Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des identités et des accès pour Amazon CloudWatch
AWS Identity and Access Management (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser CloudWatch les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
Rubriques
- Public ciblé
- Authentification par des identités
- Gestion des accès à l’aide de politiques
- Comment Amazon CloudWatch travaille avec IAM
- Exemples de politiques basées sur l'identité pour Amazon CloudWatch
- Résolution des problèmes liés à CloudWatch l'identité et à l'accès à Amazon
- CloudWatch mise à jour des autorisations du tableau
- AWS politiques gérées (prédéfinies) pour CloudWatch
- Exemples de politiques gérées par le client
- CloudWatch mises à jour des politiques AWS gérées
- Utilisation de clés de condition pour limiter l'accès aux espaces de CloudWatch noms
- Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux
- Utilisation des clés de condition pour limiter les actions d'alarme
- Utilisation des rôles liés aux services pour CloudWatch
- Utilisation de rôles liés à un service pour RUM CloudWatch
- Utilisation de rôles liés à un service pour Application Insights CloudWatch
- AWS politiques gérées pour Amazon CloudWatch Application Insights
- Référence CloudWatch des autorisations Amazon
Public ciblé
La façon dont vous utilisez AWS Identity and Access Management (IAM) varie en fonction du travail que vous effectuez. CloudWatch
Utilisateur du service : si vous utilisez le CloudWatch service pour effectuer votre travail, votre administrateur vous fournit les informations d'identification et les autorisations dont vous avez besoin. Au fur et à mesure que vous utilisez de nouvelles CloudWatch fonctionnalités pour effectuer votre travail, vous aurez peut-être besoin d'autorisations supplémentaires. En comprenant bien la gestion des accès, vous saurez demander les autorisations appropriées à votre administrateur. Si vous ne pouvez pas accéder à une fonctionnalité dans CloudWatch, consultezRésolution des problèmes liés à CloudWatch l'identité et à l'accès à Amazon.
Administrateur du service — Si vous êtes responsable des CloudWatch ressources de votre entreprise, vous avez probablement un accès complet à CloudWatch. C'est à vous de déterminer les CloudWatch fonctionnalités et les ressources auxquelles les utilisateurs de votre service doivent accéder. Vous devez ensuite soumettre les demandes à votre administrateur IAM pour modifier les autorisations des utilisateurs de votre service. Consultez les informations sur cette page pour comprendre les concepts de base d’IAM. Pour en savoir plus sur la manière dont votre entreprise peut utiliser IAM avec CloudWatch, voirComment Amazon CloudWatch travaille avec IAM.
Administrateur IAM — Si vous êtes administrateur IAM, vous souhaiterez peut-être en savoir plus sur la manière dont vous pouvez rédiger des politiques pour gérer l'accès à. CloudWatch Pour consulter des exemples de politiques CloudWatch basées sur l'identité que vous pouvez utiliser dans IAM, consultez. Exemples de politiques basées sur l'identité pour Amazon CloudWatch
Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié (connecté à AWS) en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en AWS tant qu'identité fédérée en utilisant les informations d'identification fournies par le biais d'une source d'identité. AWS IAM Identity Center Les utilisateurs (IAM Identity Center), l'authentification unique de votre entreprise et vos informations d'identification Google ou Facebook sont des exemples d'identités fédérées. Lorsque vous vous connectez avec une identité fédérée, votre administrateur aura précédemment configuré une fédération d’identités avec des rôles IAM. Lorsque vous accédez à AWS l'aide de la fédération, vous assumez indirectement un rôle.
Selon le type d'utilisateur que vous êtes, vous pouvez vous connecter au portail AWS Management Console ou au portail AWS d'accès. Pour plus d'informations sur la connexion à AWS, consultez la section Comment vous connecter à votre compte Compte AWS dans le guide de Connexion à AWS l'utilisateur.
Si vous y accédez AWS par programmation, AWS fournit un kit de développement logiciel (SDK) et une interface de ligne de commande (CLI) pour signer cryptographiquement vos demandes à l'aide de vos informations d'identification. Si vous n'utilisez pas d' AWS outils, vous devez signer vous-même les demandes. Pour plus d'informations sur l'utilisation de la méthode recommandée pour signer vous-même les demandes, consultez la section Signature des demandes AWS d'API dans le guide de l'utilisateur IAM.
Quelle que soit la méthode d’authentification que vous utilisez, vous devrez peut-être fournir des informations de sécurité supplémentaires. Par exemple, il vous AWS recommande d'utiliser l'authentification multifactorielle (MFA) pour renforcer la sécurité de votre compte. Pour en savoir plus, consultez Authentification multifactorielle dans le Guide de l’utilisateur AWS IAM Identity Center et Utilisation de l’authentification multifactorielle (MFA) dans l’interface AWS dans le Guide de l’utilisateur IAM.
Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur root, consultez Tâches nécessitant des informations d’identification d’utilisateur root dans le Guide de l’utilisateur IAM.
Identité fédérée
La meilleure pratique consiste à obliger les utilisateurs humains, y compris ceux qui ont besoin d'un accès administrateur, à utiliser la fédération avec un fournisseur d'identité pour accéder à l'aide Services AWS d'informations d'identification temporaires.
Une identité fédérée est un utilisateur de l'annuaire des utilisateurs de votre entreprise, d'un fournisseur d'identité Web AWS Directory Service, du répertoire Identity Center ou de tout utilisateur qui y accède à l'aide des informations d'identification fournies Services AWS par le biais d'une source d'identité. Lorsque des identités fédérées y accèdent Comptes AWS, elles assument des rôles, qui fournissent des informations d'identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Vous pouvez créer des utilisateurs et des groupes dans IAM Identity Center, ou vous pouvez vous connecter et synchroniser avec un ensemble d'utilisateurs et de groupes dans votre propre source d'identité afin de les utiliser dans toutes vos applications Comptes AWS et applications. Pour obtenir des informations sur IAM Identity Center, consultez Qu’est-ce que IAM Identity Center ? dans le Guide de l’utilisateur AWS IAM Identity Center .
