Identity and Access Management para Amazon CloudWatch
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos de CloudWatch. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
Temas
- Público
- Autenticación con identidades
- Administración de acceso mediante políticas
- Cómo funciona Amazon CloudWatch con IAM
- Ejemplos de políticas basadas en identidades para Amazon CloudWatch
- Resolución de problemas de identidad y acceso de Amazon CloudWatch
- Actualización de permisos del panel de CloudWatch
- Políticas administradas (predefinidas) de AWS para CloudWatch
- Ejemplos de políticas administradas por el cliente
- Actualizaciones de CloudWatch para las políticas administradas de AWS
- Uso de claves de condición para limitar el acceso a los espacios de nombres de CloudWatch
- Uso de claves de condición para limitar el acceso de los usuarios de Contributor Insights a los grupos de registro
- Uso de claves de condición para limitar las acciones de la alarma
- Uso de roles vinculados a servicios para CloudWatch
- Uso de roles vinculados a servicios para CloudWatch RUM
- Uso de roles vinculados a un servicio para CloudWatch Application Insights
- Políticas administradas de AWS para Información de aplicaciones de Amazon CloudWatch
- Referencia de permisos de Amazon CloudWatch
Público
La forma en que utilice AWS Identity and Access Management (IAM) difiere en función del trabajo que realice en CloudWatch.
Usuario de servicio: si utiliza el servicio de CloudWatch para realizar el trabajo, el administrador le proporciona las credenciales y los permisos necesarios. Es posible que a medida que utilice más características de CloudWatch para realizar su trabajo, necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarlo a solicitar los permisos correctos al administrador. Si no puede acceder a una característica en CloudWatch, consulte Resolución de problemas de identidad y acceso de Amazon CloudWatch.
Administrador de servicio: si está a cargo de los recursos de CloudWatch en la empresa, probablemente tenga acceso completo a CloudWatch. Su trabajo consiste en determinar a qué características y recursos de CloudWatch deben acceder los usuarios del servicio. Luego, debe enviar solicitudes a su administrador de IAM para cambiar los permisos de los usuarios de su servicio. Revise la información de esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar IAM con CloudWatch, consulte Cómo funciona Amazon CloudWatch con IAM.
Administrador de IAM: si es un administrador de IAM, es posible que desee obtener información sobre cómo escribir políticas para administrar el acceso a CloudWatch. Para consultar ejemplos de políticas basadas en identidad de CloudWatch que puede utilizar en IAM, consulte Ejemplos de políticas basadas en identidades para Amazon CloudWatch.
Autenticación con identidades
La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe estar autenticado (haber iniciado sesión en AWS) como Usuario raíz de la cuenta de AWS, como un usuario de IAM o asumiendo un rol de IAM.
Puede iniciar sesión en AWS como una identidad federada mediante las credenciales proporcionadas a través de una fuente de identidad. AWS IAM Identity Center Los usuarios (del Centro de identidades de IAM), la autenticación de inicio de sesión único de su empresa y sus credenciales de Google o Facebook son ejemplos de identidades federadas. Al iniciar sesión como una identidad federada, su administrador habrá configurado previamente la federación de identidades mediante roles de IAM. Cuando accede a AWS mediante la federación, está asumiendo un rol de forma indirecta.
Según el tipo de usuario que sea, puede iniciar sesión en AWS Management Console o en el portal de acceso AWS. Para obtener más información sobre el inicio de sesión en AWS, consulte Cómo iniciar sesión en su Cuenta de AWS en la Guía del usuario de AWS Sign-In.
Si accede a AWS mediante programación, AWS proporciona un kit de desarrollo de software (SDK) y una interfaz de la línea de comandos (CLI) para firmar criptográficamente las solicitudes mediante el uso de las credenciales. Si no usa las herramientas de AWS, debe firmar las solicitudes. Para obtener más información sobre la firma de solicitudes, consulte Firma de solicitudes API de AWS en la Guía del usuario de IAM.
Independientemente del método de autenticación que use, es posible que deba proporcionar información de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor (MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Autenticación multifactor en la Guía del usuario de AWS IAM Identity Center y Uso de la autenticación multifactor (MFA) en AWSen la Guía del usuario de IAM.
Usuario raíz de Cuenta de AWS
Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.
Identidad federada
Como práctica recomendada, solicite que los usuarios humanos, incluidos los que requieren acceso de administrador, utilicen la federación con un proveedor de identidades para acceder a los Servicios de AWS utilizando credenciales temporales.
