CloudWatch Opérations d'API et autorisations requises pour les actions CloudWatch Opérations de l'API Contributor Insights et autorisations requises pour les actions CloudWatch Opérations de l'API d'événements et autorisations requises pour les actions CloudWatch Enregistre les opérations de l'API et les autorisations requises pour les actions Opérations d'API Amazon EC2 et autorisations requises pour les actions Opérations d'API Amazon EC2 Auto Scaling et autorisations requises pour les actions

Référence CloudWatch des autorisations Amazon

Le tableau suivant répertorie chaque opération CloudWatch d'API et les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action. Vous spécifiez les actions dans le champ Action de la politique, et ajoutez un caractère générique (*) comme valeur de ressource dans le champ Resource.

Vous pouvez utiliser des AWS clés de condition larges dans vos CloudWatch polices pour exprimer des conditions. Pour obtenir la liste complète des clés « AWS wide », reportez-vous à la section Clés contextuelles AWS globales et IAM Condition du guide de l'utilisateur IAM.

Note

Pour spécifier une action, utilisez le préfixe cloudwatch: suivi du nom de l'opération d'API. Par exemple : cloudwatch:GetMetricData, cloudwatch:ListMetrics ou cloudwatch:* (pour toutes les actions CloudWatch).

Rubriques

CloudWatch Opérations d'API et autorisations requises pour les actions
CloudWatch Opérations de l'API Contributor Insights et autorisations requises pour les actions
CloudWatch Opérations de l'API d'événements et autorisations requises pour les actions
CloudWatch Enregistre les opérations de l'API et les autorisations requises pour les actions
Opérations d'API Amazon EC2 et autorisations requises pour les actions
Opérations d'API Amazon EC2 Auto Scaling et autorisations requises pour les actions

