Manajemen identitas dan akses untuk Amazon CloudWatch

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. IAMadministrator mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya. CloudWatch IAMadalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

Audiens

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda, tergantung pada pekerjaan yang Anda lakukan CloudWatch.

Pengguna layanan — Jika Anda menggunakan CloudWatch layanan untuk melakukan pekerjaan Anda, administrator Anda memberi Anda kredensi dan izin yang Anda butuhkan. Saat Anda menggunakan lebih banyak CloudWatch fitur untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda. Jika Anda tidak dapat mengakses fitur CloudWatch, lihatMemecahkan masalah CloudWatch identitas dan akses Amazon.

Administrator layanan — Jika Anda bertanggung jawab atas CloudWatch sumber daya di perusahaan Anda, Anda mungkin memiliki akses penuh ke CloudWatch. Tugas Anda adalah menentukan CloudWatch fitur dan sumber daya mana yang harus diakses pengguna layanan Anda. Anda kemudian harus mengirimkan permintaan ke IAM administrator Anda untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep dasarIAM. Untuk mempelajari lebih lanjut tentang bagaimana perusahaan Anda dapat menggunakannya IAM CloudWatch, lihatBagaimana Amazon CloudWatch bekerja dengan IAM.

IAMadministrator - Jika Anda seorang IAM administrator, Anda mungkin ingin mempelajari detail tentang cara menulis kebijakan untuk mengelola akses CloudWatch. Untuk melihat contoh kebijakan CloudWatch berbasis identitas yang dapat Anda gunakan, lihat. IAM Contoh kebijakan berbasis identitas untuk Amazon CloudWatch

Mengautentikasi dengan identitas

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi (masuk ke AWS) sebagai Pengguna root akun AWS, sebagai IAM pengguna, atau dengan mengambil peranIAM.

Anda dapat masuk AWS sebagai identitas federasi dengan menggunakan kredensi yang disediakan melalui sumber identitas. AWS IAM Identity Center Pengguna (Pusat IAM Identitas), autentikasi masuk tunggal perusahaan Anda, dan kredensi Google atau Facebook Anda adalah contoh identitas federasi. Saat Anda masuk sebagai identitas federasi, administrator Anda sebelumnya menyiapkan federasi identitas menggunakan IAM peran. Ketika Anda mengakses AWS dengan menggunakan federasi, Anda secara tidak langsung mengambil peran.

Bergantung pada jenis pengguna Anda, Anda dapat masuk ke AWS Management Console atau portal AWS akses. Untuk informasi selengkapnya tentang masuk AWS, lihat Cara masuk ke Panduan AWS Sign-In Pengguna Anda Akun AWS.

Jika Anda mengakses AWS secara terprogram, AWS sediakan kit pengembangan perangkat lunak (SDK) dan antarmuka baris perintah (CLI) untuk menandatangani permintaan Anda secara kriptografis dengan menggunakan kredensil Anda. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. Untuk informasi selengkapnya tentang menggunakan metode yang disarankan untuk menandatangani permintaan sendiri, lihat Versi AWS Tanda Tangan 4 untuk API permintaan di Panduan IAM Pengguna.

Apa pun metode autentikasi yang digunakan, Anda mungkin diminta untuk menyediakan informasi keamanan tambahan. Misalnya, AWS merekomendasikan agar Anda menggunakan otentikasi multi-faktor (MFA) untuk meningkatkan keamanan akun Anda. Untuk mempelajari selengkapnya, lihat Autentikasi multi-faktor di Panduan AWS IAM Identity Center Pengguna dan Autentikasi AWS multi-faktor IAM di Panduan Pengguna. IAM

Akun AWS pengguna root

Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna Akun AWS root dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensi pengguna root di IAMPanduan Pengguna.

Identitas gabungan

Sebagai praktik terbaik, mewajibkan pengguna manusia, termasuk pengguna yang memerlukan akses administrator, untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS dengan menggunakan kredensi sementara.

Identitas federasi adalah pengguna dari direktori pengguna perusahaan Anda, penyedia identitas web, direktori Pusat Identitas AWS Directory Service, atau pengguna mana pun yang mengakses Layanan AWS dengan menggunakan kredensi yang disediakan melalui sumber identitas. Ketika identitas federasi mengakses Akun AWS, mereka mengambil peran, dan peran memberikan kredensi sementara.

Untuk manajemen akses terpusat, kami sarankan Anda menggunakan AWS IAM Identity Center. Anda dapat membuat pengguna dan grup di Pusat IAM Identitas, atau Anda dapat menghubungkan dan menyinkronkan ke sekumpulan pengguna dan grup di sumber identitas Anda sendiri untuk digunakan di semua aplikasi Akun AWS dan aplikasi Anda. Untuk informasi tentang Pusat IAM Identitas, lihat Apa itu Pusat IAM Identitas? dalam AWS IAM Identity Center User Guide.

