Azioni, risorse e chiavi di condizione per Amazon CloudWatch - Service Authorization Reference

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Azioni, risorse e chiavi di condizione per Amazon CloudWatch

Amazon CloudWatch (prefisso del servizio:cloudwatch) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle IAM politiche di autorizzazione.

Riferimenti:

Azioni definite da Amazon CloudWatch

È possibile specificare le seguenti azioni nell'Actionelemento di una dichiarazione IAM politica. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una politica, in genere si consente o si nega l'accesso all'APIoperazione o al CLI comando con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.

La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, è possibile specificarne uno ARN di quel tipo in un'istruzione con tale azione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'Resourceelemento di una IAM policy, è necessario includere uno schema ARN o per ogni tipo di risorsa richiesto. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.

La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.

Nota

Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.

Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.

Azioni Descrizione Livello di accesso Tipi di risorsa (*obbligatorio) Chiavi di condizione Operazioni dipendenti
BatchGetServiceLevelIndicatorReport Concede l'autorizzazione per ottenere in batch un report sugli indicatori del livello di servizio Lettura
BatchGetServiceLevelObjectiveBudgetReport Concede l'autorizzazione per recuperare in batch un report sul budget degli obiettivi del livello di servizio Lettura

slo*

CreateServiceLevelObjective Concede l'autorizzazione per creare un obiettivo del livello di servizio Scrittura

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAlarms Concede l'autorizzazione per eliminare una raccolta di allarmi Write

alarm*

DeleteAnomalyDetector Concede l'autorizzazione per eliminare dal tuo account il modello di rilevamento anomalie specificato Scrittura
DeleteDashboards Concede l'autorizzazione a eliminare tutti i CloudWatch dashboard specificati Scrittura

dashboard*

DeleteInsightRules Concede l'autorizzazione per eliminare una raccolta di regole di analisi Scrittura

insight-rule*

DeleteMetricStream Concede l'autorizzazione a eliminare il flusso di CloudWatch metriche specificato Scrittura

metric-stream*

DeleteServiceLevelObjective Concede l'autorizzazione per eliminare un obiettivo del livello di servizio Scrittura

slo*

DescribeAlarmHistory Concede l'autorizzazione per recuperare la cronologia per l'allarme specificato Read

alarm*

DescribeAlarms Concede l'autorizzazione per descrivere tutti gli allarmi attualmente di proprietà dell'account dell'utente. Read

alarm*

DescribeAlarmsForMetric Concede l'autorizzazione per descrivere tutti gli allarmi configurati nel parametro specificato attualmente di proprietà dell'account dell'utente Read
DescribeAnomalyDetectors Concede l'autorizzazione per elencare i modelli di rilevamento anomalie creati nel tuo account Read
DescribeInsightRules Concede l'autorizzazione per descrivere tutte le regole di analisi attualmente di proprietà dell'account dell'utente. Read
DisableAlarmActions Concede l'autorizzazione per disabilitare le operazioni per una raccolta di allarmi Write

alarm*

DisableInsightRules Concede l'autorizzazione per disabilitare una raccolta di regole di analisi Write

insight-rule*

EnableAlarmActions Concede l'autorizzazione per abilitare le operazioni per una raccolta di allarmi Write

alarm*

EnableInsightRules Concede l'autorizzazione per abilitare una raccolta di regole di analisi Scrittura

insight-rule*

EnableTopologyDiscovery Concede l'autorizzazione per consentire l'individuazione della topologia CloudWatch Scrittura
GenerateQuery Concede l'autorizzazione per generare una stringa di query Metrics Insights o Logs Insights da un prompt in linguaggio naturale Lettura
GetDashboard Concede l'autorizzazione a visualizzare i dettagli del pannello di controllo specificato CloudWatch Lettura

dashboard*

GetInsightRuleReport Concede l'autorizzazione a restituire il report Top-N dei fattori univoci in un intervallo di tempo per una determinata regola di approfondimento Lettura

insight-rule*

GetMetricData Concede l'autorizzazione a recuperare quantità batch di dati metrici ed eseguire CloudWatch calcoli metrici sui dati recuperati Lettura
GetMetricStatistics Concede l'autorizzazione per recuperare le statistiche per il parametro specificato Lettura
GetMetricStream Concede l'autorizzazione a restituire i dettagli di un flusso di metriche CloudWatch Lettura

metric-stream*

GetMetricWidgetImage Concede l'autorizzazione per recuperare gli snapshot di widget parametro Lettura
GetService Concede l'autorizzazione per recuperare le informazioni su un servizio Lettura

service*

GetServiceData [solo autorizzazione] Concede l'autorizzazione per recuperare i dati del servizio Lettura

service*

GetServiceLevelObjective Concede l'autorizzazione per recuperare le informazioni sull'obiettivo del livello di servizio Lettura

slo*

GetTopologyDiscoveryStatus [solo autorizzazione] Concede l'autorizzazione a recuperare lo stato di scoperta della topologia CloudWatch Lettura
GetTopologyMap Concede l'autorizzazione a recuperare una mappa topologica CloudWatch Lettura
Concede l'autorizzazione a condividere CloudWatch risorse con un account di monitoraggio Scrittura
ListDashboards Concede l'autorizzazione a restituire un elenco di tutte le CloudWatch dashboard del tuo account Elenco
ListEntitiesForMetric [solo autorizzazione] Concede l'autorizzazione a recuperare tutte le entità che emettono una determinata metrica Elenco
ListManagedInsightRules Concede l'autorizzazione a elencare le regole di Insight gestite disponibili per una determinata risorsa ARN Lettura

