Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement für Amazon CloudWatch
AWS Identity and Access Management (IAM) ist ein AWS-Service das hilft einem Administrator, den Zugriff auf sicher zu kontrollieren AWS Ressourcen schätzen. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um CloudWatch Ressourcen zu verwenden. IAMist ein AWS-Service das Sie ohne zusätzliche Kosten nutzen können.
Themen
- Zielgruppe
- Authentifizierung mit Identitäten
- Verwalten des Zugriffs mit Richtlinien
- So CloudWatch arbeitet Amazon mit IAM
- Beispiele für identitätsbasierte Richtlinien für Amazon CloudWatch
- Fehlerbehebung Amazon CloudWatch Amazon-Identität und -Zugriff
- CloudWatch Aktualisierung der Dashboard-Berechtigungen
- AWS verwaltete (vordefinierte) Richtlinien für CloudWatch
- Beispiele für vom Kunden verwaltete Richtlinien
- CloudWatch Aktualisierungen für AWS Verwaltete Richtlinien
- Verwendung von Bedingungsschlüsseln zur Beschränkung des Zugriffs auf CloudWatch Namespaces
- Verwenden von Bedingungsschlüsseln, um den Zugriff von Contributor-Insights-Benutzern auf Protokollgruppen einzuschränken
- Verwenden von Bedingungsschlüsseln zum Begrenzen von Alarmaktionen
- Verwenden von serviceverknüpften Rollen für CloudWatch
- Verwenden von dienstbezogenen Rollen für CloudWatch RUM
- Verwenden von serviceverknüpften Rollen für CloudWatch Application Insights
- AWS verwaltete Richtlinien für Amazon CloudWatch Application Insights
- Referenz zu CloudWatch Amazon-Berechtigungen
Zielgruppe
Wie benutzt du AWS Identity and Access Management (IAM) unterscheidet sich je nach der Arbeit, in der Sie arbeiten CloudWatch.
Dienstbenutzer — Wenn Sie den CloudWatch Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr CloudWatch Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Fuktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anzufordern müssen. Wenn Sie in nicht auf eine Funktion zugreifen können CloudWatch, finden Sie weitere Informationen unterFehlerbehebung Amazon CloudWatch Amazon-Identität und -Zugriff.
Serviceadministrator — Wenn Sie in Ihrem Unternehmen für die CloudWatch Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf CloudWatch. Es ist Ihre Aufgabe, zu bestimmen, auf welche CloudWatch Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anfragen an Ihren IAM Administrator senden, um die Berechtigungen Ihrer Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die grundlegenden Konzepte von zu verstehenIAM. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit verwenden kann CloudWatch, finden Sie unterSo CloudWatch arbeitet Amazon mit IAM.
IAMAdministrator — Wenn Sie ein IAM Administrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff darauf zu verwalten CloudWatch. Beispiele für CloudWatch identitätsbasierte Richtlinien, die Sie in verwenden könnenIAM, finden Sie unter. Beispiele für identitätsbasierte Richtlinien für Amazon CloudWatch
Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich anmelden AWS mit Ihren Identitätsdaten. Sie müssen authentifiziert (angemeldet) sein AWS) als Root-Benutzer des AWS-Kontos, als IAM Benutzer oder durch Übernahme einer IAM Rolle.
Sie können sich anmelden bei AWS als föderierte Identität mithilfe von Anmeldeinformationen, die über eine Identitätsquelle bereitgestellt wurden. AWS IAM Identity Center (IAMIdentity Center) -Nutzer, die Single-Sign-On-Authentifizierung Ihres Unternehmens und Ihre Google- oder Facebook-Anmeldeinformationen sind Beispiele für föderierte Identitäten. Wenn Sie sich als föderierte Identität anmelden, hat Ihr Administrator zuvor einen Identitätsverbund mithilfe von Rollen eingerichtet. IAM Wenn Sie darauf zugreifen AWS Wenn Sie den Verbund verwenden, übernehmen Sie indirekt eine Rolle.
Je nachdem, welcher Benutzertyp Sie sind, können Sie sich bei der anmelden AWS Management Console oder das AWS Zugangsportal. Weitere Informationen zur Anmeldung bei AWS, siehe So melden Sie sich bei Ihrem an AWS-Konto in der AWS-Anmeldung Benutzerleitfaden.
Wenn Sie darauf zugreifen AWS programmatisch AWS stellt ein Software Development Kit (SDK) und eine Befehlszeilenschnittstelle (CLI) bereit, um Ihre Anfragen mithilfe Ihrer Anmeldeinformationen kryptografisch zu signieren. Wenn Sie es nicht verwenden AWS Tools, Sie müssen Anfragen selbst unterschreiben. Weitere Informationen zur Verwendung der empfohlenen Methode, um Anfragen selbst zu signieren, finden Sie unter Signieren AWS APIAnfragen im IAMBenutzerhandbuch.
Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise zusätzliche Sicherheitsinformationen angeben. Zum Beispiel AWS empfiehlt, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung im AWS IAM Identity Center Benutzerhandbuch und Verwendung der Multi-Faktor-Authentifizierung () MFA in AWS im IAM-Benutzerhandbuch.
AWS-Konto Root-Benutzer
Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle hat AWS-Services und Ressourcen im Konto. Diese Identität wird als AWS-Konto Root-Benutzer. Der Zugriff erfolgt, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im Benutzerhandbuch unter Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind. IAM
Verbundidentität
Es hat sich bewährt, menschlichen Benutzern, einschließlich Benutzern, die Administratorzugriff benötigen, vorzuschreiben, für den Zugriff den Verbund mit einem Identitätsanbieter zu verwenden AWS-Services mithilfe temporärer Anmeldeinformationen.
Eine föderierte Identität ist ein Benutzer aus Ihrem Unternehmensbenutzerverzeichnis, ein Web-Identitätsanbieter, der AWS Directory Service, das Identity Center-Verzeichnis oder ein beliebiger Benutzer, der zugreift AWS-Services mithilfe von Anmeldeinformationen, die über eine Identitätsquelle bereitgestellt wurden. Wenn föderierte Identitäten darauf zugreifen AWS-Konten, übernehmen sie Rollen, und die Rollen stellen temporäre Anmeldeinformationen bereit.
Für eine zentralisierte Zugriffsverwaltung empfehlen wir die Verwendung AWS IAM Identity Center. Sie können Benutzer und Gruppen in IAM Identity Center erstellen, oder Sie können eine Verbindung zu einer Gruppe von Benutzern und Gruppen in Ihrer eigenen Identitätsquelle herstellen und diese synchronisieren, um sie in all Ihren AWS-Konten und Anwendungen. Informationen zu IAM Identity Center finden Sie unter Was ist IAM Identity Center? in der AWS IAM Identity Center Benutzerleitfaden.