Una identidad federada es un usuario del directorio de usuarios de su empresa, un proveedor de identidad web, el AWS Directory Service, el directorio del Identity Center, o cualquier usuario que acceda a Servicios de AWS utilizando credenciales proporcionadas a través de una fuente de identidad. Cuando identidades federadas acceden a Cuentas de AWS, asumen roles y los roles proporcionan credenciales temporales.
Para una administración de acceso centralizada, le recomendamos que utilice AWS IAM Identity Center. Puede crear usuarios y grupos en el IAM Identity Center o puede conectarse y sincronizar con un conjunto de usuarios y grupos de su propia fuente de identidad para usarlos en todas sus aplicaciones y Cuentas de AWS. Para obtener más información, consulte ¿Qué es el Centro de identidades de IAM? en la Guía del usuario de AWS IAM Identity Center.
Usuarios y grupos de IAM
Un usuario de IAM es una identidad de la Cuenta de AWSque dispone de permisos específicos para una sola persona o aplicación. Siempre que sea posible, recomendamos emplear credenciales temporales, en lugar de crear usuarios de IAM que tengan credenciales de larga duración como contraseñas y claves de acceso. No obstante, si tiene casos de uso específicos que requieran credenciales de larga duración con usuarios de IAM, recomendamos rotar las claves de acceso. Para más información, consulte Rotar las claves de acceso periódicamente para casos de uso que requieran credenciales de larga duración en la Guía del usuario de IAM.
Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesión como grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los grupos facilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener un grupo cuyo nombre fuese IAMAdmins y conceder permisos a dicho grupo para administrar los recursos de IAM.
Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación, pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienen credenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para más información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario de IAM.
Roles de IAM
Un rol de IAM es una identidad de la Cuenta de AWSque dispone de permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una determinada persona. Puede asumir temporalmente un rol de IAM en la AWS Management Console cambiando de roles. Puede asumir un rol llamando a una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para más información sobre los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía del usuario de IAM.
Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:
-
Acceso de usuario federado: para asignar permisos a una identidad federada, puede crear un rol y definir sus permisos. Cuando se autentica una identidad federada, se asocia la identidad al rol y se le conceden los permisos define el rol. Para obtener información acerca de roles para federación, consulte Creación de un rol para un proveedor de identidades de terceros en la Guía del usuario de IAM. Si utiliza IAM Identity Center, debe configurar un conjunto de permisos. IAM Identity Center correlaciona el conjunto de permisos con un rol en IAM para controlar a qué pueden acceder las identidades después de autenticarse. Para obtener información acerca de los conjuntos de permisos, consulte Conjuntos de permisos en la Guía del usuario de AWS IAM Identity Center.
-
Permisos de usuario de IAM temporales: un usuario de IAM puede asumir un rol de IAM para recibir temporalmente permisos distintos que le permitan realizar una tarea concreta.
-
Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal de confianza) de otra cuenta acceda a los recursos de la cuenta. Los roles son la forma principal de conceder acceso entre cuentas. No obstante, con algunos Servicios de AWS se puede adjuntar una política directamente a un recurso (en lugar de utilizar un rol como representante). Para obtener información acerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario de IAM.
-
Acceso entre servicios: algunos Servicios de AWS utilizan características de otros Servicios de AWS. Por ejemplo, cuando realiza una llamada en un servicio, es común que ese servicio ejecute aplicaciones en Amazon EC2 o almacene objetos en Amazon S3. Es posible que un servicio haga esto usando los permisos de la entidad principal, usando un rol de servicio o usando un rol vinculado a servicios.
-
Reenviar sesiones de acceso (FAS): cuando utiliza un rol o un usuario de IAM para llevar a cabo acciones en AWS, se le considera una entidad principal. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. FAS utiliza los permisos de la entidad principal para llamar a un Servicio de AWS, combinados con el Servicio de AWS solicitante para realizar solicitudes a servicios posteriores. Las solicitudes de FAS solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros Servicios de AWS o recursos para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte Reenviar sesiones de acceso.
-
Rol de servicio: un rol de servicio es un rol de IAM que adopta un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.
-
Rol vinculado a los servicios: un rol vinculado a servicios es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
-
-
Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia de EC2 y realizan solicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtener credenciales temporales. Para más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Para obtener información sobre el uso de los roles de IAM, consulte Cuándo crear un rol de IAM (en lugar de un usuario) en la Guía del usuario de IAM.
Administración de acceso mediante políticas
Para controlar el acceso en AWS, se crean políticas y se adjuntan a identidades o recursos de AWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando una entidad principal (sesión de rol, usuario o usuario raíz) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre la estructura y el contenido de los documentos de política JSON, consulte Información general de políticas JSON en la Guía del usuario de IAM.
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.
