CloudWatch APIOperationen und erforderliche Berechtigungen für Aktionen CloudWatch Die Anwendung signalisiert API Operationen und erforderliche Berechtigungen für Aktionen CloudWatch Contributor API Insights-Operationen und erforderliche Berechtigungen für Aktionen CloudWatch Ereignisse, API Operationen und erforderliche Berechtigungen für Aktionen CloudWatch Protokolliert API Vorgänge und erforderliche Berechtigungen für Aktionen EC2APIAmazon-Operationen und erforderliche Berechtigungen für Aktionen Amazon EC2 Auto Scaling API Scaling-Operationen und erforderliche Berechtigungen für Aktionen

Referenz zu CloudWatch Amazon-Berechtigungen

In der folgenden Tabelle sind die einzelnen CloudWatch API Operationen und die entsprechenden Aktionen aufgeführt, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können. Die Aktionen geben Sie im Feld Action und ein Platzhalterzeichen (*) als Wert für die Ressource im Feld Resource der Richtlinie an.

Sie können in Ihren CloudWatch Richtlinien AWS allgemeine Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der Schlüssel für alle AWS Benutzer finden Sie im IAMBenutzerhandbuch unter AWS Globale Schlüssel und IAM Condition Context Keys.

Anmerkung

Um eine Aktion anzugeben, verwenden Sie das cloudwatch: Präfix, gefolgt vom Namen der API Operation. Beispiel: cloudwatch:GetMetricData, cloudwatch:ListMetrics oder cloudwatch:* (für alle CloudWatch-Aktionen).

Themen

CloudWatch APIOperationen und erforderliche Berechtigungen für Aktionen
CloudWatch Die Anwendung signalisiert API Operationen und erforderliche Berechtigungen für Aktionen
CloudWatch Contributor API Insights-Operationen und erforderliche Berechtigungen für Aktionen
CloudWatch Ereignisse, API Operationen und erforderliche Berechtigungen für Aktionen
CloudWatch Protokolliert API Vorgänge und erforderliche Berechtigungen für Aktionen
EC2APIAmazon-Operationen und erforderliche Berechtigungen für Aktionen
Amazon EC2 Auto Scaling API Scaling-Operationen und erforderliche Berechtigungen für Aktionen