Pengguna dan grup IAM

IAMPengguna adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi. Jika memungkinkan, sebaiknya mengandalkan kredensi sementara daripada membuat IAM pengguna yang memiliki kredensi jangka panjang seperti kata sandi dan kunci akses. Namun, jika Anda memiliki kasus penggunaan khusus yang memerlukan kredensi jangka panjang dengan IAM pengguna, kami sarankan Anda memutar kunci akses. Untuk informasi selengkapnya, lihat Memutar kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensi jangka panjang di IAMPanduan Pengguna.

IAMGrup adalah identitas yang menentukan kumpulan IAM pengguna. Anda tidak dapat masuk sebagai grup. Anda dapat menggunakan grup untuk menentukan izin bagi beberapa pengguna sekaligus. Grup mempermudah manajemen izin untuk sejumlah besar pengguna sekaligus. Misalnya, Anda dapat memiliki grup bernama IAMAdminsdan memberikan izin grup tersebut untuk mengelola sumber dayaIAM.

Pengguna berbeda dari peran. Pengguna secara unik terkait dengan satu orang atau aplikasi, tetapi peran dimaksudkan untuk dapat digunakan oleh siapa pun yang membutuhkannya. Pengguna memiliki kredensial jangka panjang permanen, tetapi peran memberikan kredensial sementara. Untuk mempelajari selengkapnya, lihat Kasus penggunaan untuk IAM pengguna di Panduan IAM Pengguna.

IAMperan

IAMPeran adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus. Ini mirip dengan IAM pengguna, tetapi tidak terkait dengan orang tertentu. Untuk mengambil IAM peran sementara di dalam AWS Management Console, Anda dapat beralih dari pengguna ke IAM peran (konsol). Anda dapat mengambil peran dengan memanggil AWS CLI atau AWS API operasi atau dengan menggunakan kustomURL. Untuk informasi selengkapnya tentang metode penggunaan peran, lihat Metode untuk mengambil peran dalam Panduan IAM Pengguna.

IAMperan dengan kredensi sementara berguna dalam situasi berikut:

Mengelola akses menggunakan kebijakan

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal (pengguna, pengguna root, atau sesi peran) membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai JSON dokumen. Untuk informasi selengkapnya tentang struktur dan isi dokumen JSON kebijakan, lihat Ringkasan JSON kebijakan di Panduan IAM Pengguna.

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

Secara default, pengguna dan peran tidak memiliki izin. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.

IAMkebijakan menentukan izin untuk tindakan terlepas dari metode yang Anda gunakan untuk melakukan operasi. Misalnya, anggaplah Anda memiliki kebijakan yang mengizinkan tindakan iam:GetRole. Pengguna dengan kebijakan itu bisa mendapatkan informasi peran dari AWS Management Console, AWS CLI, atau AWS API.

Kebijakan berbasis identitas

Kebijakan berbasis identitas adalah dokumen kebijakan JSON izin yang dapat dilampirkan ke identitas, seperti pengguna, grup IAM pengguna, atau peran. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Menentukan IAM izin khusus dengan kebijakan yang dikelola pelanggan di Panduan Pengguna. IAM

Kebijakan berbasis identitas dapat dikategorikan lebih lanjut sebagai kebijakan inline atau kebijakan yang dikelola. Kebijakan inline disematkan langsung ke satu pengguna, grup, atau peran. Kebijakan terkelola adalah kebijakan mandiri yang dapat dilampirkan ke beberapa pengguna, grup, dan peran dalam. Akun AWS Kebijakan AWS terkelola mencakup kebijakan terkelola dan kebijakan yang dikelola pelanggan. Untuk mempelajari cara memilih antara kebijakan terkelola atau kebijakan sebaris, lihat Memilih antara kebijakan terkelola dan kebijakan sebaris di IAMPanduan Pengguna.

Kebijakan berbasis sumber daya

Kebijakan berbasis sumber daya adalah dokumen JSON kebijakan yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah kebijakan kepercayaan IAM peran dan kebijakan bucket Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus menentukan prinsipal dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola IAM dalam kebijakan berbasis sumber daya.

Daftar kontrol akses (ACLs)

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLsmirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan. JSON

Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnyaACLs, lihat Ikhtisar daftar kontrol akses (ACL) di Panduan Pengembang Layanan Penyimpanan Sederhana Amazon.

Jenis-jenis kebijakan lain

AWS mendukung jenis kebijakan tambahan yang kurang umum. Jenis-jenis kebijakan ini dapat mengatur izin maksimum yang diberikan kepada Anda oleh jenis kebijakan yang lebih umum.

Berbagai jenis kebijakan

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat Logika evaluasi kebijakan di Panduan IAM Pengguna.

AWS kebijakan terkelola (standar) untuk CloudWatch

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk CloudWatch.

CloudWatchFullAccessV2

AWS baru-baru ini menambahkan IAM kebijakan terkelola CloudWatchFullAccessV2. Kebijakan ini memberikan akses penuh ke CloudWatch tindakan dan sumber daya dan juga lebih tepat mencakup izin yang diberikan untuk layanan lain seperti Amazon dan. SNS Amazon EC2 Auto Scaling Kami menyarankan Anda mulai menggunakan kebijakan ini daripada menggunakan CloudWatchFullAccess. AWS berencana untuk mencela CloudWatchFullAccessdalam waktu dekat.