Utilisateurs et groupes IAM
Un utilisateur IAM est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques pour une seule personne ou une seule application. Dans la mesure du possible, nous vous recommandons de vous appuyer sur des informations d’identification temporaires plutôt que de créer des utilisateurs IAM ayant des informations d’identification à long terme tels que les clés d’accès. Toutefois, si certains cas d’utilisation spécifiques nécessitent des informations d’identification à long terme avec les utilisateurs IAM, nous vous recommandons de faire pivoter les clés d’accès. Pour plus d’informations, consultez Rotation régulière des clés d’accès pour les cas d’utilisation nécessitant des informations d’identification dans le Guide de l’utilisateur IAM.
Un groupe IAM est une identité qui concerne un ensemble d’utilisateurs IAM. Vous ne pouvez pas vous connecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pour plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Par exemple, vous pouvez avoir un groupe nommé IAMAdmins et accorder à ce groupe les autorisations d’administrer des ressources IAM.
Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personne ou une application, alors qu’un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. Les utilisateurs disposent d’informations d’identification permanentes, mais les rôles fournissent des informations d’identification temporaires. Pour en savoir plus, consultez Quand créer un utilisateur IAM (au lieu d’un rôle) dans le Guide de l’utilisateur IAM.
Rôles IAM
Un rôle IAM est une identité au sein de vous Compte AWS dotée d'autorisations spécifiques. Le concept ressemble à celui d’utilisateur IAM, mais le rôle IAM n’est pas associé à une personne en particulier. Vous pouvez assumer temporairement un rôle IAM dans le en AWS Management Console changeant de rôle. Vous pouvez assumer un rôle en appelant une opération d' AWS API AWS CLI ou en utilisant une URL personnalisée. Pour plus d’informations sur les méthodes d’utilisation des rôles, consultez Utilisation de rôles IAM dans le Guide de l’utilisateur IAM.
Les rôles IAM avec des informations d’identification temporaires sont utiles dans les cas suivants :
-
Accès utilisateur fédéré – Pour attribuer des autorisations à une identité fédérée, vous créez un rôle et définissez des autorisations pour le rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour obtenir des informations sur les rôles pour la fédération, consultez Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM. Si vous utilisez IAM Identity Center, vous configurez un jeu d’autorisations. IAM Identity Center met en corrélation le jeu d’autorisations avec un rôle dans IAM afin de contrôler à quoi vos identités peuvent accéder après leur authentification. Pour plus d’informations sur les jeux d’autorisations, consultez la rubrique Jeux d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .
-
Autorisations d’utilisateur IAM temporaires : un rôle ou un utilisateur IAM peut endosser un rôle IAM pour profiter temporairement d’autorisations différentes pour une tâche spécifique.
-
Accès intercompte : vous pouvez utiliser un rôle IAM pour permettre à un utilisateur (principal de confiance) d’un compte différent d’accéder aux ressources de votre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, dans certains Services AWS cas, vous pouvez associer une politique directement à une ressource (au lieu d'utiliser un rôle comme proxy). Pour connaître la différence entre les rôles et les politiques basées sur les ressources pour l'accès entre comptes, consultez la section Accès aux ressources entre comptes dans IAM dans le guide de l'utilisateur IAM.
-
Accès multiservices — Certains Services AWS utilisent des fonctionnalités dans d'autres Services AWS. Par exemple, lorsque vous effectuez un appel dans un service, il est courant que ce service exécute des applications dans Amazon EC2 ou stocke des objets dans Amazon S3. Un service peut le faire en utilisant les autorisations d’appel du principal, un rôle de service ou un rôle lié au service.
-
Sessions d'accès direct (FAS) : lorsque vous utilisez un utilisateur ou un rôle IAM pour effectuer des actions AWS, vous êtes considéré comme un mandant. Lorsque vous utilisez certains services, vous pouvez effectuer une action qui initie une autre action dans un autre service. FAS utilise les autorisations du principal appelant et Service AWS, associées Service AWS à la demande, pour adresser des demandes aux services en aval. Les demandes FAS ne sont effectuées que lorsqu'un service reçoit une demande qui nécessite des interactions avec d'autres personnes Services AWS ou des ressources pour être traitée. Dans ce cas, vous devez disposer d’autorisations nécessaires pour effectuer les deux actions. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez Sessions de transmission d’accès.
-
Rôle de service : il s’agit d’un rôle IAM attribué à un service afin de réaliser des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d’IAM. Pour plus d’informations, consultez Création d’un rôle pour la délégation d’autorisations à un Service AWS dans le Guide de l’utilisateur IAM.
-
Rôle lié à un service — Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
-
-
Applications exécutées sur Amazon EC2 : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une instance EC2 et qui envoient des demandes d'API. AWS CLI AWS Cette solution est préférable au stockage des clés d’accès au sein de l’instance EC2. Pour attribuer un AWS rôle à une instance EC2 et le mettre à la disposition de toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d’instance contient le rôle et permet aux programmes qui s’exécutent sur l’instance EC2 d’obtenir des informations d’identification temporaires. Pour plus d’informations, consultez Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur IAM.
Pour savoir dans quel cas utiliser des rôles ou des utilisateurs IAM, consultez Quand créer un rôle IAM (au lieu d’un utilisateur) dans le Guide de l’utilisateur IAM.
Gestion des accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. AWS évalue ces politiques lorsqu'un principal (utilisateur, utilisateur root ou session de rôle) fait une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations sur la structure et le contenu des documents de politique JSON, consultez Vue d’ensemble des politiques JSON dans le Guide de l’utilisateur IAM.
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM. L’administrateur peut ensuite ajouter les politiques IAM aux rôles et les utilisateurs peuvent assumer les rôles.
Les politiques IAM définissent les autorisations d’une action, quelle que soit la méthode que vous utilisez pour exécuter l’opération. Par exemple, supposons que vous disposiez d’une politique qui autorise l’action iam:GetRole. Un utilisateur appliquant cette politique peut obtenir des informations sur le rôle à partir de AWS Management Console AWS CLI, de ou de l' AWS
API.
Politiques basées sur l’identité
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez Création de politiques IAM dans le Guide de l’utilisateur IAM.