Las políticas de IAM definen permisos para una acción independientemente del método que se utilice para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción iam:GetRole. Un usuario con dicha política puede obtener información del usuario de la AWS Management Console, la AWS CLI o la API de AWS.
Políticas basadas en identidades
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Las políticas basadas en identidades pueden clasificarse además como políticas insertadas o políticas administradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las políticas administradas son políticas independientes que puede adjuntar a varios usuarios, grupos y roles de su Cuenta de AWS. Las políticas administradas incluyen las políticas administradas por AWS y las políticas administradas por el cliente. Para más información sobre cómo elegir una política administrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas en la Guía del usuario de IAM.
Políticas basadas en recursos
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos. Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se puede utilizar políticas de IAM administradas por AWS en una política basada en recursos.
Listas de control de acceso (ACL)
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener más información sobre las ACL, consulte Información general de Lista de control de acceso (ACL) en la Guía para desarrolladores de Amazon Simple Storage Service.
Otros tipos de políticas
AWS admite otros tipos de políticas adicionales menos frecuentes. Estos tipos de políticas pueden establecer el máximo de permisos que los tipos de políticas más frecuentes le conceden.
-
Límites de permisos: un límite de permisos es una característica avanzada que le permite establecer los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuario o rol de IAM). Puede establecer un límite de permisos para una entidad. Los permisos resultantes son la intersección de las políticas basadas en la identidad de la entidad y los límites de permisos. Las políticas basadas en recursos que especifiquen el usuario o rol en el campo
Principalno estarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre los límites de los permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM. -
Políticas de control de servicio (SCP): las SCP son políticas de JSON que especifican los permisos máximos de una organización o una unidad organizativa en AWS Organizations. AWS Organizations es un servicio que le permite agrupar y administrar de manera centralizada varias Cuentas de AWS que posea su empresa. Si habilita todas las características en una empresa, entonces podrá aplicar políticas de control de servicio (SCP) a una o todas sus cuentas. Una SCP limita los permisos para las entidades de las cuentas de miembros, incluido cada Usuario raíz de la cuenta de AWS. Para obtener más información acerca de Organizations y las SCP, consulte Funcionamiento de las SCP en la Guía del usuario de AWS Organizations.
-
Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión. Los permisos también pueden proceder de una política en función de recursos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para más información, consulte Políticas de sesión en la Guía del usuario de IAM.
Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuando hay varios tipos de políticas implicados, consulte Lógica de evaluación de políticas en la Guía del usuario de IAM.
Políticas administradas (predefinidas) de AWS para CloudWatch
AWS aborda muchos casos de uso comunes dando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
Las siguientes políticas administradas de AWS, que se pueden adjuntar a los usuarios de la cuenta, son específicas de CloudWatch:
Temas
- CloudWatchFullAccessV2
- CloudWatchFullAccess
- CloudWatchReadOnlyAccess
- CloudWatchActionsEC2Access
- CloudWatchAutomaticDashboardsAccess
- CloudWatchAgentServerPolicy
- CloudWatchAgentAdminPolicy
- Políticas administradas (predefinidas) de AWS para la observabilidad entre cuentas de CloudWatch
- Políticas administradas (predefinidas) de AWS para CloudWatch Synthetics
- Políticas administradas (predefinidas) de AWS para Amazon CloudWatch RUM
- Políticas administradas (predefinidas) de AWS para CloudWatch Evidently
- Política administrada de AWS para Systems Manager Incident Manager de AWS
CloudWatchFullAccessV2
AWS recientemente agregó la política de IAM administrada de CloudWatchFullAccessV2. Esta política otorga acceso total a las acciones y los recursos de CloudWatch y, al mismo tiempo, delimita más adecuadamente los permisos concedidos a otros servicios, como Amazon SNS y Amazon EC2 Auto Scaling. Le recomendamos que comience a usar esta política en lugar de CloudWatchFullAccess.AWS planea dejar obsoleto CloudWatchFullAccess en un futuro próximo.
Incluye permisos de application-signals: para que los usuarios puedan acceder a todas las funciones desde la consola de CloudWatch en Application Signals. Incluye algunos permisos de autoscaling:Describe para que los usuarios con esta política puedan ver las acciones de escalado automático asociadas a las alarmas de CloudWatch. Incluye algunos permisos de sns para que los usuarios con esta política puedan recuperar temas de Amazon SNS creados y asociarlos a las alarmas de CloudWatch. Incluye permisos de IAM para que los usuarios con esta política puedan ver información sobre las funciones vinculadas a servicios asociados a CloudWatch. Incluye los permisos de oam:ListSinks y oam:ListAttachedLinks para que los usuarios con esta política puedan usar la consola para ver los datos compartidos desde las cuentas de origen en la observabilidad entre cuentas de CloudWatch.