IAM-Benutzer und -Gruppen
Ein IAMBenutzer ist eine Identität innerhalb Ihres AWS-Konto das über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Wir empfehlen, sich nach Möglichkeit auf temporäre Anmeldeinformationen zu verlassen, anstatt IAM Benutzer mit langfristigen Anmeldeinformationen wie Passwörtern und Zugriffsschlüsseln zu erstellen. Wenn Sie jedoch spezielle Anwendungsfälle haben, für die langfristige Anmeldeinformationen von IAM Benutzern erforderlich sind, empfehlen wir, die Zugriffsschlüssel abwechselnd zu verwenden. Weitere Informationen finden Sie im Benutzerhandbuch unter Regelmäßiges Rotieren von Zugriffsschlüsseln für Anwendungsfälle, für die IAM langfristige Anmeldeinformationen erforderlich sind.
Eine IAMGruppe ist eine Identität, die eine Sammlung von IAM Benutzern angibt. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie könnten beispielsweise eine Gruppe benennen IAMAdminsund dieser Gruppe Berechtigungen zur Verwaltung von IAM Ressourcen erteilen.
Benutzer unterscheiden sich von Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie unter Wann sollte ein IAM Benutzer (statt einer Rolle) erstellt werden? im IAMBenutzerhandbuch.
IAMRollen
Eine IAMRolle ist eine Identität in deinem AWS-Konto das hat spezifische Berechtigungen. Es ähnelt einem IAM Benutzer, ist jedoch keiner bestimmten Person zugeordnet. Sie können vorübergehend eine IAM Rolle in der übernehmen AWS Management Console indem Sie die Rollen wechseln. Sie können eine Rolle übernehmen, indem Sie einen anrufen AWS CLI or AWS APIOperation oder mithilfe eines benutzerdefiniertenURL. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie unter Verwenden von IAM Rollen im IAMBenutzerhandbuch.
IAMRollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:
-
Verbundbenutzerzugriff – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle für einen externen Identitätsanbieter. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Um zu kontrollieren, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in. IAM Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center Benutzerleitfaden.
-
Temporäre IAM Benutzerberechtigungen — Ein IAM Benutzer oder eine Rolle kann eine IAM Rolle übernehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu übernehmen.
-
Kontoübergreifender Zugriff — Sie können eine IAM Rolle verwenden, um einer Person (einem vertrauenswürdigen Principal) in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Allerdings mit einigen AWS-Services, Sie können eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). Informationen zum Unterschied zwischen Rollen und ressourcenbasierten Richtlinien für den kontenübergreifenden Zugriff finden Sie IAMim Benutzerhandbuch unter Kontoübergreifender Ressourcenzugriff. IAM
-
Serviceübergreifender Zugriff — Einige AWS-Services Funktionen in anderen verwenden AWS-Services. Wenn Sie beispielsweise in einem Service einen Anruf tätigen, ist es üblich, dass dieser Service Anwendungen in Amazon ausführt EC2 oder Objekte in Amazon S3 speichert. Ein Dienst kann dies mit den Berechtigungen des aufrufenden Prinzipals mit einer Servicerolle oder mit einer serviceverknüpften Rolle tun.
-
Zugriffssitzungen weiterleiten (FAS) — Wenn Sie einen IAM Benutzer oder eine Rolle verwenden, um Aktionen auszuführen in AWS, Sie gelten als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FASverwendet die Rechte des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anfrage AWS-Service um Anfragen an nachgelagerte Dienste zu stellen. FASAnfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, die Interaktionen mit anderen erfordert AWS-Services oder zu vervollständigende Ressourcen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien für FAS Anfragen finden Sie unter Zugriffssitzungen weiterleiten.
-
Servicerolle — Eine Servicerolle ist eine IAMRolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an ein AWS-Service im IAM-Benutzerhandbuch.
-
Dienstverknüpfte Rolle — Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einem verknüpft ist AWS-Service. Der Dienst kann die Rolle übernehmen, eine Aktion in Ihrem Namen durchzuführen. Mit Diensten verknüpfte Rollen erscheinen in Ihrem AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.
-
-
Anwendungen, die auf Amazon laufen EC2 — Sie können eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2 Instance ausgeführt werden und AWS CLI or AWS APIAnfragen. Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der EC2 Instanz vorzuziehen. Um eine zuzuweisen AWS Sie erstellen ein EC2 Instanzprofil, das an die Instanz angehängt ist. Sie müssen einer Instanz eine Rolle zuweisen und sie allen ihren Anwendungen zur Verfügung stellen. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Instanz ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.
Informationen darüber, ob Sie IAM Rollen oder IAM Benutzer verwenden sollten, finden Sie im Benutzerhandbuch unter Wann sollte eine IAM Rolle (anstelle eines IAM Benutzers) erstellt werden.
Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff in AWS indem Sie Richtlinien erstellen und sie anhängen an AWS Identitäten oder Ressourcen. Eine Richtlinie ist ein Objekt in AWS das, wenn es einer Identität oder Ressource zugeordnet ist, ihre Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Principal (Benutzer, Root-Benutzer oder Rollensitzung) eine Anfrage stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien sind gespeichert in AWS als JSON Dokumente. Weitere Informationen zur Struktur und zum Inhalt von JSON Richtliniendokumenten finden Sie im IAMBenutzerhandbuch unter Überblick über JSON Richtlinien.
Administratoren können Folgendes verwenden AWS JSONRichtlinien, um festzulegen, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Um Benutzern die Erlaubnis zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.
IAMRichtlinien definieren Berechtigungen für eine Aktion, unabhängig von der Methode, mit der Sie den Vorgang ausführen. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die iam:GetRole
-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen von der abrufen AWS Management Console, der AWS CLI, oder der AWS
API.
Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind Dokumente mit JSON Berechtigungsrichtlinien, die Sie an eine Identität anhängen können, z. B. an einen IAM Benutzer, eine Benutzergruppe oder eine Rolle. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie unter IAMRichtlinien erstellen im Benutzerhandbuch. IAM
Identitätsbasierte Richtlinien können weiter als Inline-Richtlinien oder verwaltete Richtlinien kategorisiert werden. Inline-Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem AWS-Konto. Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen dazu, wie Sie zwischen einer verwalteten Richtlinie oder einer Inline-Richtlinie wählen können, finden Sie im IAMBenutzerhandbuch unter Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien.
Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON Richtliniendokumente, die Sie an eine Ressource anhängen. Beispiele für ressourcenbasierte Richtlinien sind IAM Rollenvertrauensrichtlinien und Amazon S3 S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie einen Prinzipal angeben. Prinzipale können Konten, Benutzer, Rollen, Verbundbenutzer oder AWS-Services.
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können nicht verwenden AWS verwaltete Richtlinien aus IAM einer ressourcenbasierten Richtlinie.
Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLsähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON Richtliniendokumentformat.
Amazon S3 S3, AWS WAF, und Amazon VPC sind Beispiele für Dienste, die unterstützenACLs. Weitere Informationen finden Sie unter Übersicht über ACLs die Zugriffskontrollliste (ACL) im Amazon Simple Storage Service Developer Guide.
Weitere Richtlinientypen
AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Diese Richtlinientypen können die maximalen Berechtigungen festlegen, die Ihnen von den häufiger verwendeten Richtlinientypen erteilt werden können.
-
Berechtigungsgrenzen — Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie die maximalen Berechtigungen festlegen, die eine identitätsbasierte Richtlinie einer IAM Entität (IAMBenutzer oder Rolle) gewähren kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen. Die daraus resultierenden Berechtigungen sind der Schnittpunkt der identitätsbasierten Richtlinien einer Entität und ihrer Berechtigungsgrenzen. Ressourcenbasierte Richtlinien, die den Benutzer oder die Rolle im Feld
Principal
angeben, werden nicht durch Berechtigungsgrenzen eingeschränkt. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen zu Berechtigungsgrenzen finden Sie im IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten. -
Dienststeuerungsrichtlinien (SCPs) — SCPs sind JSON Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in festlegen AWS Organizations. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer AWS-Konten den Ihr Unternehmen besitzt. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen Root-Benutzer des AWS-Kontos. Weitere Informationen zu Organizations und finden Sie SCPs unter Richtlinien zur Servicesteuerung in der AWS Organizations Benutzerleitfaden.
-
Sitzungsrichtlinien – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuert erstellen. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Sitzungsrichtlinien.
Mehrere Richtlinientypen
Wenn mehrere auf eine Anforderung mehrere Richtlinientypen angewendet werden können, sind die entsprechenden Berechtigungen komplizierter. Um zu erfahren, wie AWS bestimmt, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, siehe Bewertungslogik für Richtlinien im IAMBenutzerhandbuch.
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM Richtlinien, die erstellt und verwaltet werden von AWS. Diese AWS verwaltete Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht untersuchen müssen, welche Berechtigungen benötigt werden. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien im IAMBenutzerhandbuch.
Folgendes AWS verwaltete Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für CloudWatch.
Themen
- CloudWatchFullAccessV2
- CloudWatchFullAccess
- CloudWatchReadOnlyAccess
- CloudWatchActionsEC2Access
- CloudWatchAutomaticDashboardsAccess
- CloudWatchAgentServerPolicy
- CloudWatchAgentAdminPolicy
- AWS verwaltete (vordefinierte) Richtlinien für CloudWatch kontoübergreifende Beobachtbarkeit
- AWS verwaltete (vordefinierte) Richtlinien für Anwendungssignale CloudWatch
- AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Synthetics
- AWS verwaltete (vordefinierte) Richtlinien für Amazon CloudWatch RUM
- AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Evidently
- AWS verwaltete Richtlinie für AWS Systems Manager Incident Manager
CloudWatchFullAccessV2
AWS hat kürzlich die verwaltete CloudWatchFullAccessIAMV2-Richtlinie hinzugefügt. Diese Richtlinie gewährt vollen Zugriff auf CloudWatch Aktionen und Ressourcen und legt auch den Geltungsbereich der für andere Dienste wie Amazon SNS und Amazon EC2 Auto Scaling. Wir empfehlen, dass Sie mit der Verwendung dieser Richtlinie beginnen, anstatt sie zu verwenden CloudWatchFullAccess. AWS plant, CloudWatchFullAccessin naher future nicht mehr zu unterstützen.
Es enthält application-signals:
Berechtigungen, sodass Benutzer von der CloudWatch Konsole aus unter Application Signals auf alle Funktionen zugreifen können. Es enthält einige autoscaling:Describe
Berechtigungen, sodass Benutzer mit dieser Richtlinie die Auto Scaling Scaling-Aktionen sehen können, die mit CloudWatch Alarmen verknüpft sind. Es enthält einige sns
Berechtigungen, sodass Benutzer mit dieser Richtlinie erstellte SNS Amazon-Themen abrufen und mit CloudWatch Alarmen verknüpfen können. Sie enthält IAM Berechtigungen, sodass Benutzer mit dieser Richtlinie Informationen zu Rollen im Zusammenhang mit Services einsehen können, mit CloudWatch denen verknüpft ist. Es umfasst die oam:ListAttachedLinks
Berechtigungen oam:ListSinks
und, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten, die von Quellkonten gemeinsam genutzt wurden, CloudWatch kontenübergreifend einzusehen.
Es beinhaltet rum
synthetics
, und xray
Berechtigungen, damit Benutzer vollen Zugriff auf CloudWatch Synthetics haben, AWS X-Ray, und CloudWatch RUM, die alle im CloudWatch Service enthalten sind.
Der Inhalt von CloudWatchFullAccessV2 lautet wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchFullAccessPermissions", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingPolicies", "application-signals:*", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribePolicies", "cloudwatch:*", "logs:*", "sns:CreateTopic", "sns:ListSubscriptions", "sns:ListSubscriptionsByTopic", "sns:ListTopics", "sns:Subscribe", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks", "rum:*", "synthetics:*", "xray:*" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsServiceLinkedRolePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals", "Condition": { "StringLike": { "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com" } } }, { "Sid": "EventsServicePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Sid": "OAMReadPermissions", "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
CloudWatchFullAccess
Die CloudWatchFullAccessRichtlinie ist auf dem Weg, veraltet zu sein. Wir empfehlen, dass Sie sie nicht mehr verwenden und stattdessen CloudWatchFullAccessV2 verwenden.