Les politiques basées sur l’identité peuvent être classées comme des politiques en ligne ou des politiques gérées. Les politiques en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Les politiques gérées sont des politiques autonomes que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre Compte AWS. Les politiques gérées incluent les politiques AWS gérées et les politiques gérées par le client. Pour découvrir comment choisir entre une politique gérée et une politique en ligne, consultez Choix entre les politiques gérées et les politiques en ligne dans le Guide de l’utilisateur IAM.
politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Des politiques basées sur les ressources sont, par exemple, les politiques de confiance de rôle IAM et des politiques de compartiment. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez spécifier un principal dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
Listes de contrôle d’accès (ACL)
Les listes de contrôle d’accès (ACL) vérifie quels principals (membres de compte, utilisateurs ou rôles) ont l’autorisation d’accéder à une ressource. Les listes de contrôle d’accès sont similaires aux politiques basées sur les ressources, bien qu’elles n’utilisent pas le format de document de politique JSON.
Amazon S3 et Amazon VPC sont des exemples de services qui prennent en charge les ACL. AWS WAF Pour en savoir plus sur les listes de contrôle d’accès, consultez Vue d’ensemble des listes de contrôle d’accès (ACL) dans le Guide du développeur Amazon Simple Storage Service.
Autres types de politique
AWS prend en charge d'autres types de politiques moins courants. Ces types de politiques peuvent définir le nombre maximum d’autorisations qui vous sont accordées par des types de politiques plus courants.
-
Limite d’autorisations : une limite d’autorisations est une fonctionnalité avancée dans laquelle vous définissez le nombre maximal d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM (utilisateur ou rôle IAM). Vous pouvez définir une limite d’autorisations pour une entité. Les autorisations en résultant représentent la combinaison des politiques basées sur l’identité d’une entité et de ses limites d’autorisation. Les politiques basées sur les ressources qui spécifient l’utilisateur ou le rôle dans le champ
Principalne sont pas limitées par les limites d’autorisations. Un refus explicite dans l’une de ces politiques remplace l’autorisation. Pour plus d’informations sur les limites d’autorisations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM. -
Politiques de contrôle des services (SCP) — Les SCP sont des politiques JSON qui spécifient les autorisations maximales pour une organisation ou une unité organisationnelle (UO) dans. AWS Organizations AWS Organizations est un service permettant de regrouper et de gérer de manière centralisée Comptes AWS les multiples propriétés de votre entreprise. Si vous activez toutes les fonctionnalités d’une organisation, vous pouvez appliquer les politiques de contrôle des services (SCP) à l’un ou à l’ensemble de vos comptes. Le SCP limite les autorisations pour les entités figurant dans les comptes des membres, y compris chacune Utilisateur racine d'un compte AWS d'entre elles. Pour plus d’informations sur les organisations et les SCP, consultez Fonctionnement des SCP dans le Guide de l’utilisateur AWS Organizations .
-
Politiques de séance : les politiques de séance sont des politiques avancées que vous utilisez en tant que paramètre lorsque vous créez par programmation une séance temporaire pour un rôle ou un utilisateur fédéré. Les autorisations de séance en résultant sont une combinaison des politiques basées sur l’identité de l’utilisateur ou du rôle et des politiques de séance. Les autorisations peuvent également provenir d’une politique basée sur les ressources. Un refus explicite dans l’une de ces politiques annule l’autorisation. Pour plus d’informations, consultez politiques de séance dans le Guide de l’utilisateur IAM.
Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section Logique d'évaluation des politiques dans le guide de l'utilisateur IAM.
AWS politiques gérées (prédéfinies) pour CloudWatch
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Ces politiques AWS gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous puissiez éviter d'avoir à rechercher les autorisations nécessaires. Pour plus d’informations, consultez la section Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à CloudWatch.
Rubriques
- CloudWatchFullAccessV2
- CloudWatchFullAccess
- CloudWatchReadOnlyAccess
- CloudWatchActionsAccès EC2
- CloudWatchAutomaticDashboardsAccess
- CloudWatchAgentServerPolicy
- CloudWatchAgentAdminPolicy
- AWS politiques gérées (prédéfinies) pour l' CloudWatch observabilité entre comptes
- AWS politiques gérées (prédéfinies) pour les signaux CloudWatch d'application
- AWS politiques gérées (prédéfinies) pour CloudWatch Synthetics
- AWS politiques gérées (prédéfinies) pour Amazon CloudWatch RUM
- AWS politiques gérées (prédéfinies) pour CloudWatch Evidently
- AWS politique gérée pour AWS Systems Manager Incident Manager
CloudWatchFullAccessV2
AWS a récemment ajouté la politique IAM gérée par la CloudWatchFullAccessV2. Cette politique accorde un accès complet aux CloudWatch actions et aux ressources et définit également de manière plus appropriée les autorisations accordées pour d'autres services tels qu'Amazon Amazon EC2 Auto Scaling SNS et. Nous vous recommandons de commencer à utiliser cette politique plutôt que d'utiliser CloudWatchFullAccess. AWS prévoit de devenir obsolète CloudWatchFullAccessdans un futur proche.
Il inclut application-signals: des autorisations permettant aux utilisateurs d'accéder à toutes les fonctionnalités depuis la CloudWatch console sous Application Signals. Elle inclut certaines autoscaling:Describe autorisations afin que les utilisateurs soumis à cette politique puissent voir les actions Auto Scaling associées aux CloudWatch alarmes. Elle inclut certaines sns autorisations afin que les utilisateurs soumis à cette politique puissent récupérer, créer des rubriques Amazon SNS et les associer CloudWatch à des alarmes. Elle inclut des autorisations IAM afin que les utilisateurs soumis à cette politique puissent consulter les informations sur les rôles liés aux services associés à. CloudWatch Elle inclut les oam:ListAttachedLinks autorisations oam:ListSinks et afin que les utilisateurs soumis à cette politique puissent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes.
Il inclut rumsynthetics, et xray des autorisations permettant aux utilisateurs d'avoir un accès complet à CloudWatch Synthetics CloudWatch et RUM AWS X-Ray, qui sont tous couverts par le service. CloudWatch
Le contenu de la CloudWatchFullAccessV2 est le suivant :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchFullAccessPermissions", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingPolicies", "application-signals:*", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribePolicies", "cloudwatch:*", "logs:*", "sns:CreateTopic", "sns:ListSubscriptions", "sns:ListSubscriptionsByTopic", "sns:ListTopics", "sns:Subscribe", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks", "rum:*", "synthetics:*", "xray:*" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsServiceLinkedRolePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals", "Condition": { "StringLike": { "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com" } } }, { "Sid": "EventsServicePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Sid": "OAMReadPermissions", "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
CloudWatchFullAccess
La CloudWatchFullAccesspolitique est sur le point de devenir obsolète. Nous vous recommandons d'arrêter de l'utiliser et d'utiliser la CloudWatchFullAccessversion V2 à la place.