Ini termasuk application-signals: izin sehingga pengguna dapat mengakses semua fungsi dari CloudWatch konsol di bawah Sinyal Aplikasi. Ini mencakup beberapa autoscaling:Describe izin sehingga pengguna dengan kebijakan ini dapat melihat tindakan Auto Scaling yang terkait dengan CloudWatch alarm. Ini mencakup beberapa sns izin sehingga pengguna dengan kebijakan ini dapat mengambil SNS topik buat Amazon dan mengaitkannya dengan CloudWatch alarm. Ini mencakup IAM izin sehingga pengguna dengan kebijakan ini dapat melihat informasi tentang peran terkait layanan yang terkait dengannya. CloudWatch Ini mencakup oam:ListSinks dan oam:ListAttachedLinks izin sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun.

Ini termasukrum,synthetics, dan xray izin sehingga pengguna dapat memiliki akses penuh ke CloudWatch Synthetics AWS X-Ray,, CloudWatch RUM dan, yang semuanya berada di bawah CloudWatch layanan.

Isi CloudWatchFullAccessV2 adalah sebagai berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudWatchFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalingPolicies",
                "application-signals:*",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribePolicies",
                "cloudwatch:*",
                "logs:*",
                "sns:CreateTopic",
                "sns:ListSubscriptions",
                "sns:ListSubscriptionsByTopic",
                "sns:ListTopics",
                "sns:Subscribe",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "oam:ListSinks",
                "rum:*",
                "synthetics:*",
                "xray:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchApplicationSignalsServiceLinkedRolePermissions",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com"
                }
            }
        },
        {
            "Sid": "EventsServicePermissions",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "events.amazonaws.com"
                }
            }
        },
         {
            "Sid": "OAMReadPermissions",
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        }
    ]
}

CloudWatchFullAccess

CloudWatchFullAccessKebijakan ini berada di jalur menuju penghentian. Kami menyarankan Anda berhenti menggunakannya, dan gunakan CloudWatchFullAccessV2 sebagai gantinya.

Isi dari CloudWatchFullAccessadalah sebagai berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:Describe*",
                "cloudwatch:*",
                "logs:*",
                "sns:*",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "oam:ListSinks"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "events.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        }
    ]
}

CloudWatchReadOnlyAccess

CloudWatchReadOnlyAccessKebijakan ini memberikan akses hanya-baca ke. CloudWatch

Kebijakan ini mencakup beberapa logs: izin, sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat informasi CloudWatch Log dan kueri Wawasan CloudWatch Log. Ini termasukautoscaling:Describe*, sehingga pengguna dengan kebijakan ini dapat melihat tindakan Auto Scaling yang terkait dengan CloudWatch alarm. Ini termasuk application-signals: izin sehingga pengguna dapat menggunakan Sinyal Aplikasi untuk memantau kesehatan layanan mereka. Kebijakan ini mencakup application-autoscaling:DescribeScalingPolicies, sehingga pengguna dengan kebijakan ini dapat mengakses informasi tentang kebijakan penskalaan otomatis Application Auto Scaling. Ini termasuk sns:Get* dansns:List*, sehingga pengguna dengan kebijakan ini dapat mengambil informasi tentang SNS topik Amazon yang menerima pemberitahuan tentang CloudWatch alarm. Ini mencakup oam:ListSinks dan oam:ListAttachedLinks izin, sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. Ini termasuk iam:GetRole izin sehingga pengguna dapat memeriksa apakah Sinyal CloudWatch Aplikasi telah diatur.

Ini mencakuprum,synthetics, dan xray izin sehingga pengguna dapat memiliki akses hanya-baca ke CloudWatch Synthetics,, dan AWS X-Ray CloudWatch RUM, yang semuanya berada di bawah layanan. CloudWatch

Berikut ini adalah isi dari CloudWatchReadOnlyAccesskebijakan tersebut.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudWatchReadOnlyAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalingPolicies",
                "application-signals:BatchGet*",
                "application-signals:Get*",
                "application-signals:List*",
                "autoscaling:Describe*",
                "cloudwatch:BatchGet*",
                "cloudwatch:Describe*",
                "cloudwatch:GenerateQuery",
                "cloudwatch:Get*",
                "cloudwatch:List*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:Describe*",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "oam:ListSinks",
                "sns:Get*",
                "sns:List*",
                "rum:BatchGet*",
                "rum:Get*",
                "rum:List*",
                "synthetics:Describe*",
                "synthetics:Get*",
                "synthetics:List*",
                "xray:BatchGet*",
                "xray:Get*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "OAMReadPermissions",
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        },
        {
            "Sid": "CloudWatchReadOnlyGetRolePermissions",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
        }
     ]
}

CloudWatchActionsEC2Access

CloudWatchActionsEC2AccessKebijakan ini memberikan akses hanya-baca ke CloudWatch alarm dan metrik selain metadata Amazon. EC2 Ini juga memberikan akses ke API tindakan Stop, Terminate, dan Reboot untuk EC2 instance.

