CloudWatch Canary を管理するユーザーに必要なロールと許可 - Amazon CloudWatch

CloudWatch Canary を管理するユーザーに必要なロールと許可

Canary の詳細と Canary の実行結果を表示するには、CloudWatchSyntheticsFullAccess または CloudWatchSyntheticsReadOnlyAccess ポリシーをアタッチしたユーザーとしてサインインする必要があります。コンソールですべての Synthetics データを読み取るには、AmazonS3ReadOnlyAccess ポリシーと CloudWatchReadOnlyAccess ポリシーも必要です。Canary で使用しているソースコードを表示するには、AWSLambda_ReadOnlyAccess ポリシーも必要です。

Canary を作成するには、CloudWatchSyntheticsFullAccess ポリシーまたは同様のアクセス許可セットを持つユーザーとしてサインインする必要があります。Canary の IAM ロールを作成するには、次のインラインポリシーステートメントも必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
                "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
            ]
        }
    ]
}
重要

ユーザーに、iam:CreateRoleiam:CreatePolicy、および iam:AttachRolePolicy アクセス許可を付与すると、そのユーザーには、AWS アカウントへの完全な管理アクセス許可が与えられます。例えば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。

ポリシーのアタッチとユーザーへのアクセス許可の付与については、「IAM ユーザーのアクセス許可の変更」および「ユーザーまたはロールのインラインポリシーを埋め込むには」を参照してください。