Amazon web services 仅针对一个特定日志组对IAM用户的云监视日志访问
我最初尝试使用下面链接中的所有json策略。 我最终得到了一个解决方案,通过使用下面的JSON策略,为IAM用户提供对一个特定日志组的“列表、读、写”访问权。但它也可以看到其他日志组的列表。根据下面的JSON策略,我也限制了用于列表的资源。它不起作用Amazon web services 仅针对一个特定日志组对IAM用户的云监视日志访问,amazon-web-services,amazon-iam,amazon-cloudwatch,amazon-cloudwatchlogs,Amazon Web Services,Amazon Iam,Amazon Cloudwatch,Amazon Cloudwatchlogs,我最初尝试使用下面链接中的所有json策略。 我最终得到了一个解决方案,通过使用下面的JSON策略,为IAM用户提供对一个特定日志组的“列表、读、写”访问权。但它也可以看到其他日志组的列表。根据下面的JSON策略,我也限制了用于列表的资源。它不起作用 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allo
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:GetLogRecord",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"logs:Describe*",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:XXXXXXXXXXXX:log-group:/aws/lambda/XXXX:log-stream:*"
}
]
}
但后来我找到了一个解决方案,并尝试使用相同的标记标记日志组和用户,并尝试在JSON策略下进行标记。那也没用
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"logs:ResourceTag/Team": "Green"
}
}
}
]
}
请有人建议一种方法,我可以让一个特定的IAM用户访问一个组,列表和读取或列表,读取和写入。但是该用户不应该能够看到其他日志组
Describelogroups
不是资源级操作,您无法存档。Describelogroups
不是资源级操作,您无法存档。