Roles y permisos necesarios para los usuarios que administran valores controlados de CloudWatch - Amazon CloudWatch

Roles y permisos necesarios para los usuarios que administran valores controlados de CloudWatch

Para ver los detalles de los valores controlados y los resultados de sus ejecuciones, debe iniciar sesión como usuario con las políticas adjuntas de CloudWatchSyntheticsFullAccess o CloudWatchSyntheticsReadOnlyAccess. Para leer todos los datos de Synthetics en la consola, también necesita las políticas AmazonS3ReadOnlyAccess y CloudWatchReadOnlyAccess. Para ver el código fuente utilizado por canaries, también necesita la política AWSLambda_ReadOnlyAccess.

Para crear valores controlados, debe haber iniciado sesión como un usuario que tenga la política de CloudWatchSyntheticsFullAccess o un conjunto similar de permisos. Para crear Roles de IAM para los canaries, también necesita la siguiente declaración de política insertada:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
                "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
            ]
        }
    ]
}
importante

Otorgar a un usuario los permisos iam:CreateRole, iam:CreatePolicy e iam:AttachRolePolicy proporciona a ese usuario acceso administrativo a su cuenta de AWS. Por ejemplo, un usuario con estos permisos puede crear una política que tenga permisos completos para todos los recursos y puede asociarla a cualquier rol. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos.

Para obtener información acerca de cómo asociar políticas y conceder permisos a los usuarios, consulte Cambio de los permisos de un usuario de IAM y Para integrar una política en línea de un usuario o un rol.