Der Inhalt von CloudWatchFullAccesslautet wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:Describe*", "cloudwatch:*", "logs:*", "sns:*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
CloudWatchReadOnlyAccess
Die CloudWatchReadOnlyAccessRichtlinie gewährt nur Lesezugriff auf. CloudWatch
Die Richtlinie beinhaltet einige logs:
Berechtigungen, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um CloudWatch Logs-Informationen und CloudWatch Logs Insights-Abfragen anzuzeigen. Es beinhaltetautoscaling:Describe*
, sodass Benutzer mit dieser Richtlinie die Auto Scaling Scaling-Aktionen sehen können, die mit CloudWatch Alarmen verknüpft sind. Es umfasst die application-signals:
Berechtigungen, mit denen Benutzer Application Signals verwenden können, um den Zustand ihrer Dienste zu überwachen. application-autoscaling:DescribeScalingPolicies
ist enthalten, damit Benutzer mit dieser Richtlinie auf Informationen über Richtlinien für Application Auto Scaling zugreifen können. Es beinhaltet sns:Get*
undsns:List*
, sodass Benutzer mit dieser Richtlinie Informationen zu den SNS Amazon-Themen abrufen können, die Benachrichtigungen über CloudWatch Alarme erhalten. Es umfasst die oam:ListAttachedLinks
Berechtigungen oam:ListSinks
und, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten, die von Quellkonten geteilt wurden, CloudWatch kontenübergreifend anzusehen. Sie enthält die iam:GetRole
Berechtigungen, mit denen Benutzer überprüfen können, ob CloudWatch Application Signals eingerichtet wurden.
Es beinhaltetrum
, und xray
Berechtigungensynthetics
, sodass Benutzer nur lesenden Zugriff auf Synthetics haben, CloudWatch AWS X-Ray, und CloudWatch RUM, die alle im Service enthalten sind. CloudWatch
Im Folgenden finden Sie den Inhalt der CloudWatchReadOnlyAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchReadOnlyAccessPermissions", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingPolicies", "application-signals:BatchGet*", "application-signals:Get*", "application-signals:List*", "autoscaling:Describe*", "cloudwatch:BatchGet*", "cloudwatch:Describe*", "cloudwatch:GenerateQuery", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:Describe*", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "oam:ListSinks", "sns:Get*", "sns:List*", "rum:BatchGet*", "rum:Get*", "rum:List*", "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "xray:BatchGet*", "xray:Get*" ], "Resource": "*" }, { "Sid": "OAMReadPermissions", "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" }, { "Sid": "CloudWatchReadOnlyGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" } ] }
CloudWatchActionsEC2Access
Die CloudWatchActionsEC2AccessRichtlinie gewährt zusätzlich zu den EC2 Amazon-Metadaten nur Lesezugriff auf CloudWatch Alarme und Metriken. Sie gewährt auch Zugriff auf die API Aktionen Stop, Terminate und Reboot für EC2 Instances.
Im Folgenden finden Sie den Inhalt der CloudWatchActionsEC2AccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Describe*", "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*" } ] }
CloudWatchAutomaticDashboardsAccess
Die CloudWatch CrossAccountAccess verwaltete Richtlinie wird von der CrossAccountSharingRole IAM Rolle CloudWatch- verwendet. Mit dieser Rolle und Richtlinie können Benutzer von kontoübergreifenden Dashboards in jedem Konto, das Dashboards freigibt, automatische Dashboards anzeigen.
Das Folgende ist der Inhalt von CloudWatchAutomaticDashboardsAccess:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListServices", "elasticache:DescribeCacheClusters", "elasticbeanstalk:DescribeEnvironments", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunction", "lambda:ListFunctions", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "route53:GetHealthCheck", "route53:ListHealthChecks", "s3:ListAllMyBuckets", "s3:ListBucket", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ListQueues", "synthetics:DescribeCanariesLastRun", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "apigateway:GET" ], "Effect": "Allow", "Resource": [ "arn:aws:apigateway:*::/restapis*" ] } ]
CloudWatchAgentServerPolicy
Die CloudWatchAgentServerPolicyRichtlinie kann in IAM Rollen verwendet werden, die EC2 Amazon-Instances zugeordnet sind, damit der CloudWatch Agent Informationen aus der Instance lesen und in sie schreiben kann CloudWatch. Ihr Inhalt lautet wie folgt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CWACloudWatchServerPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeVolumes", "ec2:DescribeTags", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup", "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": "*" }, { "Sid": "CWASSMServerPermissions", "Effect": "Allow", "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
CloudWatchAgentAdminPolicy
Die CloudWatchAgentAdminPolicyRichtlinie kann in IAM Rollen verwendet werden, die EC2 Amazon-Instances zugeordnet sind. Diese Richtlinie ermöglicht es dem CloudWatch Agenten, Informationen aus der Instance zu lesen und in sie zu CloudWatch schreiben sowie Informationen in den Parameter Store zu schreiben. Ihr Inhalt lautet wie folgt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CWACloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeTags", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup", "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": "*" }, { "Sid": "CWASSMPermissions", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:PutParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
Anmerkung
Sie können diese Berechtigungsrichtlinien überprüfen, indem Sie sich bei der IAM Konsole anmelden und dort nach bestimmten Richtlinien suchen.
Sie können auch Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Berechtigungen für CloudWatch Aktionen und Ressourcen zu gewähren. Sie können diese benutzerdefinierten Richtlinien an die IAM Benutzer oder Gruppen anhängen, für die diese Berechtigungen erforderlich sind.
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch kontoübergreifende Beobachtbarkeit
Die Richtlinien in diesem Abschnitt gewähren Berechtigungen im Zusammenhang mit der CloudWatch kontoübergreifenden Beobachtbarkeit. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit.
CloudWatchCrossAccountSharingConfiguration
Die CloudWatchCrossAccountSharingConfigurationRichtlinie gewährt Zugriff auf das Erstellen, Verwalten und Anzeigen von Observability Access Manager-Links zur gemeinsamen Nutzung von CloudWatch Ressourcen zwischen Konten. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. Der Inhalt ist wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
OAMFullAccess
Die OAMFullAccessRichtlinie gewährt Zugriff auf das Erstellen, Verwalten und Anzeigen von Observability Access Manager-Senken und -Links, die für CloudWatch kontoübergreifende Observability verwendet werden.
Die OAMFullAccessRichtlinie allein erlaubt es Ihnen nicht, Observability-Daten linkübergreifend auszutauschen. Um einen Link zum Teilen von CloudWatch Metriken zu erstellen, benötigen Sie außerdem entweder CloudWatchFullAccessoder CloudWatchCrossAccountSharingConfiguration. Um einen Link zum Teilen von CloudWatch Logs-Protokollgruppen zu erstellen, benötigen Sie außerdem entweder CloudWatchLogsFullAccessoder CloudWatchLogsCrossAccountSharingConfiguration. Um einen Link zum Teilen von X-Ray-Traces zu erstellen, benötigen Sie außerdem entweder AWSXRayFullAccessoder AWSXRayCrossAccountSharingConfiguration.
Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. Der Inhalt ist wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:*" ], "Resource": "*" } ] }
OAMReadOnlyAccess
Die OAMReadOnlyAccessRichtlinie gewährt nur Lesezugriff auf Observability Access Manager-Ressourcen, die für CloudWatch kontoübergreifende Observability verwendet werden. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. Der Inhalt ist wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:Get*", "oam:List*" ], "Resource": "*" } ] }
AWS verwaltete (vordefinierte) Richtlinien für Anwendungssignale CloudWatch
Die Richtlinien in diesem Abschnitt gewähren Berechtigungen im Zusammenhang mit CloudWatch Application Signals. Weitere Informationen finden Sie unter Application Signals.
CloudWatchApplicationSignalsReadOnlyAccess
AWS hat die CloudWatchApplicationSignalsReadOnlyAccessverwaltete IAM Richtlinie hinzugefügt. Diese Richtlinie gewährt nur Lesezugriff auf Aktionen und Ressourcen, die Benutzern in der CloudWatch Konsole unter Application Signals zur Verfügung stehen. Sie umfasst application-signals:
Richtlinien, mit denen Benutzer CloudWatch Anwendungssignale verwenden können, um den Zustand ihrer Dienste einzusehen, zu untersuchen und zu überwachen. Es enthält eine iam:GetRole
Richtlinie, die es Benutzern ermöglicht, Informationen über eine IAM Rolle abzurufen. Es umfasst logs:
Richtlinien zum Starten und Beenden von Abfragen, zum Abrufen der Konfiguration für einen Metrikfilter und zum Abrufen von Abfrageergebnissen. Es enthält cloudwatch:
Richtlinien, mit denen Benutzer Informationen über einen CloudWatch Alarm oder Metriken abrufen können. Es enthält synthetics:
Richtlinien, mit denen Benutzer Informationen über Synthetics Canary Runs abrufen können. Es umfasst rum:
Richtlinien zum Ausführen von Batch-Vorgängen, zum Abrufen von Daten und zum Aktualisieren von Metrikdefinitionen für RUM Clients. Es enthält eine xray:
Richtlinie zum Abrufen von Trace-Zusammenfassungen.
Im Folgenden finden Sie den Inhalt der CloudWatchApplicationSignalsReadOnlyAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchApplicationSignalsReadOnlyAccessPermissions", "Effect": "Allow", "Action": [ "application-signals:BatchGetServiceLevelObjectiveBudgetReport", "application-signals:GetService", "application-signals:GetServiceLevelObjective", "application-signals:ListServiceLevelObjectives", "application-signals:ListServiceDependencies", "application-signals:ListServiceDependents", "application-signals:ListServiceOperations", "application-signals:ListServices", "application-signals:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" }, { "Sid": "CloudWatchApplicationSignalsLogGroupPermissions", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" }, { "Sid": "CloudWatchApplicationSignalsLogsPermissions", "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:GetQueryResults" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsAlarmsReadPermissions", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsMetricsReadPermissions", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsSyntheticsReadPermissions", "Effect": "Allow", "Action": [ "synthetics:DescribeCanaries", "synthetics:DescribeCanariesLastRun", "synthetics:GetCanaryRuns" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsRumReadPermissions", "Effect": "Allow", "Action": [ "rum:BatchGetRumMetricDefinitions", "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsXrayReadPermissions", "Effect": "Allow", "Action": [ "xray:GetTraceSummaries" ], "Resource": "*" } ] }
CloudWatchApplicationSignalsFullAccess
AWS hat die CloudWatchApplicationSignalsFullAccessverwaltete IAM Richtlinie hinzugefügt. Diese Richtlinie gewährt Zugriff auf alle Aktionen und Ressourcen, die Benutzern in der CloudWatch Konsole zur Verfügung stehen. Sie umfasst application-signals:
Richtlinien, mit denen Benutzer CloudWatch Anwendungssignale verwenden können, um den Zustand ihrer Dienste einzusehen, zu untersuchen und zu überwachen. Es verwendet cloudwatch:
Richtlinien, um Daten aus Metriken und Alarmen abzurufen. Es verwendet logs:
Richtlinien zur Verwaltung von Abfragen und Filtern. Es verwendet synthetics:
Richtlinien, damit Benutzer Informationen über Synthetics Canary Runs abrufen können. Es umfasst rum:
Richtlinien zum Ausführen von Batch-Vorgängen, zum Abrufen von Daten und zum Aktualisieren von Metrikdefinitionen für RUM Clients. Es enthält eine xray:
Richtlinie zum Abrufen von Trace-Zusammenfassungen. Es enthält arn:aws:cloudwatch:*:*:alarm:
Richtlinien, mit denen Benutzer Informationen über einen Service Level Objective (SLO) -Alarm abrufen können. Es umfasst iam:
Richtlinien zur IAM Rollenverwaltung. Es verwendet sns:
Richtlinien, um ein SNS Amazon-Thema zu erstellen, aufzulisten und zu abonnieren.
Im Folgenden finden Sie den Inhalt der CloudWatchApplicationSignalsFullAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchApplicationSignalsFullAccessPermissions", "Effect": "Allow", "Action": "application-signals:*", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsAlarmsPermissions", "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsMetricsPermissions", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsLogGroupPermissions", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" }, { "Sid": "CloudWatchApplicationSignalsLogsPermissions", "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:GetQueryResults" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsSyntheticsPermissions", "Effect": "Allow", "Action": [ "synthetics:DescribeCanaries", "synthetics:DescribeCanariesLastRun", "synthetics:GetCanaryRuns" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsRumPermissions", "Effect": "Allow", "Action": [ "rum:BatchCreateRumMetricDefinitions", "rum:BatchDeleteRumMetricDefinitions", "rum:BatchGetRumMetricDefinitions", "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors", "rum:PutRumMetricsDestination", "rum:UpdateRumMetricDefinition" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsXrayPermissions", "Effect": "Allow", "Action": "xray:GetTraceSummaries", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsPutMetricAlarmPermissions", "Effect": "Allow", "Action": "cloudwatch:PutMetricAlarm", "Resource": [ "arn:aws:cloudwatch:*:*:alarm:SLO-AttainmentGoalAlarm-*", "arn:aws:cloudwatch:*:*:alarm:SLO-WarningAlarm-*", "arn:aws:cloudwatch:*:*:alarm:SLI-HealthAlarm-*" ] }, { "Sid": "CloudWatchApplicationSignalsCreateServiceLinkedRolePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals", "Condition": { "StringLike": { "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com" } } }, { "Sid": "CloudWatchApplicationSignalsGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" }, { "Sid": "CloudWatchApplicationSignalsSnsWritePermissions", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe" ], "Resource": "arn:aws:sns:*:*:cloudwatch-application-signals-*" }, { "Sid": "CloudWatchApplicationSignalsSnsReadPermissions", "Effect": "Allow", "Action": "sns:ListTopics", "Resource": "*" } ] }
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Synthetics
Das und CloudWatchSyntheticsFullAccessCloudWatchSyntheticsReadOnlyAccess AWS Es stehen verwaltete Richtlinien zur Verfügung, die Sie Benutzern zuweisen können, die CloudWatch Synthetics verwalten oder verwenden. Die folgenden zusätzlichen Richtlinien sind ebenfalls relevant:
-
AmazonS3 ReadOnlyAccess und CloudWatchReadOnlyAccess— Diese sind notwendig, um alle Synthetics-Daten in der Konsole lesen zu können. CloudWatch
-
AWSLambdaReadOnlyAccess— Um den von Canaries verwendeten Quellcode einsehen zu können.