Incluye rum, synthetics y permisos de xray para que los usuarios puedan tener acceso completo a CloudWatch Synthetics, AWS X-Ray y CloudWatch RUM, todos ellos bajo el servicio de CloudWatch.
Los contenidos de CloudWatchFullAccessV2 son los siguientes:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchFullAccessPermissions", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingPolicies", "application-signals:*", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribePolicies", "cloudwatch:*", "logs:*", "sns:CreateTopic", "sns:ListSubscriptions", "sns:ListSubscriptionsByTopic", "sns:ListTopics", "sns:Subscribe", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks", "rum:*", "synthetics:*", "xray:*" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsServiceLinkedRolePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals", "Condition": { "StringLike": { "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com" } } }, { "Sid": "EventsServicePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Sid": "OAMReadPermissions", "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
CloudWatchFullAccess
La política CloudWatchFullAccess está en vías de quedar obsoleta. Le recomendamos que deje de usarla y utilice CloudWatchFullAccessV2 en su lugar.
Los contenidos de CloudWatchFullAccess son los siguientes:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:Describe*", "cloudwatch:*", "logs:*", "sns:*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
CloudWatchReadOnlyAccess
La política CloudWatchReadOnlyAccess concede acceso de solo lectura a CloudWatch.
La política incluye algunos permisos de logs:, para que los usuarios con esta política puedan usar la consola para ver la información de los Registros de CloudWatch y las consultas de Información de registros de CloudWatch. Incluye autoscaling:Describe*, para que los usuarios con esta política puedan ver las acciones de escalado automático asociadas a las alarmas de CloudWatch. Incluye los permisos de application-signals: para que los usuarios puedan usar Application Signals para supervisar el estado de sus servicios. Incluye application-autoscaling:DescribeScalingPolicies, para que los usuarios con esta política puedan acceder a la información sobre las políticas de escalado automático de la aplicación. Incluye sns:Get* y sns:List*, para que los usuarios con esta política puedan recuperar información sobre los temas de Amazon SNS que reciben notificaciones sobre las alarmas de CloudWatch. Incluye los permisos de oam:ListSinks y oam:ListAttachedLinks, para que los usuarios con esta política puedan usar la consola para ver los datos compartidos desde las cuentas de origen en la observabilidad entre cuentas de CloudWatch. Incluye los permisos de iam:GetRole para que los usuarios puedan comprobar si se ha configurado CloudWatch Application Signals.
Incluye rum, synthetics y permisos de xray para que los usuarios puedan tener acceso solo de lectura a CloudWatch Synthetics, AWS X-Ray y CloudWatch RUM, todos ellos bajo el servicio de CloudWatch.
A continuación se detalla el contenido de la política CloudWatchReadOnlyAccess:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchReadOnlyAccessPermissions", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingPolicies", "application-signals:BatchGet*", "application-signals:Get*", "application-signals:List*", "autoscaling:Describe*", "cloudwatch:BatchGet*", "cloudwatch:Describe*", "cloudwatch:GenerateQuery", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:Describe*", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "oam:ListSinks", "sns:Get*", "sns:List*", "rum:BatchGet*", "rum:Get*", "rum:List*", "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "xray:BatchGet*", "xray:Get*" ], "Resource": "*" }, { "Sid": "OAMReadPermissions", "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" }, { "Sid": "CloudWatchReadOnlyGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" } ] }
CloudWatchActionsEC2Access
La política CloudWatchActionsEC2Access concede acceso de solo lectura a alarmas y métricas de CloudWatch, además de a los metadatos de Amazon EC2. Concede acceso a las acciones de la API de detener, terminar y reiniciar para instancias EC2.
A continuación se detalla el contenido de la política CloudWatchActionsEC2Access:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Describe*", "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*" } ] }
CloudWatchAutomaticDashboardsAccess
El rol de IAM CloudWatch-CrossAccountSharingRole utiliza la política administrada CloudWatch-CrossAccountAccess. Este rol y política permiten a los usuarios de paneles de cuentas cruzadas visualizar paneles automáticos en cada cuenta que comparta paneles.
