boto3 - AWS 无法对 cli 执行操作

Question

我能够在 aws 控制台上执行一些操作（特别是使用 cloudwatch 洞察力并运行查询）。但是我无法使用 aws cli 或 boto3（aws 日志启动查询）来做同样的事情。它给出了 AccessDeniedError。但是我能够运行其他命令，例如 aws s3 ls。控制台和cli的权限不是相同的吗？

确切的错误是

An error occurred (AccessDeniedException) when calling the StartQuery operation: User: arn:aws:sts::----:assumed-role/---- is not authorized to perform: logs:StartQuery on resource: arn:aws:logs:----

我应该如何调试这个问题。

Answer 1

表示你使用的cli用户没有logs:StartQuery操作权限。

出于测试目的，您可以将预定义策略授予CloudWatchLogsFullAccesscli 用户。如需更细粒度的权限检查：CloudWatch Logs 权限参考