我想限制特定用户或 AWS 服务对 Amazon CloudWatch Logs 的访问权限。
简短描述
要限制对日志组的访问权限,请对用户使用基于身份的 AWS Identity and Access Management (IAM) 策略,对 AWS 服务使用服务关联的角色。
解决方法
限制特定用户对 CloudWatch Logs 的访问权限
使用以下 IAM 策略授予对 DescribeLogGroups 操作的访问权限,该操作提供列出指定日志组所需的最低权限。
IAM 策略示例:
**注意:**将 example-region 替换为您的 AWS 区域,将 example-log-group 替换为您的日志组名称。
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
“logs:Describe*”,
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:example-region:123456789012:log-group:example-log-group:*"
}
]
}
限制 AWS 服务对 CloudWatch Logs 的访问权限
对于与 CloudWatch Logs 交互的 AWS 服务,使用服务关联的角色。当您使用 CloudWatch Logs 设置服务时,将会自动生成服务关联的角色,这些角色包含所有必要的权限。
**注意:**要配置 IAM 权限,请使用 AWS 管理控制台。要管理基于资源的 CloudWatch Logs 策略,请使用 API 调用。