CloudWatch Opérations d'API et autorisations requises pour les actions

CloudWatch Opérations d'API	Autorisations requises (actions d'API)
DeleteAlarms	`cloudwatch:DeleteAlarms` Exigé pour supprimer une alarme.
DeleteDashboards	`cloudwatch:DeleteDashboards` Exigé pour supprimer un tableau de bord.
DeleteMetricStream	`cloudwatch:DeleteMetricStream` Exigé pour supprimer un flux de métriques.
DescribeAlarmHistory	`cloudwatch:DescribeAlarmHistory` Exigé pour afficher l'historique de l'alarme. Pour récupérer des informations sur les alarmes composites, votre autorisation `cloudwatch:DescribeAlarmHistory` doit avoir une portée `*`. Vous ne pouvez pas renvoyer d'informations sur les alarmes composites si votre autorisation `cloudwatch:DescribeAlarmHistory` a une portée plus étroite.
DescribeAlarms	`cloudwatch:DescribeAlarms` Exigé pour récupérer des informations sur des alarmes. Pour récupérer des informations sur les alarmes composites, votre autorisation `cloudwatch:DescribeAlarms` doit avoir une portée `*`. Vous ne pouvez pas renvoyer d'informations sur les alarmes composites si votre autorisation `cloudwatch:DescribeAlarms` a une portée plus étroite.
DescribeAlarmsForMetric	`cloudwatch:DescribeAlarmsForMetric` Exigé pour afficher les alarmes relatives à une métrique.
DisableAlarmActions	`cloudwatch:DisableAlarmActions` Exigé pour désactiver une action d'alarme.
EnableAlarmActions	`cloudwatch:EnableAlarmActions` Exigé pour activer une action d'alarme.
GetDashboard	`cloudwatch:GetDashboard` Exigé pour afficher les données sur les tableaux de bord existants.
GetMetricData	`cloudwatch:GetMetricData` Nécessaire pour représenter graphiquement les données métriques dans la CloudWatch console, pour récupérer de gros lots de données métriques et pour effectuer des calculs métriques sur ces données.
GetMetricStatistics	`cloudwatch:GetMetricStatistics` Nécessaire pour afficher des graphiques dans d'autres parties de la CloudWatch console et dans les widgets du tableau de bord.
GetMetricStream	`cloudwatch:GetMetricStream` Requise pour afficher les informations sur un flux de métriques.
GetMetricWidgetImage	`cloudwatch:GetMetricWidgetImage` Nécessaire pour récupérer un graphique instantané d'une ou plusieurs CloudWatch métriques sous forme d'image bitmap.
ListDashboards	`cloudwatch:ListDashboards` Nécessaire pour consulter la liste des CloudWatch tableaux de bord de votre compte.
ListMetrics	`cloudwatch:ListMetrics` Nécessaire pour afficher ou rechercher des noms de métriques dans la CloudWatch console et dans la CLI. Exigé pour sélectionner les métriques sur les widgets de tableau de bord.
ListMetricStreams	`cloudwatch:ListMetricStreams` Exigé pour afficher ou rechercher la liste des flux de métriques dans le compte.
PutCompositeAlarm	`cloudwatch:PutCompositeAlarm` Exigé pour créer une alarme composite. Pour créer une alarme composite, votre autorisation `cloudwatch:PutCompositeAlarm` doit avoir une portée `*`. Vous ne pouvez pas renvoyer d'informations sur les alarmes composites si votre autorisation `cloudwatch:PutCompositeAlarm` a une portée plus étroite.
PutDashboard	`cloudwatch:PutDashboard` Exigé pour créer un tableau de bord ou mettre à jour un tableau de bord existant.
PutMetricAlarm	`cloudwatch:PutMetricAlarm` Exigé pour créer ou mettre à jour une alarme.
PutMetricData	`cloudwatch:PutMetricData` Exigé pour créer des métriques.
PutMetricStream	`cloudwatch:PutMetricStream` Exigé pour créer un flux de métriques.
SetAlarmState	`cloudwatch:SetAlarmState` Exigé pour définir manuellement un état d'alarme.
StartMetricStreams	`cloudwatch:StartMetricStreams` Exigé pour démarrer le flux de métriques dans un flux de métriques.
StopMetricStreams	`cloudwatch:StopMetricStreams` Exigé pour arrêter temporairement le flux de métriques dans un flux de métriques.
TagResource	`cloudwatch:TagResource` Nécessaire pour ajouter ou mettre à jour des balises sur CloudWatch des ressources telles que les alarmes et les règles Contributor Insights.
UntagResource	`cloudwatch:UntagResource` Nécessaire pour supprimer les balises des CloudWatch ressources.

CloudWatch Opérations de l'API Contributor Insights et autorisations requises pour les actions

Important

Lorsque vous accordez l'cloudwatch:PutInsightRuleautorisation à un utilisateur, celui-ci peut par défaut créer une règle qui évalue n'importe quel groupe de CloudWatch journaux dans Logs. Vous pouvez ajouter des conditions de politique IAM qui limitent ces autorisations pour qu'un utilisateur inclue et exclue des groupes de journaux spécifiques. Pour plus d’informations, consultez Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux.

CloudWatch Opérations de l'API Contributor Insights	Autorisations requises (actions d'API)
DeleteInsightRules	`cloudwatch:DeleteInsightRules` Exigé pour supprimer les règles Contributor Insights.
DescribeInsightRules	`cloudwatch:DescribeInsightRules` Exigé pour afficher les règles de Contributor Insights dans votre compte.
EnableInsightRules	`cloudwatch:EnableInsightRules` Exigé pour activer les règles Contributor Insights.
GetInsightRuleReport	`cloudwatch:GetInsightRuleReport` Exigé pour récupérer des données de séries chronologiques et d'autres statistiques collectées par les règles Contributor Insights.
PutInsightRule	`cloudwatch:PutInsightRule` Exigé pour créer les règles Contributor Insights. Consultez la remarque importante au début de ce tableau.