-
CloudWatchSyntheticsFullAccessermöglicht es Ihnen, Canaries zu erstellen. Um Canaries zu erstellen und zu löschen, für die eine neue IAM Rolle erstellt wurde, benötigen Sie zusätzlich die folgende Inline-Richtlinienerklärung:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:AttachRolePolicy", "iam:DetachRolePolicy", ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }
Wichtig
Wenn Sie einem Benutzer die
iam:DetachRolePolicy
Berechtigungeniam:CreateRole
iam:DeleteRole
,iam:CreatePolicy
,iam:DeletePolicy
iam:AttachRolePolicy
, und gewähren, erhält dieser Benutzer vollen Administratorzugriff zum Erstellen, Anhängen und Löschen von Rollen und Richtlinien, ARNs die mit und übereinstimmenarn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*
.arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*
Ein Benutzer mit diesen Berechtigungen kann beispielsweise eine Richtlinie erstellen, die über vollständige Berechtigungen für alle Ressourcen verfügt, und diese Richtlinie jeder Rolle zuordnen, die diesem ARN Muster entspricht. Seien Sie sehr vorsichtig, wem Sie diese Berechtigungen erteilen.Informationen zum Anhängen von Richtlinien und zum Erteilen von Berechtigungen für Benutzer finden Sie unter Berechtigungen für einen IAM Benutzer ändern und So betten Sie eine Inline-Richtlinie für einen Benutzer oder eine Rolle ein.
CloudWatchSyntheticsFullAccess
Im Folgenden finden Sie den Inhalt der CloudWatchSyntheticsFullAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "s3:ListAllMyBuckets", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::cw-syn-*" }, { "Effect": "Allow", "Action": [ "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::aws-synthetics-library-*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration", "lambda:DeleteFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }
CloudWatchSyntheticsReadOnlyAccess
Das Folgende ist der Inhalt der CloudWatchSyntheticsReadOnlyAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }
AWS verwaltete (vordefinierte) Richtlinien für Amazon CloudWatch RUM
Das AmazonCloudWatchRUMFullAccessund AmazonCloudWatchRUMReadOnlyAccess AWS verwaltete Richtlinien können Sie Benutzern zuweisen, die diese verwalten oder verwenden werden CloudWatch RUM.
AmazonCloudWatchRUMFullAccess
Im Folgenden finden Sie den Inhalt der AmazonCloudWatchRUMFullAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/RUM-Monitor*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "cognito-identity.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "cognito-identity:CreateIdentityPool", "cognito-identity:ListIdentityPools", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:SetIdentityPoolRoles" ], "Resource": "arn:aws:cognito-identity:*:*:identitypool/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:*RUMService*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanaries", "synthetics:describeCanariesLastRun" ], "Resource": "arn:aws:synthetics:*:*:canary:*" } ] }
AmazonCloudWatchRUMReadOnlyAccess
Im Folgenden finden Sie den Inhalt der AmazonCloudWatchRUMReadOnlyAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors", "rum:ListRumMetricsDestinations", "rum:BatchGetRumMetricDefinitions" ], "Resource": "*" } ] }
AmazonCloudWatchRUMServiceRolePolicy
Sie können keine Verbindungen AmazonCloudWatchRUMServiceRolePolicyzu Ihren IAM Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es ermöglicht, Überwachungsdaten für andere relevante Personen CloudWatch RUM zu veröffentlichen AWS Dienste. Weitere Informationen zu dieser serviceverknüpften Rolle finden Sie unter Verwenden von dienstbezogenen Rollen für CloudWatch RUM.
Der vollständige Inhalt von AmazonCloudWatchRUMServiceRolePolicylautet wie folgt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringLike": { "cloudwatch:namespace": [ "RUM/CustomMetrics/*", "AWS/RUM" ] } } } ] }
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Evidently
Das und CloudWatchEvidentlyFullAccessCloudWatchEvidentlyReadOnlyAccess AWS verwaltete Richtlinien stehen Ihnen zur Verfügung, damit Sie sie Benutzern zuweisen können, die CloudWatch Evidently verwalten oder verwenden werden.
CloudWatchEvidentlyFullAccess
Im Folgenden finden Sie den Inhalt der CloudWatchEvidentlyFullAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:TagResource", "cloudwatch:UnTagResource" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Evidently-*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] } ] }
CloudWatchEvidentlyReadOnlyAccess
Im Folgenden finden Sie den Inhalt der CloudWatchEvidentlyReadOnlyAccessRichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:GetSegment", "evidently:ListExperiments", "evidently:ListFeatures", "evidently:ListLaunches", "evidently:ListProjects", "evidently:ListSegments", "evidently:ListSegmentReferencs" ], "Resource": "*" } ] }
AWS verwaltete Richtlinie für AWS Systems Manager Incident Manager
Die AWSCloudWatchAlarmsctionSSMIncidentsServiceRolePolicy_A-Richtlinie ist an eine serviceverknüpfte Rolle angehängt, die es ermöglicht, CloudWatch Incidents in AWS Systems Manager Incident Manager in Ihrem Namen. Weitere Informationen finden Sie unter Dienstbezogene Rollenberechtigungen für CloudWatch Alarme Systems Manager Incident Manager-Aktionen.
Die Richtlinie hat die folgende Berechtigung:
-
SSM-Vorfälle: StartIncident
Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene CloudWatch Aktionen gewähren. Diese Richtlinien funktionieren CloudWatch API, wenn Sie AWS SDKs, oder das AWS CLI.