CloudWatch APIOperationen und erforderliche Berechtigungen für Aktionen

CloudWatch APIOperationen	Erforderliche Berechtigungen (APIAktionen)
DeleteAlarms	`cloudwatch:DeleteAlarms` Erforderlich zum Löschen eines Alarms.
DeleteDashboards	`cloudwatch:DeleteDashboards` Erforderlich zum Löschen eines Dashboards
DeleteMetricStream	`cloudwatch:DeleteMetricStream` Erforderlich zum Löschen eines Metrik-Streams.
DescribeAlarmHistory	`cloudwatch:DescribeAlarmHistory` Erforderlich zum Anzeigen des Alarmverlauf. Um Informationen zu zusammengesetzten Alarmen abzurufen, muss Ihre `cloudwatch:DescribeAlarmHistory`-Berechtigung einen `*`-Bereich haben. Sie können keine Informationen zu zusammengesetzten Alarmen zurückgeben, wenn Ihre `cloudwatch:DescribeAlarmHistory`-Berechtigung einen engeren Geltungsbereich hat.
DescribeAlarms	`cloudwatch:DescribeAlarms` Erforderlich zum Abrufen von Informationen zu einem Alarm. Um Informationen zu zusammengesetzten Alarmen abzurufen, muss Ihre `cloudwatch:DescribeAlarms`-Berechtigung einen `*`-Bereich haben. Sie können keine Informationen zu zusammengesetzten Alarmen zurückgeben, wenn Ihre `cloudwatch:DescribeAlarms`-Berechtigung einen engeren Geltungsbereich hat.
DescribeAlarmsForMetric	`cloudwatch:DescribeAlarmsForMetric` Erforderlich zum Anzeigen von Alarmen für eine Metrik.
DisableAlarmActions	`cloudwatch:DisableAlarmActions` Erforderlich zum Deaktivieren einer Alarmaktion.
EnableAlarmActions	`cloudwatch:EnableAlarmActions` Erforderlich zum Aktivieren einer Alarmaktion.
GetDashboard	`cloudwatch:GetDashboard` Erforderlich zum Anzeigen von Daten über vorhandene Dashboards.
GetMetricData	`cloudwatch:GetMetricData` Erforderlich, um Metrikdaten in der CloudWatch Konsole grafisch darzustellen, große Stapel metrischer Daten abzurufen und metrische Berechnungen mit diesen Daten durchzuführen.
GetMetricStatistics	`cloudwatch:GetMetricStatistics` Erforderlich, um Diagramme in anderen Teilen der CloudWatch Konsole und in Dashboard-Widgets anzuzeigen.
GetMetricStream	`cloudwatch:GetMetricStream` Erforderlich, um Informationen zu einem Metrik-Stream anzuzeigen.
GetMetricWidgetImage	`cloudwatch:GetMetricWidgetImage` Erforderlich, um ein Snapshot-Diagramm mit einer oder mehreren CloudWatch Metriken als Bitmap-Bild abzurufen.
ListDashboards	`cloudwatch:ListDashboards` Erforderlich, um die Liste der CloudWatch Dashboards in Ihrem Konto anzuzeigen.
ListMetrics	`cloudwatch:ListMetrics` Erforderlich, um Metriknamen in der CloudWatch Konsole und in der CLI anzuzeigen oder zu suchen. Erforderlich zum Auswählen von Metriken auf Dashboard-Widgets.
ListMetricStreams	`cloudwatch:ListMetricStreams` Erforderlich zum Anzeigen oder Durchsuchen der Liste der Metrik-Streams im Konto.
PutCompositeAlarm	`cloudwatch:PutCompositeAlarm` Erforderlich, um einen zusammengesetzten Alarm zu erstellen. Um einen zusammengesetzten Alarm zu erstellen, muss Ihre `cloudwatch:PutCompositeAlarm`-Berechtigung einen `*`-Bereich haben. Sie können keine Informationen zu zusammengesetzten Alarmen zurückgeben, wenn Ihre `cloudwatch:PutCompositeAlarm`-Berechtigung einen engeren Geltungsbereich hat.
PutDashboard	`cloudwatch:PutDashboard` Erforderlich zum Erstellen eines Dashboard oder zum Aktualisieren eines vorhandenen Dashboards.
PutMetricAlarm	`cloudwatch:PutMetricAlarm` Erforderlich zum Erstellen und Aktualisieren eines Alarms.
PutMetricData	`cloudwatch:PutMetricData` Erforderlich zum Erstellen einer Metrik.
PutMetricStream	`cloudwatch:PutMetricStream` Erforderlich zum Erstellen eines Metrik-Streams.
SetAlarmState	`cloudwatch:SetAlarmState` Erforderlich zum manuellen Einrichten des Status eines Alarms.
StartMetricStreams	`cloudwatch:StartMetricStreams` Erforderlich, um den Fluss von Metriken in einem Metrik-Stream zu starten.
StopMetricStreams	`cloudwatch:StopMetricStreams` Erforderlich, um den Fluss von Metriken in einem Metrik-Stream vorübergehend zu stoppen.
TagResource	`cloudwatch:TagResource` Erforderlich, um Tags zu CloudWatch Ressourcen wie Alarmen und Contributor Insights-Regeln hinzuzufügen oder zu aktualisieren.
UntagResource	`cloudwatch:UntagResource` Erforderlich, um Tags aus CloudWatch Ressourcen zu entfernen.

CloudWatch Die Anwendung signalisiert API Operationen und erforderliche Berechtigungen für Aktionen