Le contenu de CloudWatchFullAccessest le suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:Describe*", "cloudwatch:*", "logs:*", "sns:*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
CloudWatchReadOnlyAccess
La CloudWatchReadOnlyAccesspolitique accorde un accès en lecture seule à. CloudWatch
La politique inclut certaines logs: autorisations, de sorte que les utilisateurs dotés de cette politique peuvent utiliser la console pour consulter les informations CloudWatch des journaux et les requêtes de CloudWatch journaux Insights. Cela inclutautoscaling:Describe*, afin que les utilisateurs soumis à cette politique puissent voir les actions Auto Scaling associées aux CloudWatch alarmes. Il inclut les application-signals: autorisations permettant aux utilisateurs d'utiliser les signaux d'application pour surveiller l'état de leurs services. Elle inclut application-autoscaling:DescribeScalingPolicies afin que les utilisateurs dotés de cette politique puissent accéder aux informations sur les politiques Application Auto Scaling. Cela inclut sns:Get* etsns:List*, afin que les utilisateurs soumis à cette politique puissent récupérer des informations sur les rubriques Amazon SNS qui reçoivent des notifications concernant CloudWatch les alarmes. Elle inclut les oam:ListAttachedLinks autorisations oam:ListSinks et, de sorte que les utilisateurs soumis à cette politique peuvent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes. Il inclut les iam:GetRole autorisations permettant aux utilisateurs de vérifier si les signaux CloudWatch d'application ont été configurés.
Il inclut rumsynthetics, et xray des autorisations permettant aux utilisateurs d'avoir un accès en lecture seule à Synthetics CloudWatch et CloudWatch RUM AWS X-Ray, qui sont tous couverts par le service. CloudWatch
Le contenu de la CloudWatchReadOnlyAccesspolitique est le suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchReadOnlyAccessPermissions", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingPolicies", "application-signals:BatchGet*", "application-signals:Get*", "application-signals:List*", "autoscaling:Describe*", "cloudwatch:BatchGet*", "cloudwatch:Describe*", "cloudwatch:GenerateQuery", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:Describe*", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "oam:ListSinks", "sns:Get*", "sns:List*", "rum:BatchGet*", "rum:Get*", "rum:List*", "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "xray:BatchGet*", "xray:Get*" ], "Resource": "*" }, { "Sid": "OAMReadPermissions", "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" }, { "Sid": "CloudWatchReadOnlyGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" } ] }
CloudWatchActionsAccès EC2
La politique CloudWatchActionsEC2Access accorde un accès en lecture seule aux CloudWatch alarmes et aux métriques en plus des métadonnées Amazon EC2. Il accorde également l'accès pour arrêter, interrompre et réinitialiser les actions d'API pour les instances EC2.
Voici le contenu de la politique CloudWatchActionsEC2Access.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Describe*", "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*" } ] }
CloudWatchAutomaticDashboardsAccess
La CloudWatch politique CrossAccountAccess gérée est utilisée par le rôle CloudWatch- CrossAccountSharingRole IAM. Ce rôle et cette politique permettent aux utilisateurs de tableaux de bord intercomptes d'afficher des tableaux de bord automatiques dans chaque compte partageant des tableaux de bord.
Voici le contenu de CloudWatchAutomaticDashboardsAccess:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListServices", "elasticache:DescribeCacheClusters", "elasticbeanstalk:DescribeEnvironments", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunction", "lambda:ListFunctions", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "route53:GetHealthCheck", "route53:ListHealthChecks", "s3:ListAllMyBuckets", "s3:ListBucket", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ListQueues", "synthetics:DescribeCanariesLastRun", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "apigateway:GET" ], "Effect": "Allow", "Resource": [ "arn:aws:apigateway:*::/restapis*" ] } ]
CloudWatchAgentServerPolicy
La CloudWatchAgentServerPolicypolitique peut être utilisée dans les rôles IAM attachés aux instances Amazon EC2 pour permettre à CloudWatch l'agent de lire les informations de l'instance et de les y écrire. CloudWatch Son contenu est le suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CWACloudWatchServerPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeVolumes", "ec2:DescribeTags", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup", "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": "*" }, { "Sid": "CWASSMServerPermissions", "Effect": "Allow", "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
CloudWatchAgentAdminPolicy
La CloudWatchAgentAdminPolicypolitique peut être utilisée dans les rôles IAM attachés aux instances Amazon EC2. Cette politique permet à l' CloudWatch agent de lire les informations de l'instance et de les écrire CloudWatch, ainsi que d'écrire des informations dans Parameter Store. Son contenu est le suivant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CWACloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeTags", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup", "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": "*" }, { "Sid": "CWASSMPermissions", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:PutParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
Note
Vous pouvez consulter ces politiques d'autorisations en vous connectant à la console IAM et en y recherchant des politiques spécifiques.
Vous pouvez également créer vos propres politiques IAM personnalisées pour autoriser les CloudWatch actions et les ressources. Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui nécessitent ces autorisations.
AWS politiques gérées (prédéfinies) pour l' CloudWatch observabilité entre comptes
Les politiques décrites dans cette section accordent des autorisations liées à l' CloudWatch observabilité entre comptes. Pour plus d’informations, consultez CloudWatch observabilité entre comptes.
CloudWatchCrossAccountSharingConfiguration
La CloudWatchCrossAccountSharingConfigurationpolitique autorise l'accès à la création, à la gestion et à l'affichage des liens d'Observability Access Manager pour le partage de CloudWatch ressources entre comptes. Pour plus d’informations, consultez CloudWatch observabilité entre comptes. Le contenu est le suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
OAM FullAccess
La FullAccess politique OAM autorise l'accès à la création, à la gestion et à l'affichage des puits et des liens d'Observability Access Manager, qui sont utilisés pour l'observabilité CloudWatch entre comptes.