A continuación se detalla el contenido de CloudWatchAutomaticDashboardsAccess:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListServices", "elasticache:DescribeCacheClusters", "elasticbeanstalk:DescribeEnvironments", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunction", "lambda:ListFunctions", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "route53:GetHealthCheck", "route53:ListHealthChecks", "s3:ListAllMyBuckets", "s3:ListBucket", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ListQueues", "synthetics:DescribeCanariesLastRun", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "apigateway:GET" ], "Effect": "Allow", "Resource": [ "arn:aws:apigateway:*::/restapis*" ] } ]
CloudWatchAgentServerPolicy
La política CloudWatchAgentServerPolicy se puede utilizar en roles de IAM adjuntados a instancias de Amazon EC2 a fin de permitir que el agente de CloudWatch lea información de la instancia y la registre en CloudWatch. El contenido es el siguiente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CWACloudWatchServerPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeVolumes", "ec2:DescribeTags", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup", "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": "*" }, { "Sid": "CWASSMServerPermissions", "Effect": "Allow", "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
CloudWatchAgentAdminPolicy
La política CloudWatchAgentAdminPolicy se puede utilizar en funciones de IAM adjuntadas a instancias de Amazon EC2. Esta política le permite al agente de CloudWatch leer información de la instancia y registrarla en CloudWatch, así como registrar información en el almacén de parámetros. El contenido es el siguiente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CWACloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeTags", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup", "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": "*" }, { "Sid": "CWASSMPermissions", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:PutParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
nota
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de CloudWatch. Puede asociar estas políticas personalizadas a los grupos o usuarios de IAM que requieran esos permisos.
Políticas administradas (predefinidas) de AWS para la observabilidad entre cuentas de CloudWatch
Las políticas de esta sección otorgan permisos relacionados con la observabilidad entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch.
CloudWatchCrossAccountSharingConfiguration
La política de CloudWatchCrossAccountSharingConfiguration permite crear, administrar y ver los enlaces de Observability Access Manager para compartir los recursos de CloudWatch entre cuentas. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. El contenido es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
OAMFullAccess
La política OAMFullAccess otorga acceso para crear, administrar y ver los sumideros y enlaces de Observability Access Manager, que se utilizan para la observabilidad entre cuentas de CloudWatch.
La política OAMFullAccess por sí sola no permite compartir datos de observabilidad entre enlaces. Para crear un enlace para compartir las métricas de CloudWatch, también necesita CloudWatchFullAccess o CloudWatchCrossAccountSharingConfiguration. Para crear un enlace para compartir los grupos de registro de CloudWatch Logs, también necesita CloudWatchLogsFullAccess o CloudWatchLogsCrossAccountSharingConfiguration. Para crear un enlace para compartir los seguimientos de X-Ray, también necesita AWSXRayFullAccess o AWSXRayCrossAccountSharingConfiguration.
Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. El contenido es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:*" ], "Resource": "*" } ] }
OAMReadOnlyAccess
La política OAMReadOnlyAccess otorga acceso de solo lectura a los recursos de Observability Access Manager, que se utilizan para la observabilidad entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. El contenido es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:Get*", "oam:List*" ], "Resource": "*" } ] }
Políticas administradas (predefinidas) de AWS para CloudWatch Synthetics
Las políticas administradas de AWS CloudWatchSyntheticsFullAccess y CloudWatchSyntheticsReadOnlyAccess están disponibles para asignarlas a usuarios que administrarán o usarán CloudWatch Synthetics. También son relevantes las siguientes políticas adicionales:
-
AmazonS3ReadOnlyAccess y CloudWatchReadOnlyAccess: estas son necesarias para poder leer todos los datos de Synthetics en la consola de CloudWatch.
-
AWSLambdaReadOnlyAccess: para poder ver el código fuente que utilizan los canaries.
-
CloudWatchSyntheticsFullAccess le permite crear un valor controlado; además, para crear un valor controlado que tendrá un rol de IAM nuevo creado para este, también necesita la siguiente declaración de política anexa:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:AttachRolePolicy", "iam:DetachRolePolicy", ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }importante
Conceder a un usuario los permisos
iam:CreateRole,iam:DeleteRole,iam:CreatePolicy,iam:DeletePolicy,iam:AttachRolePolicyyiam:DetachRolePolicyproporciona a ese usuario acceso administrativo completo para crear, adjuntar y eliminar roles y políticas que tienen ARN que hagan coincidirarn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*yarn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*. Por ejemplo, un usuario con estos permisos puede crear una política que tenga permisos completos para todos los recursos y asociarla a cualquier rol que coincida con ese patrón de ARN. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos.Para obtener información acerca de cómo asociar políticas y conceder permisos a los usuarios, consulte Cambio de los permisos de un usuario de IAM y Para integrar una política en línea de un usuario o un rol.