Beispiele
Beispiel 1: Erlauben Sie dem Benutzer vollen Zugriff auf CloudWatch
Um einem Benutzer vollen Zugriff auf zu gewähren CloudWatch, können Sie „Gewähren Sie ihm die CloudWatchFullAccessverwaltete Richtlinie“ verwenden, anstatt eine vom Kunden verwaltete Richtlinie zu erstellen. Der Inhalt von ist CloudWatchFullAccessunter aufgeführt. CloudWatchFullAccess
Beispiel 2: Erlauben Sie den schreibgeschützten Zugriff auf CloudWatch
Die folgende Richtlinie ermöglicht Benutzern den schreibgeschützten Zugriff auf Amazon EC2 Auto Scaling Scaling-Aktionen, CloudWatch -Metriken, CloudWatch Protokolldaten CloudWatch und alarmbezogene Amazon-Daten und alarmbezogene Amazon-Daten. SNS
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:Describe*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }
Beispiel 3: Stoppen oder beenden Sie eine EC2 Amazon-Instance
Die folgende Richtlinie ermöglicht eine CloudWatch Alarmaktion zum Stoppen oder Beenden einer EC2 Instance. Im Beispiel unten sind die DescribeAlarms Aktionen GetMetricData ListMetrics, und optional. Es wird empfohlen, dass Sie diese Aktionen einfügen, um sicherzustellen, dass Sie die Instance ordnungsgemäß angehalten oder beendet haben.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:DescribeAlarms" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
CloudWatch Aktualisierungen für AWS Verwaltete Richtlinien
Einzelheiten zu Updates anzeigen für AWS verwaltete Richtlinien, CloudWatch seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS Feed auf der Seite CloudWatch Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
Änderung | Beschreibung | Datum |
---|---|---|
CloudWatchApplicationSignalsReadOnlyAccess – Neue Richtlinie. |
CloudWatch hat eine neue Richtlinie mit dem Namen erstellt CloudWatchApplicationSignalsReadOnlyAccess. Diese Richtlinie gewährt nur Lesezugriff auf Ressourcen und Aktionen, die in der CloudWatch Konsole für Application Signals verfügbar sind. Der Geltungsbereich dieser Richtlinie umfasst |
7. Juni 2024 |
CloudWatchApplicationSignalsFullAccess – Neue Richtlinie. |
CloudWatch hat eine neue Richtlinie mit dem Namen erstellt CloudWatchApplicationSignalsFullAccess. Diese Richtlinie gewährt vollen Zugriff auf Ressourcen und Aktionen, die in der CloudWatch Konsole für Application Signals verfügbar sind. Zum Geltungsbereich dieser Richtlinie gehört, |
7. Juni 2024 |
CloudWatchFullAccessV2 — Aktualisierung einer bestehenden Richtlinie |
CloudWatch hat die Richtlinie mit dem Namen CloudWatchFullAccessV2 aktualisiert. Der Geltungsbereich der |
20. Mai 2024 |
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat die genannte Richtlinie aktualisiert CloudWatchReadOnlyAccess. Der Geltungsbereich der |
20. Mai 2024 |
CloudWatchApplicationSignalsServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat die genannte Richtlinie aktualisiert CloudWatchApplicationSignalsServiceRolePolicy. Der Geltungsbereich der |
18. April 2024 |
CloudWatchApplicationSignalsServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat den Umfang einer Genehmigung in geändert CloudWatchApplicationSignalsServiceRolePolicy. Der Umfang der |
08. April 2024 |
CloudWatchAgentServerPolicy – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat Berechtigungen zu hinzugefügt CloudWatchAgentServerPolicy. Die |
12. Februar 2024 |
CloudWatchAgentAdminPolicy – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat Berechtigungen zu hinzugefügt CloudWatchAgentAdminPolicy. Die |
12. Februar 2024 |
CloudWatchFullAccessV2 — Aktualisierung einer bestehenden Richtlinie |
CloudWatch Berechtigungen zu CloudWatchFullAccessV2 hinzugefügt. Bestehende Berechtigungen für CloudWatch Synthetics, X-Ray und CloudWatch RUM Aktionen sowie neue Berechtigungen für CloudWatch Application Signals wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie CloudWatch Application Signals verwalten können. Die Berechtigung zum Erstellen der dienstbezogenen Rolle „ CloudWatch Application Signals“ wurde hinzugefügt, damit CloudWatch Application Signals Telemetriedaten in Logs, Metriken, Traces und Tags ermitteln kann. |
05. Dezember 2023 |
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch Berechtigungen wurden hinzugefügt zu. CloudWatchReadOnlyAccess Bestehende Nur-Lese-Berechtigungen für CloudWatch Synthetics, X-Ray und CloudWatch RUM Aktionen sowie neue Nur-Lese-Berechtigungen für CloudWatch Application Signals wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie ihre von Application Signals gemeldeten Dienstintegritätsprobleme analysieren und diagnostizieren können. CloudWatch Die |
05. Dezember 2023 |
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie. |
CloudWatch hat eine Berechtigung zu hinzugefügt CloudWatchReadOnlyAccess. Die |
01. Dezember 2023 |
CloudWatchApplicationSignalsServiceRolePolicy – Neue Richtlinie. |
CloudWatch hat eine neue Richtlinie hinzugefügt CloudWatchApplicationSignalsServiceRolePolicy. Das CloudWatchApplicationSignalsServiceRolePolicygewährt einer kommenden Funktion Berechtigungen zum Sammeln von CloudWatch Logdaten, X-Ray-Trace-Daten, CloudWatch Metrikdaten und Tagging-Daten. |
9. November 2023 |
AWSServiceRoleForCloudWatchMetrics_ DbPerfInsightsServiceRolePolicy — Neue Richtlinie |
CloudWatch hat eine neue Richtlinie hinzugefügt AWSServiceRoleForCloudWatchMetrics_ DbPerfInsightsServiceRolePolicy. Das AWSServiceRoleForCloudWatchMetrics_ DbPerfInsightsServiceRolePolicy erteilt die Erlaubnis, in CloudWatch Ihrem Namen Performance Insights Insights-Metriken aus Datenbanken abzurufen. |
20. September 2023 |
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat eine Erlaubnis zu CloudWatchReadOnlyAccesshinzugefügt. Die |
14. September 2023 |
CloudWatchFullAccessV2 — Neue Richtlinie |