Berikut ini adalah isi dari CloudWatchActionsEC2Accesskebijakan tersebut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:Describe*",
        "ec2:Describe*",
        "ec2:RebootInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*"
    }
  ]
}

CloudWatch-CrossAccountAccess

Kebijakan CloudWatch- CrossAccountAccess dikelola digunakan oleh CloudWatch- CrossAccountSharingRole IAM peran. Peran dan kebijakan ini memungkinkan pengguna dasbor lintas akun untuk melihat dasbor otomatis di setiap akun yang merupakan dasbor berbagi.

Berikut ini adalah isi dari CloudWatch- CrossAccountAccess:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/CloudWatch-CrossAccountSharing*"
            ],
            "Effect": "Allow"
        }
    ]
}

CloudWatchAutomaticDashboardsAccess

Kebijakan CloudWatchAutomaticDashboardsAccessterkelola memberikan akses ke CloudWatch CloudWatch APIs non-, sehingga sumber daya seperti fungsi Lambda dapat ditampilkan CloudWatch di dasbor otomatis.

Berikut ini adalah isi dari CloudWatchAutomaticDashboardsAccess:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:DescribeAutoScalingGroups",
        "cloudfront:GetDistribution",
        "cloudfront:ListDistributions",
        "dynamodb:DescribeTable",
        "dynamodb:ListTables",
        "ec2:DescribeInstances",
        "ec2:DescribeVolumes",
        "ecs:DescribeClusters",
        "ecs:DescribeContainerInstances",
        "ecs:ListClusters",
        "ecs:ListContainerInstances",
        "ecs:ListServices",
        "elasticache:DescribeCacheClusters",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticfilesystem:DescribeFileSystems",
        "elasticloadbalancing:DescribeLoadBalancers",
        "kinesis:DescribeStream",
        "kinesis:ListStreams",
        "lambda:GetFunction",
        "lambda:ListFunctions",
        "rds:DescribeDBClusters",
        "rds:DescribeDBInstances",
        "resource-groups:ListGroupResources",
        "resource-groups:ListGroups",
        "route53:GetHealthCheck",
        "route53:ListHealthChecks",
        "s3:ListAllMyBuckets",
        "s3:ListBucket",
        "sns:ListTopics",
        "sqs:GetQueueAttributes",
        "sqs:GetQueueUrl",
        "sqs:ListQueues",
        "synthetics:DescribeCanariesLastRun",
        "tag:GetResources"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "apigateway:GET"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:apigateway:*::/restapis*"
      ]
    }
  ]

CloudWatchAgentServerPolicy

CloudWatchAgentServerPolicyKebijakan ini dapat digunakan dalam IAM peran yang dilampirkan ke EC2 instans Amazon untuk memungkinkan CloudWatch agen membaca informasi dari instans dan menuliskannya CloudWatch. Isinya adalah sebagai berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CWACloudWatchServerPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "ec2:DescribeVolumes",
                "ec2:DescribeTags",
                "logs:PutLogEvents",
                "logs:PutRetentionPolicy",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingRules",
                "xray:GetSamplingTargets",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CWASSMServerPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*"
        }
    ]
}

CloudWatchAgentAdminPolicy

CloudWatchAgentAdminPolicyKebijakan ini dapat digunakan dalam IAM peran yang dilampirkan ke EC2 instans Amazon. Kebijakan ini memungkinkan CloudWatch agen untuk membaca informasi dari instance dan menuliskannya CloudWatch, dan juga untuk menulis informasi ke Parameter Store. Isinya adalah sebagai berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CWACloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "ec2:DescribeTags",
                "logs:PutLogEvents",
                "logs:PutRetentionPolicy",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingRules",
                "xray:GetSamplingTargets",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CWASSMPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*"
        }
    ]
}

Anda juga dapat membuat IAM kebijakan kustom sendiri untuk mengizinkan izin CloudWatch tindakan dan sumber daya. Anda dapat melampirkan kebijakan khusus ini ke IAM pengguna atau grup yang memerlukan izin tersebut.

AWS kebijakan terkelola (standar) untuk observabilitas CloudWatch lintas akun

Kebijakan di bagian ini memberikan izin yang terkait dengan pengamatan CloudWatch lintas akun. Untuk informasi selengkapnya, lihat CloudWatch observabilitas lintas akun.

CloudWatchCrossAccountSharingConfiguration

CloudWatchCrossAccountSharingConfigurationKebijakan ini memberikan akses untuk membuat, mengelola, dan melihat tautan Pengelola Akses Observabilitas untuk berbagi CloudWatch sumber daya antar akun. Untuk informasi selengkapnya, lihat CloudWatch observabilitas lintas akun. Isinya sebagai berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:Link",
                "oam:ListLinks"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        }
    ]
}

OAMFullAccess

OAMFullAccessKebijakan ini memberikan akses untuk membuat, mengelola, dan melihat sink dan tautan Pengelola Akses Observabilitas, yang digunakan untuk CloudWatch pengamatan lintas akun.