CloudWatchSyntheticsFullAccess
El contenido de la política CloudWatchSyntheticsFullAccess es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "s3:ListAllMyBuckets", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::cw-syn-*" }, { "Effect": "Allow", "Action": [ "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::aws-synthetics-library-*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration", "lambda:DeleteFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }
CloudWatchSyntheticsReadOnlyAccess
El contenido de la política CloudWatchSyntheticsReadOnlyAccess es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }
Políticas administradas (predefinidas) de AWS para Amazon CloudWatch RUM
Las políticas administradas AmazonCloudWatchRUMFullAccess (Acceso completo a Amazon CloudWatch RUM) y AmazonCloudWatchRUMReadOnlyAccess (Acceso de solo lectura a Amazon CloudWatch RUM) de AWS están disponibles para que las asigne a los usuarios que administrarán o usarán CloudWatch RUM.
AmazonCloudWatchRUMFullAccess
A continuación se detalla el contenido de la política AmazonCloudWatchRUMFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/RUM-Monitor*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "cognito-identity.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "cognito-identity:CreateIdentityPool", "cognito-identity:ListIdentityPools", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:SetIdentityPoolRoles" ], "Resource": "arn:aws:cognito-identity:*:*:identitypool/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:*RUMService*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanaries", "synthetics:describeCanariesLastRun" ], "Resource": "arn:aws:synthetics:*:*:canary:*" } ] }
AmazonCloudWatchRUMReadOnlyAccess
A continuación se detalla el contenido de la política AmazonCloudWatchRUMReadOnlyAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors", "rum:ListRumMetricsDestinations", "rum:BatchGetRumMetricDefinitions" ], "Resource": "*" } ] }
AmazonCloudWatchRUMServiceRolePolicy
No puede adjuntar AmazonCloudWatchRUMServiceRolePolicy (Política de roles de servicio de Amazon Cloud Watch RUM) a sus entidades de IAM. Esta política se adjunta a un rol vinculado a servicios que permite que CloudWatch RUM publique datos de supervisión en otros servicios relevantes de AWS. Para obtener más información sobre este rol vinculado a servicios, consulte Uso de roles vinculados a servicios para CloudWatch RUM.
A continuación se detalla el contenido completo de la política AmazonCloudWatchRUMServiceRolePolicy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringLike": { "cloudwatch:namespace": [ "RUM/CustomMetrics/*", "AWS/RUM" ] } } } ] }
Políticas administradas (predefinidas) de AWS para CloudWatch Evidently
Las políticas administradas CloudWatchEvidentlyFullAccess y CloudWatchEvidentlyReadOnlyAccess de AWS están disponibles para asignarlas a usuarios que administrarán o usarán CloudWatch Evidently.
CloudWatchEvidentlyFullAccess
A continuación se detalla el contenido de la política CloudWatchEvidentlyFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:TagResource", "cloudwatch:UnTagResource" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Evidently-*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] } ] }
CloudWatchEvidentlyReadOnlyAccess
A continuación se detalla el contenido de la política CloudWatchEvidentlyReadOnlyAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:GetSegment", "evidently:ListExperiments", "evidently:ListFeatures", "evidently:ListLaunches", "evidently:ListProjects", "evidently:ListSegments", "evidently:ListSegmentReferencs" ], "Resource": "*" } ] }
Política administrada de AWS para Systems Manager Incident Manager de AWS
La política AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy está adjuntada a un rol vinculado a servicios que permite a CloudWatch comenzar incidentes en Systems Manager Incident Manager de AWS en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios para acciones de alarmas de CloudWatch Systems Manager Incident Manager.
La política cuenta con el siguiente permiso:
-
ssm-incidents:StartIncident
Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de CloudWatch. Estas políticas funcionan cuando se utiliza la API de CloudWatch, los SDK de AWS o la AWS CLI.
Ejemplos
Ejemplo 1: Permitir al usuario acceso completo a CloudWatch
Para conceder a un usuario acceso completo a CloudWatch, puede otorgarle la política administrada CloudWatchFullAccess en lugar de crear una política administrada por el cliente. Los contenidos de CloudWatchFullAccess se describen en CloudWatchFullAccess.
Ejemplo 2: Permitir acceso de solo lectura a CloudWatch
La siguiente política le permite a un usuario acceso de solo lectura a CloudWatch y le permite ver las acciones de Amazon EC2 Auto Scaling, las métricas de CloudWatch, los datos de CloudWatch Logs y los datos de Amazon SNS relacionados con alarmas.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:Describe*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }
Ejemplo 3: Detener o terminar una instancia de Amazon EC2
La siguiente política le permite a una acción de alarma de CloudWatch detener o terminar una instancia EC2. En el siguiente ejemplo, las acciones GetMetricData, ListMetrics y DescribeAlarms son opcionales. Se recomienda que incluya estas acciones para asegurarse de haber parado o finalizado la instancia correctamente.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:DescribeAlarms" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
Actualizaciones de CloudWatch para las políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para CloudWatch debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de CloudWatch.