La FullAccess politique OAM en elle-même ne vous permet pas de partager des données d'observabilité entre des liens. Pour créer un lien permettant de partager des CloudWatch statistiques, vous avez également besoin de l'un CloudWatchFullAccessou de l'autre CloudWatchCrossAccountSharingConfiguration. Pour créer un lien permettant de partager CloudWatch des groupes de journaux Logs, vous avez également besoin de l'un CloudWatchLogsFullAccessou de CloudWatchLogsCrossAccountSharingConfiguration. Pour créer un lien permettant de partager des traces de X-Ray, vous avez également besoin de l'un AWSXRayFullAccessou de l'autre AWSXRayCrossAccountSharingConfiguration.
Pour plus d’informations, consultez CloudWatch observabilité entre comptes. Le contenu est le suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:*" ], "Resource": "*" } ] }
OAM ReadOnlyAccess
La ReadOnlyAccess politique OAM accorde un accès en lecture seule aux ressources de l'Observability Access Manager, qui sont utilisées pour l'observabilité entre comptes. CloudWatch Pour plus d’informations, consultez CloudWatch observabilité entre comptes. Le contenu est le suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:Get*", "oam:List*" ], "Resource": "*" } ] }
AWS politiques gérées (prédéfinies) pour les signaux CloudWatch d'application
Les politiques de cette section accordent des autorisations relatives aux signaux CloudWatch d'application. Pour plus d’informations, consultez Application Signals.
CloudWatchApplicationSignalsReadOnlyAccess
AWS a ajouté la politique IAM CloudWatchApplicationSignalsReadOnlyAccessgérée. Cette politique accorde un accès en lecture seule aux actions et aux ressources disponibles pour les utilisateurs dans la CloudWatch console sous Application Signals. Il inclut des application-signals: politiques permettant aux utilisateurs d'utiliser les signaux des CloudWatch applications pour consulter, étudier et surveiller l'état de leurs services. Il inclut une iam:GetRole politique permettant aux utilisateurs de récupérer des informations sur un rôle IAM. Il inclut des logs: politiques permettant de démarrer et d'arrêter les requêtes, de récupérer la configuration d'un filtre métrique et d'obtenir les résultats des requêtes. Il inclut des cloudwatch: politiques permettant aux utilisateurs d'obtenir des informations sur une CloudWatch alarme ou des métriques. Il inclut des synthetics: politiques permettant aux utilisateurs de récupérer des informations sur les canaris synthétiques. Il inclut des rum: politiques pour exécuter des opérations par lots, récupérer des données et mettre à jour les définitions des métriques pour les clients RUM. Il inclut une xray: politique de récupération des résumés de traces.
Voici le contenu de cette CloudWatchApplicationSignalsReadOnlyAccesspolitique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchApplicationSignalsReadOnlyAccessPermissions", "Effect": "Allow", "Action": [ "application-signals:BatchGetServiceLevelObjectiveBudgetReport", "application-signals:GetService", "application-signals:GetServiceLevelObjective", "application-signals:ListServiceLevelObjectives", "application-signals:ListServiceDependencies", "application-signals:ListServiceDependents", "application-signals:ListServiceOperations", "application-signals:ListServices", "application-signals:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" }, { "Sid": "CloudWatchApplicationSignalsLogGroupPermissions", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" }, { "Sid": "CloudWatchApplicationSignalsLogsPermissions", "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:GetQueryResults" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsAlarmsReadPermissions", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsMetricsReadPermissions", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsSyntheticsReadPermissions", "Effect": "Allow", "Action": [ "synthetics:DescribeCanaries", "synthetics:DescribeCanariesLastRun", "synthetics:GetCanaryRuns" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsRumReadPermissions", "Effect": "Allow", "Action": [ "rum:BatchGetRumMetricDefinitions", "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsXrayReadPermissions", "Effect": "Allow", "Action": [ "xray:GetTraceSummaries" ], "Resource": "*" } ] }
CloudWatchApplicationSignalsFullAccess
AWS a ajouté la politique IAM CloudWatchApplicationSignalsFullAccessgérée. Cette politique donne accès à toutes les actions et ressources disponibles pour les utilisateurs dans la CloudWatch console. Il inclut des application-signals: politiques permettant aux utilisateurs d'utiliser les signaux des CloudWatch applications pour consulter, étudier et surveiller l'état de leurs services. Il utilise des cloudwatch: politiques pour récupérer les données des métriques et des alarmes. Il utilise des logs: politiques pour gérer les requêtes et les filtres. Il utilise des synthetics: politiques permettant aux utilisateurs de récupérer des informations sur les canaris synthétiques. Il inclut des rum: politiques pour exécuter des opérations par lots, récupérer des données et mettre à jour les définitions des métriques pour les clients RUM. Il inclut une xray: politique de récupération des résumés de traces. Il inclut des arn:aws:cloudwatch:*:*:alarm: politiques permettant aux utilisateurs de récupérer des informations sur une alarme d'objectif de niveau de service (SLO). Il inclut des iam: politiques pour gérer les rôles IAM. Il utilise des sns: politiques pour créer, répertorier et s'abonner à une rubrique Amazon SNS.