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestManagedResourceARNs

ListMetricStreams Concede l'autorizzazione a restituire un elenco di tutti i flussi di CloudWatch metriche presenti nel tuo account Elenco
ListMetrics Concede l'autorizzazione a recuperare un elenco di metriche valide archiviate per il proprietario Account AWS Elenco
ListServiceLevelObjectives Concede l'autorizzazione per elencare gli obiettivi del livello di servizio Elenco
ListServices Concede l'autorizzazione per elencare i servizi Elenco
ListTagsForResource Concede l'autorizzazione a pubblicare tag per una risorsa Amazon CloudWatch Elenco

alarm

insight-rule

slo

SCENARIO: CloudWatch-Alarm

alarm*

SCENARIO: CloudWatch-InsightRule

insight-rule*

SCENARIO: CloudWatch-ServiceLevelObjective

slo*

PutAnomalyDetector Concede l'autorizzazione a creare o aggiornare un modello di rilevamento delle anomalie per una metrica CloudWatch Scrittura
PutCompositeAlarm Concede l'autorizzazione per creare o aggiornare un allarme composito Scrittura

alarm*

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:AlarmActions

PutDashboard Concede l'autorizzazione a creare una CloudWatch dashboard o ad aggiornare una dashboard esistente se già esiste Scrittura

dashboard*

PutInsightRule Concede l'autorizzazione per creare una nuova regola di analisi o sostituire una regola di analisi esistente Scrittura

insight-rule*

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestInsightRuleLogGroups

PutManagedInsightRules Concede l'autorizzazione per creare regole di analisi gestite Scrittura

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestManagedResourceARNs

PutMetricAlarm Concede l'autorizzazione a creare o aggiornare un allarme e lo associa alla metrica Amazon specificata CloudWatch Scrittura

alarm*

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:AlarmActions

PutMetricData Concede l'autorizzazione a pubblicare punti dati metrici su Amazon CloudWatch Scrittura

cloudwatch:namespace

PutMetricStream Concede l'autorizzazione a creare un flusso di CloudWatch metriche o ad aggiornare un flusso di metriche esistente se già esiste Scrittura

metric-stream*

aws:RequestTag/${TagKey}

aws:TagKeys

SetAlarmState Concede l'autorizzazione per impostare temporaneamente lo stato di un allarme per scopi di test Scrittura

alarm*

StartMetricStreams Concede l'autorizzazione ad avviare tutti i flussi di CloudWatch metrici specificati Scrittura

metric-stream*

StopMetricStreams Concede l'autorizzazione a interrompere tutti i flussi di CloudWatch metriche specificati Scrittura

metric-stream*

TagResource Concede l'autorizzazione ad aggiungere tag a una risorsa Amazon CloudWatch Assegnazione di tag

alarm

insight-rule

slo

aws:TagKeys

aws:RequestTag/${TagKey}

SCENARIO: CloudWatch-Alarm

alarm*

SCENARIO: CloudWatch-InsightRule

insight-rule*

SCENARIO: CloudWatch-ServiceLevelObjective

slo*

UntagResource Concede l'autorizzazione a rimuovere un tag da una risorsa Amazon CloudWatch Assegnazione di tag

alarm

insight-rule

slo

aws:TagKeys

SCENARIO: CloudWatch-Alarm

alarm*

SCENARIO: CloudWatch-InsightRule

insight-rule*

SCENARIO: CloudWatch-ServiceLevelObjective

slo*

UpdateServiceLevelObjective Concede l'autorizzazione per aggiornare un obiettivo del livello di servizio Scrittura

slo*

Tipi di risorse definiti da Amazon CloudWatch

I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'Resourceelemento delle dichiarazioni sulla politica di IAM autorizzazione. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.

Tipi di risorsa ARN Chiavi di condizione
alarm arn:${Partition}:cloudwatch:${Region}:${Account}:alarm:${AlarmName}

aws:ResourceTag/${TagKey}

dashboard arn:${Partition}:cloudwatch::${Account}:dashboard/${DashboardName}
insight-rule arn:${Partition}:cloudwatch:${Region}:${Account}:insight-rule/${InsightRuleName}

aws:ResourceTag/${TagKey}

metric-stream arn:${Partition}:cloudwatch:${Region}:${Account}:metric-stream/${MetricStreamName}

aws:ResourceTag/${TagKey}

slo arn:${Partition}:cloudwatch:${Region}:${Account}:slo/${SloName}

aws:ResourceTag/${TagKey}

service arn:${Partition}:cloudwatch:${Region}:${Account}:service/${ServiceName}-${UniqueAttributesHex}

aws:ResourceTag/${TagKey}

Chiavi di condizione per Amazon CloudWatch

Amazon CloudWatch definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una IAM policy. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.

Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.

Chiavi di condizione Descrizione Tipo
aws:RequestTag/${TagKey} Filtra le operazioni in base al set di valori consentito per ciascuno dei tag. Stringa
aws:ResourceTag/${TagKey} Filtra le operazioni in base al valore del tag associato alla risorsa Stringa
aws:TagKeys Filtra le operazioni in base alla presenza di tag obbligatori nella richiesta. ArrayOfString
cloudwatch:AlarmActions Filtra le azioni in base alle azioni di allarme definite ArrayOfString
cloudwatch:namespace Filtra le operazioni in base alla presenza di valori opzionali dello spazio dei nomi Stringa
cloudwatch:requestInsightRuleLogGroups Filtra le operazioni in base ai gruppi di log specificati in una Insight Rule (regola di analisi) ArrayOfString
cloudwatch:requestManagedResourceARNs Filtra l'accesso in base alla risorsa ARNs specificata in una regola Insight gestita ArrayOfARN