OAMFullAccessKebijakan itu sendiri tidak mengizinkan Anda untuk berbagi data observabilitas di seluruh tautan. Untuk membuat tautan untuk berbagi CloudWatch metrik, Anda juga memerlukan salah satu CloudWatchFullAccessatau CloudWatchCrossAccountSharingConfiguration. Untuk membuat tautan untuk berbagi grup CloudWatch log Log, Anda juga memerlukan salah satu CloudWatchLogsFullAccessatau CloudWatchLogsCrossAccountSharingConfiguration. Untuk membuat tautan untuk berbagi jejak X-Ray, Anda juga memerlukan salah satu AWSXRayFullAccessatau AWSXRayCrossAccountSharingConfiguration.

Untuk informasi selengkapnya, lihat CloudWatch observabilitas lintas akun. Isinya sebagai berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oam:*"
            ],
            "Resource": "*"
        }
    ]
}

OAMReadOnlyAccess

OAMReadOnlyAccessKebijakan ini memberikan akses hanya-baca ke sumber daya Manajer Akses Observabilitas, yang digunakan untuk observabilitas lintas akun. CloudWatch Untuk informasi selengkapnya, lihat CloudWatch observabilitas lintas akun. Isinya sebagai berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oam:Get*",
                "oam:List*"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola (standar) untuk Sinyal CloudWatch Aplikasi

Kebijakan di bagian ini memberikan izin yang terkait dengan Sinyal CloudWatch Aplikasi. Untuk informasi selengkapnya, lihat Sinyal Aplikasi.

CloudWatchApplicationSignalsReadOnlyAccess

AWS telah menambahkan IAM kebijakan CloudWatchApplicationSignalsReadOnlyAccessterkelola. Kebijakan ini hanya memberikan akses baca ke tindakan dan sumber daya yang tersedia bagi pengguna di CloudWatch konsol di bawah Sinyal Aplikasi. Ini mencakup application-signals: kebijakan sehingga pengguna dapat menggunakan sinyal CloudWatch Aplikasi untuk melihat, menyelidiki, dan memantau kesehatan layanan mereka. Ini mencakup iam:GetRole kebijakan untuk memungkinkan pengguna mengambil informasi tentang IAM peran. Ini mencakup logs: kebijakan untuk memulai dan menghentikan kueri, mengambil konfigurasi untuk filter metruc, dan mendapatkan hasil kueri. Ini termasuk cloudwatch: kebijakan sehingga pengguna dapat memperoleh informasi tentang CloudWatch alarm atau metrik. Ini mencakup synthetics: kebijakan sehingga pengguna dapat mengambil informasi tentang proses kenari sintetis. Ini mencakup rum: kebijakan untuk menjalankan operasi batch, mengambil data, dan memperbarui definisi metrik untuk RUM klien. Ini termasuk xray: kebijakan untuk mengambil ringkasan jejak.

Berikut ini adalah isi dari CloudWatchApplicationSignalsReadOnlyAccesskebijakan tersebut.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CloudWatchApplicationSignalsReadOnlyAccessPermissions",
			"Effect": "Allow",
			"Action": [
				"application-signals:BatchGetServiceLevelObjectiveBudgetReport",
				"application-signals:GetService",
				"application-signals:GetServiceLevelObjective",
				"application-signals:ListServiceLevelObjectives",
				"application-signals:ListServiceDependencies",
				"application-signals:ListServiceDependents",
				"application-signals:ListServiceOperations",
				"application-signals:ListServices",
				"application-signals:ListTagsForResource"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsGetRolePermissions",
			"Effect": "Allow",
			"Action": "iam:GetRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
		},
		{
			"Sid": "CloudWatchApplicationSignalsLogGroupPermissions",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsLogsPermissions",
			"Effect": "Allow",
			"Action": [
				"logs:StopQuery",
				"logs:GetQueryResults"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsAlarmsReadPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:DescribeAlarms"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsMetricsReadPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricData",
				"cloudwatch:ListMetrics"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsSyntheticsReadPermissions",
			"Effect": "Allow",
			"Action": [
				"synthetics:DescribeCanaries",
				"synthetics:DescribeCanariesLastRun",
				"synthetics:GetCanaryRuns"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsRumReadPermissions",
			"Effect": "Allow",
			"Action": [
				"rum:BatchGetRumMetricDefinitions",
				"rum:GetAppMonitor",
				"rum:GetAppMonitorData",
				"rum:ListAppMonitors"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsXrayReadPermissions",
			"Effect": "Allow",
			"Action": [
				"xray:GetTraceSummaries"
			],
			"Resource": "*"
		}
	]
}