CloudWatch hat eine neue Richtlinie CloudWatchFullAccessV2 hinzugefügt. Die CloudWatchFullAccessV2 gewährt vollen Zugriff auf CloudWatch Aktionen und Ressourcen und bietet gleichzeitig einen besseren Umfang der Berechtigungen, die anderen Diensten wie Amazon und SNS Amazon EC2 Auto Scaling. Weitere Informationen finden Sie unter CloudWatchFullAccessV2. |
1. August 2023 |
AWSServiceRoleForInternetMonitor – Aktualisierung auf eine bestehende Richtlinie |
Amazon CloudWatch Internet Monitor hat neue Berechtigungen zur Überwachung von Network Load Balancer Balancer-Ressourcen hinzugefügt. Die Weitere Informationen finden Sie unter Amazon CloudWatch Internet Monitor verwenden. |
15. Juli 2023 |
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat Berechtigungen zu CloudWatchReadOnlyAccesshinzugefügt. Die |
6. Juni 2023 |
CloudWatchCrossAccountSharingConfiguration – Neue Richtlinie. |
CloudWatch hat eine neue Richtlinie hinzugefügt, mit der Sie CloudWatch kontoübergreifende Observability-Links verwalten können, die Metriken teilen CloudWatch . Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. |
27. November 2022 |
OAMFullAccess – Neue Richtlinie. |
CloudWatch hat eine neue Richtlinie hinzugefügt, mit der Sie CloudWatch kontoübergreifende Observability-Links und -Senken vollständig verwalten können. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. |
27. November 2022 |
OAMReadOnlyAccess – Neue Richtlinie. |
CloudWatch hat eine neue Richtlinie hinzugefügt, mit der Sie Informationen über CloudWatch kontoübergreifende Observability-Links und -Senken einsehen können. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. |
27. November 2022 |
CloudWatchFullAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat Berechtigungen hinzugefügt zu. CloudWatchFullAccess Die |
27. November 2022 |
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch Berechtigungen wurden hinzugefügt zu. CloudWatchReadOnlyAccess Die |
27. November 2022 |
AmazonCloudWatchRUMServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch RUMhat eine Bedingung aktualisiert, die eingegeben wurde. AmazonCloudWatchRUMServiceRolePolicy Der
|
2. Februar 2023 |
AmazonCloudWatchRUMReadOnlyAccess— Aktualisierte Richtlinie |
CloudWatch hat der AmazonCloudWatchRUMReadOnlyAccessRichtlinie Berechtigungen hinzugefügt. Die |
27. Oktober 2022 |
AmazonCloudWatchRUMServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch RUMBerechtigungen wurden hinzugefügt zu. AmazonCloudWatchRUMServiceRolePolicy Die |
26. Oktober 2022 |
CloudWatchEvidentlyReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch Offensichtlich wurden Berechtigungen zu CloudWatchEvidentlyReadOnlyAccesshinzugefügt. Die Berechtigungen |
12. August 2022 |
CloudWatchSyntheticsFullAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch Synthetics hat Berechtigungen hinzugefügt CloudWatchSyntheticsFullAccess. Die |
6. Mai 2022 |
AmazonCloudWatchRUMFullAccess— Neue Richtlinie |
CloudWatch Es wurde eine neue Richtlinie hinzugefügt, um die vollständige Verwaltung von zu ermöglichen CloudWatchRUM. CloudWatch RUMermöglicht es Ihnen, eine echte Benutzerüberwachung Ihrer Webanwendung durchzuführen. Weitere Informationen finden Sie unter CloudWatch RUM. |
29. November 2021 |
AmazonCloudWatchRUMReadOnlyAccess— Neue Richtlinie |
CloudWatch Es wurde eine neue Richtlinie hinzugefügt, um den schreibgeschützten Zugriff auf zu ermöglichen. CloudWatch RUM CloudWatch RUMermöglicht es Ihnen, eine echte Benutzerüberwachung Ihrer Webanwendung durchzuführen. Weitere Informationen finden Sie unter CloudWatch RUM. |
29. November 2021 |
CloudWatchEvidentlyFullAccess – Neue Richtlinie. |
CloudWatch hat eine neue Richtlinie hinzugefügt, um die vollständige Verwaltung von CloudWatch Evidently zu ermöglichen. CloudWatch Ermöglicht es Ihnen, A/B-Experimente mit Ihren Webanwendungen durchzuführen und diese schrittweise einzuführen. Weitere Informationen finden Sie unter Führen Sie Produkteinführungen und A/B-Experimente mit CloudWatch Eviently durch. |
29. November 2021 |
CloudWatchEvidentlyReadOnlyAccess – Neue Richtlinie. |
CloudWatch hat eine neue Richtlinie hinzugefügt, um den schreibgeschützten Zugriff auf Eviently zu ermöglichen. CloudWatch CloudWatch Ermöglicht es Ihnen, A/B-Experimente mit Ihren Webanwendungen durchzuführen und diese schrittweise einzuführen. Weitere Informationen finden Sie unter Führen Sie Produkteinführungen und A/B-Experimente mit CloudWatch Eviently durch. |
29. November 2021 |
AWSServiceRoleForCloudWatchRUM— Neue verwaltete Richtlinie |
CloudWatch Es wurde eine Richtlinie für eine neue dienstbezogene Rolle hinzugefügt, um die Veröffentlichung von Überwachungsdaten CloudWatch RUM an andere relevante Personen zu ermöglichen AWS Dienstleistungen. |
29. November 2021 |
CloudWatchSyntheticsFullAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch Synthetics hat Berechtigungen zu CloudWatchSyntheticsFullAccesseiner Berechtigung hinzugefügt und auch deren Umfang geändert. Die Der |
29. September 2021 |
CloudWatchSyntheticsFullAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch Synthetics hat eine Genehmigung zu CloudWatchSyntheticsFullAccesshinzugefügt. Die Berechtigung |
20. Juli 2021 |
AWSCloudWatchAlarms_A ctionSSMIncidents ServiceRolePolicy — Neue verwaltete Richtlinie |
CloudWatch hat eine neue verwaltete IAM Richtlinie hinzugefügt, um die Erstellung von Vorfällen CloudWatch in zu ermöglichen AWS Systems Manager Vorfallmanager. |
10. Mai 2021 |
CloudWatchAutomaticDashboardsAccess – Aktualisierung auf eine bestehende Richtlinie |
CloudWatch hat der CloudWatchAutomaticDashboardsAccessverwalteten Richtlinie eine Berechtigung hinzugefügt. Die |
20. April 2021 |
CloudWatch hat begonnen, Änderungen zu verfolgen |
CloudWatch hat begonnen, Änderungen für seine zu verfolgen AWS verwaltete Richtlinien. |
14. April 2021 |