| Cambio | Descripción | Fecha |
|---|---|---|
|
CloudWatchFullAccessV2: actualizar a una política existente |
CloudWatch actualizó la política denominada CloudWatchFullAccessV2. Se actualizó el alcance de la política de |
20 de mayo de 2024 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch actualizó la política denominada CloudWatchReadOnlyAccess. El alcance de la política de |
20 de mayo de 2024 |
|
CloudWatchApplicationSignalsServiceRolePolicy: actualización a una política existente |
CloudWatch actualizó la política denominada CloudWatchApplicationSignalsServiceRolePolicy. El alcance de los permisos |
18 de abril de 2024 |
|
CloudWatchApplicationSignalsServiceRolePolicy: actualización a una política existente |
CloudWatch cambió el alcance de un permiso en CloudwatchApplicationSignalsServiceRolePolicy. El alcance del permiso |
8 de abril de 2024 |
|
CloudWatchAgentServerPolicy: actualización a una política existente |
CloudWatch agregó permisos a CloudWatchAgentServerPolicy. Los permisos |
12 de febrero de 2024 |
|
CloudWatchAgentAdminPolicy: actualización a una política existente |
CloudWatch agregó permisos a CloudWatchAgentAdminPolicy. Los permisos |
12 de febrero de 2024 |
|
CloudWatchFullAccessV2: actualizar a una política existente |
CloudWatch añadió permisos a CloudWatchFullAccessV2. Los permisos existentes para las acciones de CloudWatch Synthetics, X-Ray y CloudWatch RUM y los nuevos permisos para CloudWatch Application Signals se añadieron para que los usuarios con esta política puedan administrar CloudWatch Application Signals. Se añadió el permiso para crear el rol vinculado al servicio de CloudWatch Application Signals para permitir que CloudWatch Application Signals detecte los datos de telemetría en registros, métricas, seguimientos y etiquetas. |
5 de diciembre de 2023 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch agregó permisos a CloudWatchReadOnlyAccess. Los permisos existentes de solo lectura para las acciones de CloudWatch Synthetics, X-Ray y CloudWatch RUM y los nuevos permisos de solo lectura para CloudWatch Application Signals se añadieron para que los usuarios con esta política puedan clasificar y diagnosticar los problemas en el estado del servicio notificados por CloudWatch Application Signals. El permiso de |
5 de diciembre de 2023 |
|
CloudWatchApplicationSignalsServiceRolePolicy: nueva política |
CloudWatch agregó una nueva política CloudWatchApplicationSignalsServiceRolePolicy. La política CloudWatchApplicationSignalsServiceRolePolicy otorga permisos para que una próxima característica recopile datos de registros de CloudWatch, datos de registros de seguimiento de X-Ray, datos de métricas de CloudWatch y datos de etiquetado. |
9 de noviembre de 2023 |
|
AWSServiceRoleForCloudWatchMetrics_DBPerfinSightsServiceRolePolicy: nueva política |
CloudWatch agregó una nueva política, llamada AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy. La política AWSServiceRoleForCloudWatchMetrics_DBPerfInsightsServiceRolePolicy concede permiso a CloudWatch para obtener métricas de Performance Insights de las bases de datos en su nombre. |
20 de septiembre de 2023 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch agregó un permiso a CloudWatchReadOnlyAccess. El permiso |
14 de septiembre de 2023 |
|
CloudWatchFullAccessV2: nueva política |
CloudWatch agregó una nueva política CloudWatchFullAccessV2. CloudWatchFullAccessV2 otorga acceso total a las acciones y los recursos de CloudWatch y, al mismo tiempo, amplía el alcance de los permisos concedidos a otros servicios, como Amazon SNS y Amazon EC2 Auto Scaling. Para obtener más información, consulte CloudWatchFullAccessV2. |
1 de agosto de 2023 |
|
AWSServiceRoleForInternetMonitor: actualización a una política existente |
Amazon CloudWatch Internet Monitor agregó nuevos permisos para supervisar los recursos del Equilibrador de carga de red. Los permisos Para obtener más información, consulte Uso de Amazon CloudWatch Internet Monitor. |
15 de julio de 2023 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch agregó permisos a CloudWatchReadOnlyAccess. Se agregaron los permisos |
6 de junio de 2023 |
|
CloudWatchCrossAccountSharingConfiguration: política nueva |
CloudWatch agregó una política nueva para permitir administrar los enlaces de observabilidad entre cuentas de CloudWatch que comparten las métricas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. |
27 de noviembre de 2022 |
|
OAMFullAccess: política nueva |