Voici le contenu de cette CloudWatchApplicationSignalsFullAccesspolitique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchApplicationSignalsFullAccessPermissions", "Effect": "Allow", "Action": "application-signals:*", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsAlarmsPermissions", "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsMetricsPermissions", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsLogGroupPermissions", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" }, { "Sid": "CloudWatchApplicationSignalsLogsPermissions", "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:GetQueryResults" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsSyntheticsPermissions", "Effect": "Allow", "Action": [ "synthetics:DescribeCanaries", "synthetics:DescribeCanariesLastRun", "synthetics:GetCanaryRuns" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsRumPermissions", "Effect": "Allow", "Action": [ "rum:BatchCreateRumMetricDefinitions", "rum:BatchDeleteRumMetricDefinitions", "rum:BatchGetRumMetricDefinitions", "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors", "rum:PutRumMetricsDestination", "rum:UpdateRumMetricDefinition" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsXrayPermissions", "Effect": "Allow", "Action": "xray:GetTraceSummaries", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsPutMetricAlarmPermissions", "Effect": "Allow", "Action": "cloudwatch:PutMetricAlarm", "Resource": [ "arn:aws:cloudwatch:*:*:alarm:SLO-AttainmentGoalAlarm-*", "arn:aws:cloudwatch:*:*:alarm:SLO-WarningAlarm-*", "arn:aws:cloudwatch:*:*:alarm:SLI-HealthAlarm-*" ] }, { "Sid": "CloudWatchApplicationSignalsCreateServiceLinkedRolePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals", "Condition": { "StringLike": { "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com" } } }, { "Sid": "CloudWatchApplicationSignalsGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" }, { "Sid": "CloudWatchApplicationSignalsSnsWritePermissions", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe" ], "Resource": "arn:aws:sns:*:*:cloudwatch-application-signals-*" }, { "Sid": "CloudWatchApplicationSignalsSnsReadPermissions", "Effect": "Allow", "Action": "sns:ListTopics", "Resource": "*" } ] }
AWS politiques gérées (prédéfinies) pour CloudWatch Synthetics
Les politiques CloudWatchSyntheticsReadOnlyAccess AWS gérées CloudWatchSyntheticsFullAccesset les politiques gérées sont disponibles pour que vous puissiez les attribuer aux utilisateurs qui géreront ou utiliseront CloudWatch Synthetics. Les politiques supplémentaires suivantes sont également pertinentes :
-
AmazonS3 ReadOnlyAccess et CloudWatchReadOnlyAccess— Ils sont nécessaires pour pouvoir lire toutes les données Synthetics dans la console. CloudWatch
-
AWSLambdaReadOnlyAccess— Pour pouvoir consulter le code source utilisé par les canaris.
-
CloudWatchSyntheticsFullAccessvous permet de créer des canaris. En outre, pour créer et supprimer des canaris auxquels un nouveau rôle IAM a été créé, vous avez également besoin de la déclaration de politique intégrée suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:AttachRolePolicy", "iam:DetachRolePolicy", ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }Important
Accorder à un utilisateur les autorisations
iam:CreateRole,iam:DeleteRole,iam:CreatePolicy,iam:DeletePolicy,iam:AttachRolePolicyetiam:DetachRolePolicypermet à cet utilisateur de bénéficier d'un accès administratif complet pour créer, attacher et supprimer des rôles et des politiques dont les ARN correspondent àarn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*etarn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*. Par exemple, un utilisateur disposant de ces autorisations peut créer une politique disposant d'autorisations complètes pour toutes les ressources et attacher cette politique à n'importe quel rôle. Sélectionnez attentivement les personnes auxquelles vous accordez ces autorisations.Pour plus d'informations sur l'association des politiques et l'octroi d'autorisations aux utilisateurs, consultez Modification des autorisations pour un utilisateur IAM et Pour intégrer une politique en ligne pour un utilisateur ou un rôle.
CloudWatchSyntheticsFullAccess
Le contenu de la CloudWatchSyntheticsFullAccesspolitique est le suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "s3:ListAllMyBuckets", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::cw-syn-*" }, { "Effect": "Allow", "Action": [ "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::aws-synthetics-library-*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration", "lambda:DeleteFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }
CloudWatchSyntheticsReadOnlyAccess
Le contenu de la CloudWatchSyntheticsReadOnlyAccesspolitique est le suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }
AWS politiques gérées (prédéfinies) pour Amazon CloudWatch RUM
Les politiques ReadOnlyAccess AWS gérées AmazonCloudWatchAmazonCloudWatchRUM FullAccess et RUM sont disponibles pour que vous puissiez les attribuer aux utilisateurs qui géreront ou utiliseront le CloudWatch RUM.
AmazonCloudWatchRHUM FullAccess
Voici le contenu de la FullAccess politique AmazonCloudWatchRUM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/RUM-Monitor*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "cognito-identity.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "cognito-identity:CreateIdentityPool", "cognito-identity:ListIdentityPools", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:SetIdentityPoolRoles" ], "Resource": "arn:aws:cognito-identity:*:*:identitypool/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:*RUMService*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanaries", "synthetics:describeCanariesLastRun" ], "Resource": "arn:aws:synthetics:*:*:canary:*" } ] }
AmazonCloudWatchRHUM ReadOnlyAccess
Voici le contenu de la ReadOnlyAccess politique AmazonCloudWatchRUM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors", "rum:ListRumMetricsDestinations", "rum:BatchGetRumMetricDefinitions" ], "Resource": "*" } ] }
AmazonCloudWatchRHUM ServiceRolePolicy
Vous ne pouvez pas associer de AmazonCloudWatchRUM ServiceRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à CloudWatch RUM de publier des données de surveillance pour d'autres services pertinents AWS . Pour plus d'informations sur ce rôle lié à un service, consultez Utilisation de rôles liés à un service pour RUM CloudWatch.
Le contenu complet de AmazonCloudWatchRUM ServiceRolePolicy est le suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringLike": { "cloudwatch:namespace": [ "RUM/CustomMetrics/*", "AWS/RUM" ] } } } ] }
AWS politiques gérées (prédéfinies) pour CloudWatch Evidently
Les politiques CloudWatchEvidentlyReadOnlyAccess AWS gérées CloudWatchEvidentlyFullAccesset les politiques peuvent être attribuées aux utilisateurs qui géreront ou utiliseront CloudWatch Evidently.
CloudWatchEvidentlyFullAccess
Voici le contenu de cette CloudWatchEvidentlyFullAccesspolitique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:TagResource", "cloudwatch:UnTagResource" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Evidently-*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] } ] }
CloudWatchEvidentlyReadOnlyAccess
Voici le contenu de cette CloudWatchEvidentlyReadOnlyAccesspolitique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:GetSegment", "evidently:ListExperiments", "evidently:ListFeatures", "evidently:ListLaunches", "evidently:ListProjects", "evidently:ListSegments", "evidently:ListSegmentReferencs" ], "Resource": "*" } ] }
AWS politique gérée pour AWS Systems Manager Incident Manager
La AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicypolitique est associée à un rôle lié au service qui permet CloudWatch de déclencher des incidents dans AWS Systems Manager Incident Manager en votre nom. Pour plus d’informations, consultez Autorisations de rôle liées au service pour les CloudWatch alarmes (actions de Systems Manager Incident Manager).
La politique a l'autorisation suivante :
-
Incidents SMS : StartIncident
Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses CloudWatch actions. Ces politiques fonctionnent lorsque vous utilisez l' CloudWatch API, AWS les SDK ou le AWS CLI.