CloudWatch Die Anwendung signalisiert API Operationen	Erforderliche Berechtigungen (APIAktionen)
BatchGetServiceLevelObjectiveBudgetReport	`application-signals:BatchGetServiceLevelObjectiveBudgetReport` Erforderlich, um Budgetberichte mit Servicelevel-Zielen abzurufen.
CreateServiceLevelObjective	`application-signals:CreateServiceLevelObjective` Erforderlich, um ein Servicelevel-Ziel (SLO) zu erstellen.
DeleteServiceLevelObjective	`application-signals:DeleteServiceLevelObjective` Erforderlich, um ein Service Level Objective (SLO) zu löschen.
GetService	`application-signals:GetService` Erforderlich, um Informationen über einen Service abzurufen, der von Application Signals entdeckt wurde.
GetServiceLevelObjective	`application-signals:GetServiceLevelObjective` Erforderlich, um Informationen über ein Service Level Objective (SLO) abzurufen.
ListServiceDependencies	`application-signals:ListServiceDependencies` Erforderlich, um eine Liste der Dienstabhängigkeiten eines von Ihnen angegebenen Dienstes abzurufen. Dieser Dienst und die Abhängigkeiten wurden von Application Signals entdeckt.
ListServiceDependents	`application-signals:ListServiceDependents` Erforderlich, um eine Liste von abhängigen Personen abzurufen, die einen von Ihnen angegebenen Dienst aufgerufen haben. Dieser Dienst und die abhängigen Objekte wurden von Application Signals entdeckt.
ListServiceLevelObjectives	`application-signals:ListServiceLevelObjectives` Erforderlich, um eine Liste der Service Level Objectives (SLOs) im Konto abzurufen.
ListServiceOperations	`application-signals:ListServiceOperations` Erforderlich, um eine Liste der Serviceoperationen eines von Ihnen angegebenen Dienstes abzurufen. Dieser Dienst und die Abhängigkeiten wurden von Application Signals entdeckt.
ListServices	`application-signals:ListServices` Erforderlich, um eine Liste von Diensten abzurufen, die von Application Signals entdeckt wurden.
ListTagsForResource	`application-signals:ListTagsForResource` Erforderlich, um eine Liste der mit einer Ressource verknüpften Tags abzurufen.
StartDiscovery	`application-signals:StartDiscovery` Erforderlich, um Application Signals im Konto aktivieren und die erforderliche dienstbezogene Rolle erstellen zu können.
TagResource	`application-signals:TagResource` Erforderlich, um Ressourcen Tags hinzufügen zu können.
UntagResource	`application-signals:UntagResource` Erforderlich, um Tags aus Ressourcen entfernen zu können.
UpdateServiceLevelObjective	`application-signals:UpdateServiceLevelObjective` Erforderlich, um ein vorhandenes Service Level Objective zu aktualisieren

CloudWatch Contributor API Insights-Operationen und erforderliche Berechtigungen für Aktionen

Wichtig

Wenn Sie einem Benutzer die cloudwatch:PutInsightRule Berechtigung erteilen, kann dieser Benutzer standardmäßig eine Regel erstellen, die jede Protokollgruppe in CloudWatch Logs auswertet. Sie können IAM Richtlinienbedingungen hinzufügen, die diese Berechtigungen für einen Benutzer einschränken, sodass er bestimmte Protokollgruppen ein- und ausschließt. Weitere Informationen finden Sie unter Verwenden von Bedingungsschlüsseln, um den Zugriff von Contributor-Insights-Benutzern auf Protokollgruppen einzuschränken.

CloudWatch Contributor Insights-Operationen API	Erforderliche Berechtigungen (APIAktionen)
DeleteInsightRules	`cloudwatch:DeleteInsightRules` Erforderlich, um Contributor-Insights-Regeln zu löschen
DescribeInsightRules	`cloudwatch:DescribeInsightRules` Erforderlich für die Anzeige der Contributor-Insights-Regeln in Ihrem Konto.
EnableInsightRules	`cloudwatch:EnableInsightRules` Erforderlich, um Contributor-Insights-Regeln zu aktivieren.
GetInsightRuleReport	`cloudwatch:GetInsightRuleReport` Erforderlich zum Abrufen von Zeitreihendaten und anderen Statistiken, die von Contributor-Insights-Regeln erfasst wurden.
PutInsightRule	`cloudwatch:PutInsightRule` Erforderlich, um Contributor-Insights-Regeln zu erstellen. Siehe den Wichtig-Hinweis am Anfang dieser Tabelle.

CloudWatch Ereignisse, API Operationen und erforderliche Berechtigungen für Aktionen

CloudWatch APIVorgänge im Zusammenhang mit Ereignissen	Erforderliche Berechtigungen (APIAktionen)
DeleteRule	`events:DeleteRule` Erforderlich zum Löschen einer Regel.
DescribeRule	`events:DescribeRule` Erforderlich zum Auflisten der Details einer Regel.
DisableRule	`events:DisableRule` Erforderlich zum Deaktivieren einer Regel.
EnableRule	`events:EnableRule` Erforderlich zum Aktivieren einer Regel.
ListRuleNamesByTarget	`events:ListRuleNamesByTarget` Erforderlich zum Auflisten von Regeln, die mit einem Ziel verknüpft sind.
ListRules	`events:ListRules` Erforderlich zum Auflisten aller Regeln in Ihrem Konto.
ListTargetsByRule	`events:ListTargetsByRule` Erforderlich zum Auflisten aller Ziele im Zusammenhang mit einer Regel.
PutEvents	`events:PutEvents` Erforderlich zum Hinzufügen von benutzerspezifischen Ereignissen, die Regeln zugeordnet werden können.
PutRule	`events:PutRule` Erforderlich zum Erstellen oder Aktualisieren einer Regel.
PutTargets	`events:PutTargets` Erforderlich zum Hinzufügen von Zielen zu einer Regel.
RemoveTargets	`events:RemoveTargets` Erforderlich zum Entfernen eines Ziels aus einer Regel.
TestEventPattern	`events:TestEventPattern` Erforderlich zum Testen eines Ereignismusters für ein bestimmtes Ereignis.