CloudWatch agregó una política nueva para permitir la administración completa de los enlaces y sumideros de observabilidad de entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. |
27 de noviembre de 2022 |
|
OamReadOnlyAccess: política nueva |
CloudWatch agregó una política nueva para permitir ver información sobre los enlaces y los sumideros de observabilidad de entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. |
27 de noviembre de 2022 |
|
CloudWatchFullAccess: actualizar a una política existente |
CloudWatch agregó permisos a CloudWatchFullAccess. Los permisos de |
27 de noviembre de 2022 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch agregó permisos a CloudWatchReadOnlyAccess. Los permisos de |
27 de noviembre de 2022 |
AmazonCloudWatchRUMServiceRolePolicy: actualización de una política existente |
CloudWatch RUM actualizó una clave de condición en AmazonCloudWatchRUMServiceRolePolicy. La clave de condición
|
2 de febrero de 2023 |
AmazonCloudWatchRUMReadOnlyAccess: política actualizada |
CloudWatch agregó permisos a la política AmazonCloudWatchRUMReadOnlyAccess. Se agregaron los permisos |
27 de octubre de 2022 |
AmazonCloudWatchRUMServiceRolePolicy: actualización de una política existente |
CloudWatch RUM agregó permisos a la política AmazonCloudWatchRUMServiceRolePolicy. Se agregó el permiso |
26 de octubre de 2022 |
|
CloudWatchEvidentlyReadOnlyAccess: actualización de una política existente |
CloudWatch Evidently agregó permisos a CloudWatchEvidentlyReadOnlyAccess. Los permisos |
12 de agosto de 2022 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó permisos a CloudWatchSyntheticsFullAccess. Los permisos |
6 de mayo de 2022 |
|
AmazonCloudWatchRUMFullAccess: nueva política |
CloudWatch agregó una nueva política para permitir la administración completa de CloudWatch RUM. CloudWatch RUM le permite llevar a cabo una supervisión real de usuarios de su aplicación web. Para obtener más información, consulte Uso de CloudWatch RUM. |
29 de noviembre de 2021 |
|
AmazonCloudWatchRUMReadOnlyAccess: nueva política |
CloudWatch agregó una nueva política para permitir el acceso de solo lectura a CloudWatch RUM. CloudWatch RUM le permite llevar a cabo una supervisión real de usuarios de su aplicación web. Para obtener más información, consulte Uso de CloudWatch RUM. |
29 de noviembre de 2021 |
|
CloudWatchEvidentlyFullAccess: nueva política |
CloudWatch agregó una nueva política para permitir la administración completa de CloudWatch Evidently. CloudWatch Evidently le permite realizar experimentos A/B de sus aplicaciones web e implementarlos de forma gradual. Para obtener más información, consulte Realice lanzamientos y experimentos A/B con CloudWatch Evidently. |
29 de noviembre de 2021 |
|
CloudWatchEvidentlyReadOnlyAccess: nueva política |
CloudWatch agregó una nueva política para permitir el acceso de solo lectura a CloudWatch Evidently. CloudWatch Evidently le permite realizar experimentos A/B de sus aplicaciones web e implementarlos de forma gradual. Para obtener más información, consulte Realice lanzamientos y experimentos A/B con CloudWatch Evidently. |
29 de noviembre de 2021 |
|
AWSServiceRoleForCloudWatchRUM: nueva política administrada |
CloudWatch agregó una política para un nuevo rol vinculado a servicios para permitir que CloudWatch RUM publique los datos de supervisión en otros servicios relevantes de AWS. |
29 de noviembre de 2021 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó permisos aCloudWatchSyntheticsFullAccess (Acceso completo a CloudWatch Synthetics) y también cambió el alcance de un permiso. Se agregó el permiso de El ámbito del |
29 de septiembre de 2021 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó un permiso a CloudWatchSyntheticsFullAccess. Se agregó el permiso |
20 de julio de 2021 |
|
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy: nueva política administrada |
CloudWatch agregó una nueva política de IAM administrada para permitir que CloudWatch cree incidentes en Incident Manager de AWS Systems Manager. |
10 de mayo de 2021 |
CloudWatchAutomaticDashboardsAccess: actualización de una política existente |
CloudWatch agregó un permiso a la política administrada CloudWatchAutomaticDashboardsAccess El permiso |
20 de abril de 2021 |
|
CloudWatch comenzó a realizar seguimientos de los cambios |
CloudWatch comenzó a realizar seguimientos de los cambios para las Políticas administradas de AWS. |
14 de abril de 2021 |