Exemples
Exemple 1 : Autoriser l'accès complet de l'utilisateur à CloudWatch
Pour accorder un accès complet à un utilisateur CloudWatch, vous pouvez lui accorder la politique CloudWatchFullAccessgérée au lieu de créer une politique gérée par le client. Le contenu du est CloudWatchFullAccessrépertorié dansCloudWatchFullAccess.
Exemple 2 : Autoriser l'accès en lecture seule à CloudWatch
La politique suivante permet à un utilisateur d'accéder en lecture seule aux CloudWatch actions, aux CloudWatch métriques, aux données des journaux CloudWatch et aux données Amazon SNS relatives aux alarmes d'Amazon EC2 Auto Scaling et de les consulter.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:Describe*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }
Exemple 3 : Arrêter une instance Amazon EC2 ou y mettre fin
La politique suivante autorise une action CloudWatch d'alarme pour arrêter ou mettre fin à une instance EC2. Dans l'exemple ci-dessous, les DescribeAlarms actions GetMetricData ListMetrics, et sont facultatives. Il est recommandé d'inclure ces actions pour vous assurer que vous avez correctement arrêté l'instance ou que vous y avez mis fin.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:DescribeAlarms" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
CloudWatch mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées CloudWatch depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du CloudWatch document.
| Modification | Description | Date |
|---|---|---|
|
CloudWatchApplicationSignalsReadOnlyAccess : nouvelle politique |
CloudWatch a créé une nouvelle politique nommée CloudWatchApplicationSignalsReadOnlyAccess. Cette politique accorde un accès en lecture seule aux ressources et aux actions disponibles dans la CloudWatch console pour Application Signals. Le champ d'application de cette politique inclut des |
7 juin 2024 |
|
CloudWatchApplicationSignalsFullAccess : nouvelle politique |
CloudWatch a créé une nouvelle politique nommée CloudWatchApplicationSignalsFullAccess. Cette politique accorde un accès complet aux ressources et aux actions disponibles dans la CloudWatch console pour Application Signals. Le champ d'application de cette politique inclut la possibilité |
7 juin 2024 |
|
CloudWatchFullAccessV2 — Mise à jour d'une politique existante |
CloudWatch a mis à jour la politique nommée CloudWatchFullAccessV2. Le champ d'application de la |
20 mai 2024 |
|
CloudWatchReadOnlyAccess – Mise à jour d’une politique existante |
CloudWatch a mis à jour la politique nommée CloudWatchReadOnlyAccess. Le champ d'application de la |
20 mai 2024 |
|
CloudWatchApplicationSignalsServiceRolePolicy – Mise à jour d’une politique existante |
CloudWatch a mis à jour la politique nommée CloudWatchApplicationSignalsServiceRolePolicy. La portée des |
18 avril 2024 |
|
CloudWatchApplicationSignalsServiceRolePolicy – Mise à jour d’une politique existante |
CloudWatch a modifié la portée d'une autorisation dans CloudWatchApplicationSignalsServiceRolePolicy. L'étendue de l' |
8 avril 2024 |
|
CloudWatchAgentServerPolicy – Mise à jour d’une politique existante |
CloudWatch a ajouté des autorisations à CloudWatchAgentServerPolicy. Les |
12 février 2024 |
|
CloudWatchAgentAdminPolicy – Mise à jour d’une politique existante |
CloudWatch a ajouté des autorisations à CloudWatchAgentAdminPolicy. Les |
12 février 2024 |
|
CloudWatchFullAccessV2 — Mise à jour d'une politique existante |
CloudWatch autorisations ajoutées à la CloudWatchFullAccessV2. Les autorisations existantes pour les actions CloudWatch Synthetics, X-Ray CloudWatch et RUM ainsi que de nouvelles CloudWatch autorisations pour les signaux d'application ont été ajoutées afin que les utilisateurs dotés de cette politique CloudWatch puissent gérer les signaux d'application. L'autorisation de créer le rôle lié au service CloudWatch Application Signals a été ajoutée pour permettre à CloudWatch Application Signals de découvrir les données de télémétrie dans les journaux, les métriques, les traces et les balises. |
5 décembre 2023 |
|
CloudWatchReadOnlyAccess – Mise à jour d’une politique existante |
CloudWatch a ajouté des autorisations à CloudWatchReadOnlyAccess. Les autorisations de lecture seule existantes pour les actions Synthetics CloudWatch , X-Ray et CloudWatch RUM ainsi que de nouvelles autorisations de lecture seule pour les signaux d' CloudWatch application ont été ajoutées afin que les utilisateurs soumis à cette politique puissent trier et diagnostiquer les problèmes de santé de leurs services tels que signalés par Application Signals. CloudWatch L' |
5 décembre 2023 |
|
CloudWatchReadOnlyAccess - Mettre à jour vers une politique existante. |
CloudWatch a ajouté une autorisation à CloudWatchReadOnlyAccess. L' |
01 décembre 2023 |
|
CloudWatchApplicationSignalsServiceRolePolicy : nouvelle politique |
CloudWatch a ajouté une nouvelle politique CloudWatchApplicationSignalsServiceRolePolicy. Il CloudWatchApplicationSignalsServiceRolePolicyaccorde à une fonctionnalité à venir l'autorisation de collecter CloudWatch les données des journaux, les données de trace X-Ray, CloudWatch les données métriques et les données de marquage. |
9 novembre 2023 |
|
AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy : nouvelle politique |
CloudWatch a ajouté une nouvelle politique AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy. Le AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicyautorise CloudWatch à récupérer les métriques Performance Insights à partir de bases de données en votre nom. |
20 septembre 2023 |
|
CloudWatchReadOnlyAccess – Mise à jour d’une politique existante |
CloudWatch a ajouté une autorisation à CloudWatchReadOnlyAccess. L'autorisation |
14 septembre 2023 |
|
CloudWatchFullAccessV2 — Nouvelle politique |
