌交付的日誌交付資訊	讀取
GetLogEvents	准許從指定的日誌串流擷取日誌事件	讀取	log-stream*
GetLogGroupFields	准許傳回在指定日誌群組中日誌事件所包含的欄位清單，連同包含每個欄位的日誌事件百分比	讀取	log-group*
GetLogRecord	准許擷取所有欄位與單一日誌事件的值	讀取	log-group*
GetQueryResults	准許傳回指定查詢的結果	讀取	log-group*
Link [僅限許可]	授予與監控帳戶共用 CloudWatch 資源的權限	寫入
ListAnomalies	准許列出在提出請求的 AWS 帳戶中偵測到的所有異常	清單	anomaly-detector
ListLogAnomalyDetectors	准許傳回與提出請求之 AWS 帳戶相關聯的所有異常偵測器	清單	log-group
ListLogDeliveries [僅限許可]	准許列出指定帳戶和/或日誌來源的所有日誌交付	清單
ListTagsForResource	准許列出指定資源的標籤	清單	anomaly-detector
			delivery
			delivery-destination
			delivery-source
			destination
			log-group
ListTagsLogGroup	准許列出指定日誌群組的標籤	清單	log-group*
PutAccountPolicy	准許在帳戶層級連接資料保護政策，以偵測和遮蔽日誌事件中的敏感資訊	寫入
PutDataProtectionPolicy	准許連接資料保護政策，以偵測和遮蔽日誌事件中的敏感資訊	寫入	log-group*
PutDeliveryDestination	准許建立/更新傳遞目的地	寫入	delivery-destination*
PutDeliveryDestination	准許建立/更新傳遞目的地	寫入		aws:TagKeys aws:RequestTag/${TagKey} logs:DeliveryDestinationResourceArn
PutDeliveryDestinationPolicy	准許將傳遞目的地政策連接至傳遞目的地	寫入	delivery-destination*
PutDeliverySource	准許建立/更新傳遞來源	寫入	delivery-source*
PutDeliverySource	准許建立/更新傳遞來源	寫入		aws:TagKeys aws:RequestTag/${TagKey} logs:LogGeneratingResourceArns
PutDestination	准許建立或更新目的地	寫入	destination*		iam:PassRole
PutDestination	准許建立或更新目的地	寫入		aws:TagKeys aws:RequestTag/${TagKey}
PutDestinationPolicy	准許建立或更新與現有目的地相關聯的存取政策	寫入	destination*
PutLogEvents	准許將批次日誌事件上傳到指定的日誌串流	寫入	log-stream*
PutMetricFilter	准許建立或更新指標篩選條件，並將其和指定日誌群組建立關聯	寫入	log-group*
PutQueryDefinition	准許建立或更新查詢定義	寫入
PutResourcePolicy	准許建立或更新資源政策，讓其他 AWS 服務將日誌事件放置在此帳戶	許可管理
PutRetentionPolicy	准許設定指定日誌群組的保留期限	寫入	log-group*
PutSubscriptionFilter	准許建立或更新訂閱篩選條件，並將其與指定的日誌群組建立關聯	寫入	log-group*		iam:PassRole
PutSubscriptionFilter	准許建立或更新訂閱篩選條件，並將其與指定的日誌群組建立關聯	寫入	destination
StartLiveTail	授予在 CloudWatch 記錄檔中啟動即時尾端工作階段的權限	讀取	log-group*
StartQuery	授與使用記錄深入解析排程 CloudWatch 記錄群組查詢的權限	讀取	log-group*
StopLiveTail [僅限許可]	准許停止進行中的 Live Tail 階段	讀取
StopQuery	授與停止進行中 CloudWatch 日誌見解查詢的權限	讀取
TagLogGroup	准許新增或更新指定日誌群組的指定標籤	標記	log-group*
TagLogGroup	准許新增或更新指定日誌群組的指定標籤	標記		aws:TagKeys aws:RequestTag/${TagKey}
TagResource	准許為指定資源新增或更新指定的標籤	標記	anomaly-detector
			delivery
			delivery-destination
			delivery-source
			destination
			log-group
				aws:TagKeys aws:RequestTag/${TagKey}
TestMetricFilter	准許依據日誌事件訊息的範例，測試指標篩選條件的篩選條件模式	讀取
Unmask [僅限許可]	准許擷取未遮罩日誌事件 (已根據資料保護政策進行遮蔽的日誌事件)	讀取	log-group*
UntagLogGroup	准許從指定的日誌群組移除指定的標籤	標記	log-group*
UntagLogGroup	准許從指定的日誌群組移除指定的標籤	標記		aws:TagKeys
UntagResource	准許從指定的資源移除指定的標籤	標記	anomaly-detector
			delivery
			delivery-destination
			delivery-source
			destination
			log-group
				aws:TagKeys
UpdateAnomaly	准許更新日誌異常偵測器報告的異常	寫入	anomaly-detector*
UpdateLogAnomalyDetector	准許更新日誌異常偵測器	寫入	anomaly-detector*
UpdateLogDelivery [僅限許可]	准許更新指定日誌交付的日誌交付資訊	寫入

Amazon CloudWatch 日誌定義的資源類型

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
log-group	`arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}`	aws:ResourceTag/${TagKey}
log-stream	`arn:${Partition}:logs:${Region}:${Account}:log-group:${LogGroupName}:log-stream:${LogStreamName}`	aws:ResourceTag/${TagKey}
destination	`arn:${Partition}:logs:${Region}:${Account}:destination:${DestinationName}`	aws:ResourceTag/${TagKey}
delivery-source	`arn:${Partition}:logs:${Region}:${Account}:delivery-source:${DeliverySourceName}`	aws:ResourceTag/${TagKey}
delivery	`arn:${Partition}:logs:${Region}:${Account}:delivery:${DeliveryName}`	aws:ResourceTag/${TagKey}
delivery-destination	`arn:${Partition}:logs:${Region}:${Account}:delivery-destination:${DeliveryDestinationName}`	aws:ResourceTag/${TagKey}
anomaly-detector	`arn:${Partition}:logs:${Region}:${Account}:anomaly-detector:${DetectorId}`	aws:ResourceTag/${TagKey}

Amazon CloudWatch 日誌的條件密鑰

Amazon CloudWatch Logs 定義了下列可在 IAM 政策Condition元素中使用的條件金鑰。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵資料表。

若要檢視所有服務都可使用的全域條件索引鍵，請參閱可用全域條件索引鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	依要求中傳遞的標籤來篩選存取權	字串
aws:ResourceTag/${TagKey}	依與資源關聯的標籤來篩選存取權	字串
aws:TagKeys	依要求中傳遞的標籤索引鍵來篩選存取權	ArrayOfString
logs:DeliveryDestinationResourceArn	依在請求中傳遞的日誌目的地 ARN 篩選存取	ARN
logs:LogGeneratingResourceArns	依在請求中傳遞的日誌產生資源 ARN 篩選存取	ArrayOfARN

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon CloudWatch 網絡監控

Amazon CloudWatch NetWatch Monitor (網路監控器)