CloudWatchApplicationSignalsFullAccess

AWS telah menambahkan IAM kebijakan CloudWatchApplicationSignalsFullAccessterkelola. Kebijakan ini memberikan akses ke semua tindakan dan sumber daya yang tersedia bagi pengguna di CloudWatch konsol. Ini mencakup application-signals: kebijakan sehingga pengguna dapat menggunakan sinyal CloudWatch Aplikasi untuk melihat, menyelidiki, dan memantau kesehatan layanan mereka. Ini menggunakan cloudwatch: kebijakan untuk mengambil data dari metrik dan alarm. Ini menggunakan logs: kebijakan untuk mengelola kueri dan filter. Ini menggunakan synthetics: kebijakan sehingga pengguna dapat mengambil informasi tentang proses kenari sintetis. Ini mencakup rum: kebijakan untuk menjalankan operasi batch, mengambil data dan memperbarui definisi metrik untuk RUM klien. Ini termasuk xray: kebijakan untuk mengambil ringkasan jejak. Ini mencakup arn:aws:cloudwatch:*:*:alarm: kebijakan sehingga pengguna dapat mengambil informasi tentang alarm objektif tingkat layanan (SLO). Ini termasuk iam: kebijakan untuk mengelola IAM peran. Ini menggunakan sns: kebijakan untuk membuat, mendaftar, dan berlangganan SNS topik Amazon.

Berikut ini adalah isi dari CloudWatchApplicationSignalsFullAccesskebijakan tersebut.

{
 "Version": "2012-10-17",
 "Statement": [
    {
        "Sid": "CloudWatchApplicationSignalsFullAccessPermissions",
        "Effect": "Allow",
        "Action": "application-signals:*",
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsAlarmsPermissions",
        "Effect": "Allow",
        "Action": "cloudwatch:DescribeAlarms",
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsMetricsPermissions",
        "Effect": "Allow",
        "Action": [
            "cloudwatch:GetMetricData",
            "cloudwatch:ListMetrics"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsLogGroupPermissions",
        "Effect": "Allow",
        "Action": [
            "logs:StartQuery"
        ],
        "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsLogsPermissions",
        "Effect": "Allow",
        "Action": [
            "logs:StopQuery",
            "logs:GetQueryResults"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsSyntheticsPermissions",
        "Effect": "Allow",
        "Action": [
            "synthetics:DescribeCanaries",
            "synthetics:DescribeCanariesLastRun",
            "synthetics:GetCanaryRuns"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsRumPermissions",
        "Effect": "Allow",
        "Action": [
            "rum:BatchCreateRumMetricDefinitions",
            "rum:BatchDeleteRumMetricDefinitions",
            "rum:BatchGetRumMetricDefinitions",
            "rum:GetAppMonitor",
            "rum:GetAppMonitorData",
            "rum:ListAppMonitors",
            "rum:PutRumMetricsDestination",
            "rum:UpdateRumMetricDefinition"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsXrayPermissions",
        "Effect": "Allow",
        "Action": "xray:GetTraceSummaries",
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsPutMetricAlarmPermissions",
        "Effect": "Allow",
        "Action": "cloudwatch:PutMetricAlarm",
        "Resource": [
            "arn:aws:cloudwatch:*:*:alarm:SLO-AttainmentGoalAlarm-*",
            "arn:aws:cloudwatch:*:*:alarm:SLO-WarningAlarm-*",
            "arn:aws:cloudwatch:*:*:alarm:SLI-HealthAlarm-*"
        ]
    },
    {
        "Sid": "CloudWatchApplicationSignalsCreateServiceLinkedRolePermissions",
        "Effect": "Allow",
        "Action": "iam:CreateServiceLinkedRole",
        "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals",
        "Condition": {
            "StringLike": {
                "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com"
            }
        }
    },
    {
        "Sid": "CloudWatchApplicationSignalsGetRolePermissions",
        "Effect": "Allow",
        "Action": "iam:GetRole",
        "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
    },
    {
        "Sid": "CloudWatchApplicationSignalsSnsWritePermissions",
        "Effect": "Allow",
        "Action": [
            "sns:CreateTopic",
            "sns:Subscribe"
        ],
        "Resource": "arn:aws:sns:*:*:cloudwatch-application-signals-*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsSnsReadPermissions",
        "Effect": "Allow",
        "Action": "sns:ListTopics",
        "Resource": "*"
    }
 ]
}

CloudWatchLambdaApplicationSignalsExecutionRolePolicy

Kebijakan ini digunakan saat Sinyal CloudWatch Aplikasi diaktifkan untuk beban kerja Lambda. Ini memungkinkan akses tulis ke X-Ray dan grup log yang digunakan oleh Sinyal CloudWatch Aplikasi.

Berikut ini adalah isi dari CloudWatchLambdaApplicationSignalsExecutionRolePolicykebijakan tersebut.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CloudWatchApplicationSignalsXrayWritePermissions",
			"Effect": "Allow",
			"Action": [
				"xray:PutTraceSegments"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CloudWatchApplicationSignalsLogGroupWritePermissions",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup",
				"logs:CreateLogStream",
				"logs:PutLogEvents"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

AWS kebijakan terkelola (standar) untuk CloudWatch Synthetics

Kebijakan CloudWatchSyntheticsFullAccessdan CloudWatchSyntheticsReadOnlyAccess AWS terkelola tersedia untuk Anda tetapkan kepada pengguna yang akan mengelola atau menggunakan CloudWatch Synthetics. Kebijakan-kebijakan tambahan berikut juga relevan:

CloudWatchSyntheticsFullAccess

Berikut ini adalah isi dari CloudWatchSyntheticsFullAccesskebijakan tersebut.