CloudWatch Protokolliert API Vorgänge und erforderliche Berechtigungen für Aktionen

CloudWatch Protokolliert API Operationen	Erforderliche Berechtigungen (APIAktionen)
CancelExportTask	`logs:CancelExportTask` Erforderlich zum Abbrechen einer ausstehenden oder laufenden Exportaufgabe.
CreateExportTask	`logs:CreateExportTask` Erforderlich zum Exportieren von Daten aus einer Protokollgruppe in einen Amazon-S3-Bucket.
CreateLogGroup	`logs:CreateLogGroup` Erforderlich zum Erstellen einer neuen Protokollgruppe.
CreateLogStream	`logs:CreateLogStream` Erforderlich zum Erstellen eines neuen Protokoll-Stream in eine Protokollgruppe.
DeleteDestination	`logs:DeleteDestination` Erforderlich zum Löschen eines Protokollziels und Aktivieren von Abonnementfiltern für das Ziel.
DeleteLogGroup	`logs:DeleteLogGroup` Erforderlich zum Löschen einer Protokollgruppe und der jeweiligen archivierten Protokollereignisse.
DeleteLogStream	`logs:DeleteLogStream` Erforderlich zum Löschen eines Protokoll-Stream und der jeweiligen archivierten Protokollereignisse.
DeleteMetricFilter	`logs:DeleteMetricFilter` Erforderlich zum Löschen eines Metrikfilters für eine Protokollgruppe.
DeleteQueryDefinition	`logs:DeleteQueryDefinition` Erforderlich, um eine gespeicherte Abfragedefinition in CloudWatch Logs Insights zu löschen.
DeleteResourcePolicy	`logs:DeleteResourcePolicy` Erforderlich, um eine CloudWatch Logs-Ressourcenrichtlinie zu löschen.
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` Erforderlich zum Löschen der Aufbewahrungsrichtlinie einer Protokollgruppe.
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` Erforderlich zum Löschen des Abonnementfilters für eine Protokollgruppe.
DescribeDestinations	`logs:DescribeDestinations` Erforderlich zum Anzeigen aller Ziele für ein Konto.
DescribeExportTasks	`logs:DescribeExportTasks` Erforderlich zum Anzeigen aller Exportaufgaben für das Konto.
DescribeLogGroups	`logs:DescribeLogGroups` Erforderlich zum Anzeigen aller Protokollgruppen für ein Konto.
DescribeLogStreams	`logs:DescribeLogStreams` Erforderlich zum Anzeigen aller Protokoll-Streams für eine Protokollgruppe.
DescribeMetricFilters	`logs:DescribeMetricFilters` Erforderlich zum Anzeigen aller Metriken für eine Protokollgruppe.
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` Erforderlich, um die Liste der gespeicherten Abfragedefinitionen in CloudWatch Logs Insights zu sehen.
DescribeQueries	`logs:DescribeQueries` Erforderlich, um die Liste der CloudWatch Logs Insights-Abfragen zu sehen, die geplant sind, ausgeführt werden oder kürzlich ausgeführt wurden.
DescribeResourcePolicies	`logs:DescribeResourcePolicies` Erforderlich, um eine Liste der CloudWatch Logs-Ressourcenrichtlinien anzuzeigen.
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` Erforderlich zum Anzeigen aller Abonnementfilter für eine Protokollgruppe.
FilterLogEvents	`logs:FilterLogEvents` Erforderlich zum Sortieren von Protokollereignissen nach Gruppenfiltermuster.
GetLogEvents	`logs:GetLogEvents` Erforderlich zum Abrufen von Protokollereignissen aus einem Protokoll-Stream.
GetLogGroupFields	`logs:GetLogGroupFields` Erforderlich, um die Liste der Felder abzurufen, die in den Protokollereignissen in einer Protokollgruppe enthalten sind.
GetLogRecord	`logs:GetLogRecord` Erforderlich, um die Details aus einem einzelnen Protokollereignis abzurufen.
GetQueryResults	`logs:GetQueryResults` Erforderlich, um die Ergebnisse von CloudWatch Logs Insights-Abfragen abzurufen.
ListTagsLogGroup	`logs:ListTagsLogGroup` Erforderlich zum Auflisten der mit einer Protokollgruppe verbundenen Tags.
PutDestination	`logs:PutDestination` Erforderlich zum Erstellen oder Aktualisieren eines Ziel-Protokoll-Streams (z. B. ein Kinesis-Stream).
PutDestinationPolicy	`logs:PutDestinationPolicy` Erforderlich zum Erstellen oder Aktualisieren einer Zugriffsrichtlinie im Zusammenhang mit einem vorhandenen Protokollziel.
PutLogEvents	`logs:PutLogEvents` Erforderlich für den Upload eines Batches von Protokollereignissen in einen Protokoll-Stream.
PutMetricFilter	`logs:PutMetricFilter` Erforderlich zum Erstellen oder Aktualisieren eines Metrikfilters, der einer Protokollgruppe zugeordnet wird.
PutQueryDefinition	`logs:PutQueryDefinition` Erforderlich, um eine Abfrage in CloudWatch Logs Insights zu speichern.
PutResourcePolicy	`logs:PutResourcePolicy` Erforderlich, um eine CloudWatch Logs-Ressourcenrichtlinie zu erstellen.
PutRetentionPolicy	`logs:PutRetentionPolicy` Erforderlich zum Festlegen der Anzahl der Tage, die Protokollereignisse (Aufbewahrung) in einer Protokollgruppe aufbewahrt werden sollen.
PutSubscriptionFilter	`logs:PutSubscriptionFilter` Erforderlich zum Erstellen oder Aktualisieren eines Abonnementfilters, der einer Protokollgruppe zugeordnet wird.
StartQuery	`logs:StartQuery` Erforderlich, um CloudWatch Logs Insights-Abfragen zu starten.
StopQuery	`logs:StopQuery` Erforderlich, um eine laufende CloudWatch Logs Insights-Abfrage zu beenden.
TagLogGroup	`logs:TagLogGroup` Erforderlich zum Hinzufügen oder Aktualisieren von Protokollgruppen-Tags.
TestMetricFilter	`logs:TestMetricFilter` Erforderlich zum Testen eines Filtermusters anhand einer Stichprobe von Protokollereignis-Nachrichten.