CloudWatch Opérations de l'API d'événements et autorisations requises pour les actions

CloudWatch Opérations de l'API Events	Autorisations requises (actions d'API)
DeleteRule	`events:DeleteRule` Requise pour supprimer une règle.
DescribeRule	`events:DescribeRule` Requise pour répertorier les détails relatifs à une règle.
DisableRule	`events:DisableRule` Requise pour désactiver une règle.
EnableRule	`events:EnableRule` Requise pour activer une règle.
ListRuleNamesByTarget	`events:ListRuleNamesByTarget` Requise pour répertorier les règles associées à une cible.
ListRules	`events:ListRules` Requise pour répertorier toutes les règles de votre compte.
ListTargetsByRule	`events:ListTargetsByRule` Requise pour afficher toutes les cibles associées à une règle.
PutEvents	`events:PutEvents` Requise pour ajouter des événements personnalisés qui peuvent être associés à des règles.
PutRule	`events:PutRule` Requise pour créer ou mettre à jour une règle.
PutTargets	`events:PutTargets` Requise pour ajouter des cibles à une règle.
RemoveTargets	`events:RemoveTargets` Requise pour supprimer une cible d'une règle.
TestEventPattern	`events:TestEventPattern` Requise pour tester un modèle d'événement par rapport à un événement donné.

CloudWatch Enregistre les opérations de l'API et les autorisations requises pour les actions

CloudWatch Journalise les opérations de l'API	Autorisations requises (actions d'API)
CancelExportTask	`logs:CancelExportTask` Exigé pour annuler une tâche d'exportation en attente ou en cours d'exécution.
CreateExportTask	`logs:CreateExportTask` Exigé pour exporter des données d'un groupe de journaux vers un compartiment Amazon S3.
CreateLogGroup	`logs:CreateLogGroup` Exigé pour créer un nouveau groupe de journaux.
CreateLogStream	`logs:CreateLogStream` Exigé pour créer un nouveau flux de journaux dans un groupe de journaux.
DeleteDestination	`logs:DeleteDestination` Exigé pour supprimer une destination de journal et désactive tous les filtres d'abonnement connexes.
DeleteLogGroup	`logs:DeleteLogGroup` Exigé pour supprimer un groupe de journaux et tous les événements du journal archivés associés.
DeleteLogStream	`logs:DeleteLogStream` Exigé pour supprimer un flux de journaux et tous les événements du journal archivés associés.
DeleteMetricFilter	`logs:DeleteMetricFilter` Exigé pour supprimer un filtre de métrique associé à un groupe de journaux.
DeleteQueryDefinition	`logs:DeleteQueryDefinition` Nécessaire pour supprimer une définition de requête enregistrée dans CloudWatch Logs Insights.
DeleteResourcePolicy	`logs:DeleteResourcePolicy` Nécessaire pour supprimer une politique de ressources CloudWatch Logs.
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` Exigé pour supprimer la politique de rétention d'un groupe de journaux.
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` Exigé pour supprimer le filtre d'abonnement associé à un groupe de journaux.
DescribeDestinations	`logs:DescribeDestinations` Exigé pour afficher toutes les destinations associées au compte.
DescribeExportTasks	`logs:DescribeExportTasks` Exigé pour afficher toutes les tâches d'exportation associées au compte.
DescribeLogGroups	`logs:DescribeLogGroups` Exigé pour afficher tous les groupes de journaux associés au compte.
DescribeLogStreams	`logs:DescribeLogStreams` Exigé pour afficher tous les flux de journaux associés à un groupe de journaux.
DescribeMetricFilters	`logs:DescribeMetricFilters` Exigé pour afficher toutes les métriques associées à un groupe de journaux.
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` Nécessaire pour voir la liste des définitions de requêtes enregistrées dans CloudWatch Logs Insights.
DescribeQueries	`logs:DescribeQueries` Obligatoire pour voir la liste des requêtes CloudWatch Logs Insights planifiées, en cours d'exécution ou récemment exécutées.
DescribeResourcePolicies	`logs:DescribeResourcePolicies` Obligatoire pour consulter la liste des politiques relatives CloudWatch aux ressources des journaux.
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` Exigé pour afficher tous les filtres d'abonnement associés à un groupe de journaux.
FilterLogEvents	`logs:FilterLogEvents` Exigé pour trier les événements du journal par modèle de filtres de groupes de journaux.
GetLogEvents	`logs:GetLogEvents` Exigé pour récupérer les événements du journal à partir d'un flux de journaux.
GetLogGroupFields	`logs:GetLogGroupFields` Obligatoire pour récupérer la liste des champs qui sont inclus dans les événements du journal d'un groupe de journaux.
GetLogRecord	`logs:GetLogRecord` Obligatoire pour récupérer des informations à partir d'un seul événement du journal.
GetQueryResults	`logs:GetQueryResults` Nécessaire pour récupérer les résultats des requêtes CloudWatch Logs Insights.
ListTagsLogGroup	`logs:ListTagsLogGroup` Exigé pour afficher toutes les étiquettes associées à un groupe de journaux.
PutDestination	`logs:PutDestination` Exigé pour créer ou mettre à jour un flux de journaux de destination (comme un flux Kinesis).
PutDestinationPolicy	`logs:PutDestinationPolicy` Exigé pour créer ou mettre à jour une politique d'accès associée à une destination de journal existante.
PutLogEvents	`logs:PutLogEvents` Exigé pour charger un lot d'événements du journal dans un flux de journaux.
PutMetricFilter	`logs:PutMetricFilter` Exigé pour créer ou mettre à jour un filtre de métrique et l'associer à un groupe de journaux.
PutQueryDefinition	`logs:PutQueryDefinition` Nécessaire pour enregistrer une requête dans CloudWatch Logs Insights.
PutResourcePolicy	`logs:PutResourcePolicy` Nécessaire pour créer une politique de ressources CloudWatch Logs.
PutRetentionPolicy	`logs:PutRetentionPolicy` Exigé pour définir le nombre de jours de conservation des événements du journal (rétention) dans un groupe de journaux.
PutSubscriptionFilter	`logs:PutSubscriptionFilter` Exigé pour créer ou mettre à jour un filtre d'abonnement et l'associer à un groupe de journaux.
StartQuery	`logs:StartQuery` Nécessaire pour démarrer CloudWatch les requêtes Logs Insights.
StopQuery	`logs:StopQuery` Nécessaire pour arrêter une requête CloudWatch Logs Insights en cours.
TagLogGroup	`logs:TagLogGroup` Exigé pour ajouter ou mettre à jour des étiquettes de groupe de journaux.
TestMetricFilter	`logs:TestMetricFilter` Exigé pour tester un modèle de filtre par rapport à un échantillonnage de messages d'événements du journal.