    {
    	"Version": "2012-10-17",
    	"Statement": [
    		{
    			"Effect": "Allow",
    			"Action": [
    				"synthetics:*"
    			],
    			"Resource": "*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"s3:CreateBucket",
    				"s3:PutEncryptionConfiguration"
    			],
    			"Resource": [
    				"arn:aws:s3:::cw-syn-results-*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"iam:ListRoles",
    				"s3:ListAllMyBuckets",
    				"xray:GetTraceSummaries",
    				"xray:BatchGetTraces",
    				"apigateway:GET"
    			],
    			"Resource": "*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"s3:GetBucketLocation"
    			],
    			"Resource": "arn:aws:s3:::*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"s3:GetObject",
    				"s3:ListBucket"
    			],
    			"Resource": "arn:aws:s3:::cw-syn-*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"s3:GetObjectVersion"
    			],
    			"Resource": "arn:aws:s3:::aws-synthetics-library-*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"iam:PassRole"
    			],
    			"Resource": [
    				"arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
    			],
    			"Condition": {
    				"StringEquals": {
    					"iam:PassedToService": [
    						"lambda.amazonaws.com",
    						"synthetics.amazonaws.com"
    					]
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"iam:GetRole",
    				"iam:ListAttachedRolePolicies"
    			],
    			"Resource": [
    				"arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"cloudwatch:GetMetricData",
    				"cloudwatch:GetMetricStatistics"
    			],
    			"Resource": "*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"cloudwatch:PutMetricAlarm",
    				"cloudwatch:DeleteAlarms"
    			],
    			"Resource": [
    				"arn:aws:cloudwatch:*:*:alarm:Synthetics-*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"cloudwatch:DescribeAlarms"
    			],
    			"Resource": [
    				"arn:aws:cloudwatch:*:*:alarm:*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"lambda:CreateFunction",
    				"lambda:AddPermission",
    				"lambda:PublishVersion",
    				"lambda:UpdateFunctionCode",
    				"lambda:UpdateFunctionConfiguration",
    				"lambda:GetFunctionConfiguration",
    				"lambda:DeleteFunction",
    				"lambda:ListTags",
    				"lambda:TagResource",
    				"lambda:UntagResource"
    			],
    			"Resource": [
    				"arn:aws:lambda:*:*:function:cwsyn-*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"lambda:GetLayerVersion",
    				"lambda:PublishLayerVersion",
    				"lambda:DeleteLayerVersion"
    			],
    			"Resource": [
    				"arn:aws:lambda:*:*:layer:cwsyn-*",
    				"arn:aws:lambda:*:*:layer:Synthetics:*",
    				"arn:aws:lambda:*:*:layer:Synthetics_Selenium:*" 
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:DescribeVpcs",
    				"ec2:DescribeSubnets",
    				"ec2:DescribeSecurityGroups"
    			],
    			"Resource": [
    				"*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"sns:ListTopics"
    			],
    			"Resource": [
    				"*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"sns:CreateTopic",
    				"sns:Subscribe",
    				"sns:ListSubscriptionsByTopic"
    			],
    			"Resource": [
    				"arn:*:sns:*:*:Synthetics-*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"kms:ListAliases"
    			],
    			"Resource": "*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"kms:DescribeKey"
    			],
    			"Resource": "arn:aws:kms:*:*:key/*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"kms:Decrypt"
    			],
    			"Resource": "arn:aws:kms:*:*:key/*",
    			"Condition": {
    				"StringLike": {
    					"kms:ViaService": [
    						"s3.*.amazonaws.com"
    					]
    				}
    			}
    		}
    	]
    }

CloudWatchSyntheticsReadOnlyAccess

Berikut ini adalah isi dari CloudWatchSyntheticsReadOnlyAccesskebijakan tersebut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "synthetics:Describe*",
                "synthetics:Get*",
                "synthetics:List*",
                "lambda:GetFunctionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola (standar) untuk Amazon CloudWatch RUM

Kebijakan AmazonCloudWatchRUMFullAccessdan AmazonCloudWatchRUMReadOnlyAccess AWS terkelola tersedia untuk Anda tetapkan kepada pengguna yang akan mengelola atau menggunakan CloudWatch RUM.

AmazonCloudWatchRUMFullAccess

Berikut ini adalah isi dari AmazonCloudWatchRUMFullAccesskebijakan tersebut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rum:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/RUM-Monitor*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "cognito-identity.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms"
            ],
            "Resource": "arn:aws:cloudwatch:*:*:alarm:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cognito-identity:CreateIdentityPool",
                "cognito-identity:ListIdentityPools",
                "cognito-identity:DescribeIdentityPool",
                "cognito-identity:GetIdentityPoolRoles",
                "cognito-identity:SetIdentityPoolRoles"
            ],
            "Resource": "arn:aws:cognito-identity:*:*:identitypool/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:DeleteLogGroup",
                "logs:PutRetentionPolicy",
                "logs:CreateLogStream"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:*RUMService*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group::log-stream:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "synthetics:describeCanaries",
                "synthetics:describeCanariesLastRun"
            ],
            "Resource": "arn:aws:synthetics:*:*:canary:*"
        }
    ]
}

AmazonCloudWatchRUMReadOnlyAccess

Berikut ini adalah isi dari AmazonCloudWatchRUMReadOnlyAccesskebijakan tersebut.