EC2APIAmazon-Operationen und erforderliche Berechtigungen für Aktionen

EC2APIAmazon-Betrieb	Erforderliche Berechtigungen (APIAktionen)
DescribeInstanceStatus	`ec2:DescribeInstanceStatus` Erforderlich, um Details EC2 zum Instanzstatus anzuzeigen.
DescribeInstances	`ec2:DescribeInstances` Erforderlich, um EC2 Instanzdetails anzuzeigen.
RebootInstances	`ec2:RebootInstances` Erforderlich, um eine EC2 Instanz neu zu starten.
StopInstances	`ec2:StopInstances` Erforderlich, um eine EC2 Instanz zu beenden.
TerminateInstances	`ec2:TerminateInstances` Erforderlich, um eine EC2 Instanz zu beenden.

Amazon EC2 Auto Scaling API Scaling-Operationen und erforderliche Berechtigungen für Aktionen

Amazon EC2 Auto Scaling API Scaling-Operationen Erforderliche Berechtigungen (APIAktionen)

Amazon EC2 Auto Scaling API Scaling-Operationen	Erforderliche Berechtigungen (APIAktionen)
Skalierung	`autoscaling:Scaling` Erforderlich zum Skalieren einer Auto-Scaling-Gruppe.
Auslöser	`autoscaling:Trigger` Erforderlich zum Auslösen einer Auto-Scaling-Aktion.

Skalierung

autoscaling:Scaling

Erforderlich zum Skalieren einer Auto-Scaling-Gruppe.

Auslöser

autoscaling:Trigger

Erforderlich zum Auslösen einer Auto-Scaling-Aktion.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS verwaltete Richtlinien für Application Insights

Compliance-Validierung