使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

如何限制特定用户或 AWS 服务对 CloudWatch Logs 的访问权限?

1 分钟阅读
0

我想限制特定用户或 AWS 服务对 Amazon CloudWatch Logs 的访问权限。

简短描述

要限制对日志组的访问权限,请对用户使用基于身份的 AWS Identity and Access Management (IAM) 策略,对 AWS 服务使用服务关联的角色。

解决方法

限制特定用户对 CloudWatch Logs 的访问权限

使用以下 IAM 策略授予对 DescribeLogGroups 操作的访问权限,该操作提供列出指定日志组所需的最低权限。

IAM 策略示例:

**注意:**将 example-region 替换为您的 AWS 区域,将 example-log-group 替换为您的日志组名称。

{
   "Version":"2012-10-17",
   "Statement":[
      {
      "Action": [

                  “logs:Describe*”,
                 "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "cloudwatch:GenerateQuery"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:example-region:123456789012:log-group:example-log-group:*"
      }
   ]
}

限制 AWS 服务对 CloudWatch Logs 的访问权限

对于与 CloudWatch Logs 交互的 AWS 服务,使用服务关联的角色。当您使用 CloudWatch Logs 设置服务时,将会自动生成服务关联的角色,这些角色包含所有必要的权限。

**注意:**要配置 IAM 权限,请使用 AWS 管理控制台。要管理基于资源的 CloudWatch Logs 策略,请使用 API 调用。

AWS 官方
AWS 官方已更新 8 个月前