Opérations d'API Amazon EC2 et autorisations requises pour les actions

Opérations d'API Amazon EC2	Autorisations requises (actions d'API)
DescribeInstanceStatus	`ec2:DescribeInstanceStatus` Exigé pour afficher les détails sur l'état d'une instance EC2.
DescribeInstances	`ec2:DescribeInstances` Exigé pour afficher les détails sur une instance EC2.
RebootInstances	`ec2:RebootInstances` Exigé pour redémarrer une instance EC2.
StopInstances	`ec2:StopInstances` Exigé pour arrêter une instance EC2.
TerminateInstances	`ec2:TerminateInstances` Exigé pour mettre fin à une instance EC2.

Opérations d'API Amazon EC2 Auto Scaling et autorisations requises pour les actions

Opérations d'API Amazon EC2 Auto Scaling Autorisations requises (actions d'API)

Opérations d'API Amazon EC2 Auto Scaling	Autorisations requises (actions d'API)
Mise à l'échelle	`autoscaling:Scaling` Exigé pour dimensionner un groupe Auto Scaling.
Déclencheur	`autoscaling:Trigger` Exigé pour déclencher une action Auto Scaling.

Mise à l'échelle

autoscaling:Scaling

Exigé pour dimensionner un groupe Auto Scaling.

Déclencheur

autoscaling:Trigger

Exigé pour déclencher une action Auto Scaling.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées pour Application Insights

Validation de conformité