{

	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"rum:GetAppMonitor",
				"rum:GetAppMonitorData",
				"rum:ListAppMonitors",
				"rum:ListRumMetricsDestinations",
				"rum:BatchGetRumMetricDefinitions"
			],
			"Resource": "*"
		}
	]
}

AmazonCloudWatchRUMServiceRolePolicy

Anda tidak dapat melampirkan AmazonCloudWatchRUMServiceRolePolicyke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CloudWatch RUM untuk mempublikasikan data pemantauan ke layanan terkait AWS lainnya. Untuk informasi selengkapnya tentang peran terkait layanan, silakan lihat Menggunakan peran terkait layanan untuk CloudWatch RUM.

Isi lengkapnya AmazonCloudWatchRUMServiceRolePolicyadalah sebagai berikut.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"xray:PutTraceSegments"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"cloudwatch:namespace": [
						"RUM/CustomMetrics/*",
						"AWS/RUM"
					]
				}
			}
		}
	]
}

AWS kebijakan terkelola (telah ditentukan) untuk CloudWatch Terbukti

Kebijakan CloudWatchEvidentlyFullAccessdan CloudWatchEvidentlyReadOnlyAccess AWS terkelola tersedia untuk Anda tetapkan kepada pengguna yang akan mengelola atau menggunakan CloudWatch Evidently.

CloudWatchEvidentlyFullAccess

Berikut ini adalah isi dari CloudWatchEvidentlyFullAccesskebijakan tersebut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "evidently:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms",
                "cloudwatch:TagResource",
                "cloudwatch:UnTagResource"
            ],
            "Resource": [
                "arn:aws:cloudwatch:*:*:alarm:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm"
            ],
            "Resource": [
                "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic",
                "sns:Subscribe",
                "sns:ListSubscriptionsByTopic"
            ],
            "Resource": [
                "arn:*:sns:*:*:Evidently-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

CloudWatchEvidentlyReadOnlyAccess

Berikut ini adalah isi dari CloudWatchEvidentlyReadOnlyAccesskebijakan tersebut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "evidently:GetExperiment",
                "evidently:GetFeature",
                "evidently:GetLaunch",
                "evidently:GetProject",
                "evidently:GetSegment",
                "evidently:ListExperiments",
                "evidently:ListFeatures",
                "evidently:ListLaunches",
                "evidently:ListProjects",
                "evidently:ListSegments",
                "evidently:ListSegmentReferencs"                               
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola untuk Manajer Insiden AWS Systems Manager

ctionSSMIncidentsServiceRolePolicyKebijakan AWSCloudWatchAlarms_A dilampirkan ke peran terkait layanan yang memungkinkan CloudWatch untuk memulai insiden di Manajer Insiden AWS Systems Manager atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk alarm tindakan CloudWatch Systems Manager Incident Manager.

Kebijakan ini memiliki izin-izin berikut:

Contoh kebijakan yang dikelola pelanggan

Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai CloudWatch tindakan. Kebijakan ini berfungsi saat Anda menggunakan CloudWatch API, AWS SDKs, atau AWS CLI.

Contoh 1: Izinkan pengguna akses penuh ke CloudWatch

Untuk memberi pengguna akses penuh CloudWatch, Anda dapat menggunakan beri mereka kebijakan CloudWatchFullAccessterkelola alih-alih membuat kebijakan yang dikelola pelanggan. Isi dari CloudWatchFullAccesstercantum dalamCloudWatchFullAccess.

Contoh 2: Izinkan akses hanya-baca ke CloudWatch

Kebijakan berikut memungkinkan pengguna mengakses CloudWatch dan melihat tindakan Auto EC2 Scaling Amazon CloudWatch , metrik, data Log CloudWatch , dan data Amazon terkait alarm. SNS

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "logs:Get*",
        "logs:Describe*",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:TestMetricFilter",
        "logs:FilterLogEvents",
        "logs:StartLiveTail",
        "logs:StopLiveTail",
        "sns:Get*",
        "sns:List*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Contoh 3: Menghentikan atau menghentikan instans Amazon EC2

Kebijakan berikut memungkinkan tindakan CloudWatch alarm untuk menghentikan atau menghentikan EC2 instance. Dalam contoh di bawah ini, GetMetricData ListMetrics, dan DescribeAlarms tindakan adalah opsional. Anda disarankan untuk menyertakan tindakan ini untuk memastikan bahwa Anda telah menghentikan atau mengakhiri instans tersebut dengan benar.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:GetMetricData",
        "cloudwatch:ListMetrics",
        "cloudwatch:DescribeAlarms"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

CloudWatch pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola CloudWatch sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman Riwayat CloudWatch dokumen.

"Condition": {
    "StringLike": {
		"cloudwatch:namespace": [
			"RUM/CustomMetrics/*",
			"AWS/RUM"
		]
	}
}