CloudWatch a ajouté une nouvelle politique CloudWatchFullAccessV2. La CloudWatchFullAccessV2 accorde un accès complet aux CloudWatch actions et aux ressources tout en définissant mieux les autorisations accordées à d'autres services tels qu'Amazon Amazon EC2 Auto Scaling SNS et. Pour plus d'informations, reportez-vous à la section CloudWatchFullAccessV2. |
1er août 2023 |
|
AWSServiceRoleForInternetMonitor – Mise à jour d’une politique existante |
Amazon CloudWatch Internet Monitor a ajouté de nouvelles autorisations pour surveiller les ressources de Network Load Balancer. Les autorisations Pour plus d’informations, consultez Utilisation d'Amazon CloudWatch Internet Monitor. |
15 juillet 2023 |
|
CloudWatchReadOnlyAccess – Mise à jour d’une politique existante |
CloudWatch a ajouté des autorisations à CloudWatchReadOnlyAccess. Les |
6 juin 2023 |
|
CloudWatchCrossAccountSharingConfiguration : nouvelle politique |
CloudWatch a ajouté une nouvelle politique pour vous permettre de gérer les liens d'observabilité CloudWatch entre comptes qui partagent CloudWatch des métriques. Pour plus d’informations, consultez CloudWatch observabilité entre comptes. |
27 novembre 2022 |
|
OAM FullAccess — Nouvelle politique |
CloudWatch a ajouté une nouvelle politique pour vous permettre de gérer entièrement les liens et CloudWatch les puits d'observabilité entre comptes. Pour plus d’informations, consultez CloudWatch observabilité entre comptes. |
27 novembre 2022 |
|
OAM ReadOnlyAccess — Nouvelle politique |
CloudWatch a ajouté une nouvelle politique pour vous permettre de consulter les informations sur les liens et CloudWatch les puits d'observabilité entre comptes. Pour plus d’informations, consultez CloudWatch observabilité entre comptes. |
27 novembre 2022 |
|
CloudWatchFullAccess – Mise à jour d’une politique existante |
CloudWatch a ajouté des autorisations à CloudWatchFullAccess. Les |
27 novembre 2022 |
|
CloudWatchReadOnlyAccess – Mise à jour d’une politique existante |
CloudWatch a ajouté des autorisations à CloudWatchReadOnlyAccess. Les |
27 novembre 2022 |
AmazonCloudWatchRUM ServiceRolePolicy — Mise à jour d'une politique existante |
CloudWatch RUM a mis à jour une clé de condition dans AmazonCloudWatchRUM ServiceRolePolicy. La clé de
|
2 février 2023 |
AmazonCloudWatchRUM ReadOnlyAccess — Politique mise à jour |
CloudWatch a ajouté des autorisations à la ReadOnlyAccess politique AmazonCloudWatchRUM. Les |
27 octobre 2022 |
AmazonCloudWatchRUM ServiceRolePolicy — Mise à jour d'une politique existante |
CloudWatch RUM a ajouté des autorisations à AmazonCloudWatchRUM ServiceRolePolicy. L' |
26 octobre 2022 |
|
CloudWatchEvidentlyReadOnlyAccess – Mise à jour d’une politique existante |
CloudWatch Des autorisations ont évidemment été ajoutées à. CloudWatchEvidentlyReadOnlyAccess Les autorisations |
12 août 2022 |
|
CloudWatchSyntheticsFullAccess – Mise à jour d’une politique existante |
CloudWatch Synthetics a ajouté des autorisations à. CloudWatchSyntheticsFullAccess Les |
6 mai 2022 |
|
AmazonCloudWatchRUM FullAccess — Nouvelle politique |
CloudWatch a ajouté une nouvelle politique pour permettre la gestion complète du CloudWatch RUM. CloudWatch RUM vous permet d'effectuer une véritable surveillance des utilisateurs de votre application Web. Pour plus d’informations, consultez CloudWatch RHUM. |
29 novembre 2021 |
|
AmazonCloudWatchRUM ReadOnlyAccess — Nouvelle politique |
CloudWatch a ajouté une nouvelle politique pour permettre l'accès en lecture seule au CloudWatch RUM. CloudWatch RUM vous permet d'effectuer une véritable surveillance des utilisateurs de votre application Web. Pour plus d’informations, consultez CloudWatch RHUM. |
29 novembre 2021 |
|
CloudWatchEvidentlyFullAccess : nouvelle politique |
CloudWatch a ajouté une nouvelle politique pour permettre la gestion complète d' CloudWatchEvidently. CloudWatch Vous permet évidemment de réaliser des tests A/B sur vos applications Web et de les déployer progressivement. Pour plus d’informations, consultez Réalisez des lancements et des expériences A/B avec Evidently CloudWatch . |
29 novembre 2021 |
|
CloudWatchEvidentlyReadOnlyAccess : nouvelle politique |
CloudWatch a ajouté une nouvelle politique pour permettre l'accès en lecture seule à CloudWatch Evidently. CloudWatch Vous permet évidemment de réaliser des tests A/B sur vos applications Web et de les déployer progressivement. Pour plus d’informations, consultez Réalisez des lancements et des expériences A/B avec Evidently CloudWatch . |
29 novembre 2021 |
|
AWSServiceRoleForCloudWatchRUM— Nouvelle politique gérée |
CloudWatch a ajouté une politique pour un nouveau rôle lié au service afin de permettre au CloudWatch RUM de publier des données de surveillance à d'autres services pertinents. AWS |
29 novembre 2021 |
|
CloudWatchSyntheticsFullAccess – Mise à jour d’une politique existante |
CloudWatch Synthetics a ajouté des autorisations CloudWatchSyntheticsFullAccessà une autorisation et en a également modifié la portée. L' Le |
29 septembre 2021 |
|
CloudWatchSyntheticsFullAccess – Mise à jour d’une politique existante |
CloudWatch Synthetics a ajouté une autorisation pour. CloudWatchSyntheticsFullAccess L'autorisation |
20 juillet 2021 |
|
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy— Nouvelle politique gérée |
CloudWatch a ajouté une nouvelle politique IAM gérée pour permettre de CloudWatch créer des incidents dans AWS Systems Manager Incident Manager. |
10 mai 2021 |
CloudWatchAutomaticDashboardsAccess – Mise à jour d’une politique existante |
CloudWatch a ajouté une autorisation à la politique CloudWatchAutomaticDashboardsAccessgérée. L' |
20 avril 2021 |
|
CloudWatch a commencé à suivre les modifications |
CloudWatch a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
14 avril 2021 |
