Amazon CloudWatch のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudWatch のアクション、リソース、および条件キー

Amazon CloudWatch (サービスプレフィックス: cloudwatch) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon CloudWatch で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BatchGetServiceLevelIndicatorReport サービスレベル指標レポートを一括取得するためのアクセス許可を付与 読み取り
BatchGetServiceLevelObjectiveBudgetReport サービスレベル目標の予算レポートを一括取得するためのアクセス許可を付与 読み取り

slo*

CreateServiceLevelObjective サービスレベル目標を作成するためのアクセス許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAlarms アラームのコレクションを削除する許可を付与。 書き込み

alarm*

DeleteAnomalyDetector 指定した異常検出モデルをアカウントから削除する許可を付与。 書き込み
DeleteDashboards 指定したすべての CloudWatch ダッシュボードを削除するアクセス許可を付与します 書き込み

dashboard*

DeleteInsightRules インサイトルールのコレクションを削除する許可を付与。 書き込み

insight-rule*

DeleteMetricStream 指定した CloudWatch メトリクスストリームを削除するアクセス許可を付与します 書き込み

metric-stream*

DeleteServiceLevelObjective サービスレベル目標を削除するためのアクセス許可を付与 書き込み

slo*

DescribeAlarmHistory 指定したアラームの履歴を取得する許可を付与。 読み込み

alarm*

DescribeAlarms ユーザーのアカウントが現在所有しているすべてのアラームを記述する許可を付与。 読み込み

alarm*

DescribeAlarmsForMetric ユーザーのアカウントが現在所有している、指定したメトリクスで設定されているすべてのアラームを記述する許可を付与。 読み込み
DescribeAnomalyDetectors アカウントで作成した異常検出モデルを一覧表示する許可を付与。 読み込み
DescribeInsightRules ユーザーのアカウントが現在所有しているすべてのインサイトルールを記述する許可を付与。 読み込み
DisableAlarmActions アラームのコレクションに対するアクションを無効にする許可を付与。 書き込み

alarm*

DisableInsightRules インサイトルールのコレクションを無効にする許可を付与。 書き込み

insight-rule*

EnableAlarmActions アラームのコレクションに対するアクションを有効にする許可を付与。 書き込み

alarm*

EnableInsightRules インサイトルールのコレクションを有効にする許可を付与。 書き込み

insight-rule*

EnableTopologyDiscovery a CloudWatch トポロジ検出を有効にするアクセス許可を付与します 書き込み
GenerateQuery 自然言語プロンプトからメトリクスインサイトまたはログインサイトクエリ文字列を生成するためのアクセス許可を付与 読み取り
GetDashboard 指定した CloudWatch ダッシュボードの詳細を表示するアクセス許可を付与します 読み取り

dashboard*

GetInsightRuleReport 特定のインサイトルールについて、時間範囲内で一意のコントリビュータの top-N レポートを返すアクセス許可を付与します。 読み取り

insight-rule*

GetMetricData CloudWatch メトリクスデータのバッチ量を取得し、取得したデータに対してメトリクス計算を実行するアクセス許可を付与します 読み取り
GetMetricStatistics 指定したメトリクスの統計を取得する許可を付与。 読み取り
GetMetricStream a CloudWatch メトリクスストリームの詳細を返すアクセス許可を付与します 読み取り

metric-stream*

GetMetricWidgetImage メトリクスウィジェットのスナップショットを取得する許可を付与 読み取り
GetService サービスに関する情報を取得するためのアクセス許可を付与 読み取り

service*

GetServiceData[アクセス許可のみ] サービスデータを取得するためのアクセス許可を付与 読み取り

service*

GetServiceLevelObjective サービスレベル目標に関する情報を取得するためのアクセス許可を付与 読み取り

slo*

GetTopologyDiscoveryStatus[アクセス許可のみ] CloudWatch トポロジ検出ステータスを取得するアクセス許可を付与します 読み取り
GetTopologyMap CloudWatch トポロジマップを取得する許可を付与 読み取り
モニタリングアカウントと CloudWatch リソースを共有する許可を付与 書き込み
ListDashboards アカウント内のすべての CloudWatch ダッシュボードのリストを返すアクセス許可を付与します リスト
ListEntitiesForMetric[アクセス許可のみ] 特定のメトリクスを出力するすべてのエンティティを取得するアクセス許可を付与します リスト
ListManagedInsightRules 特定のリソースARNで使用可能なマネージド型インサイトルールを一覧表示するアクセス許可を付与します 読み取り

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestManagedResourceARNs

ListMetricStreams アカウント内のすべての CloudWatch メトリクスストリームのリストを返すアクセス許可を付与します リスト
ListMetrics AWS アカウント 所有者に保存されている有効なメトリクスのリストを取得する許可を付与 リスト
ListServiceLevelObjectives サービスレベル目標を一覧表示するためのアクセス許可を付与 リスト
ListServices サービスを一覧表示する許可を付与 リスト
ListTagsForResource Amazon CloudWatch リソースのタグを一覧表示する許可を付与 リスト

alarm

insight-rule

slo

SCENARIO: CloudWatch-Alarm

alarm*

SCENARIO: CloudWatch-InsightRule

insight-rule*

SCENARIO: CloudWatch-ServiceLevelObjective

slo*

PutAnomalyDetector a CloudWatch メトリクスの異常検出モデルを作成または更新するアクセス許可を付与します 書き込み
PutCompositeAlarm 複合アラームを作成または更新する許可を付与。 書き込み

alarm*

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:AlarmActions

PutDashboard CloudWatch ダッシュボードを作成する許可、または既存のダッシュボードが既に存在する場合は更新する許可を付与 書き込み

dashboard*

PutInsightRule 新しいインサイトルールを作成したり、既存のインサイトルールを置き換えるアクセス許可を付与します。 書き込み

insight-rule*

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestInsightRuleLogGroups

PutManagedInsightRules マネージド型インサイトルールを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestManagedResourceARNs

PutMetricAlarm アラームを作成または更新するアクセス許可を付与し、指定した Amazon CloudWatch メトリクスに関連付けます。 書き込み

alarm*

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:AlarmActions

PutMetricData メトリクスデータポイントを Amazon CloudWatch に発行する許可を付与 書き込み

cloudwatch:namespace

PutMetricStream CloudWatch メトリクスストリームを作成するか、既存のメトリクスストリームが既に存在する場合は更新するアクセス許可を付与します 書き込み

metric-stream*

aws:RequestTag/${TagKey}

aws:TagKeys

SetAlarmState テスト目的でアラームの状態を一時的に設定する許可を付与。 書き込み

alarm*

StartMetricStreams 指定したすべての CloudWatch メトリクスストリームを開始するアクセス許可を付与します 書き込み

metric-stream*

StopMetricStreams 指定したすべての CloudWatch メトリクスストリームを停止するアクセス許可を付与します 書き込み

metric-stream*

TagResource Amazon CloudWatch リソースにタグを追加する許可を付与 タグ付け

alarm

insight-rule

slo

aws:TagKeys

aws:RequestTag/${TagKey}

SCENARIO: CloudWatch-Alarm

alarm*

SCENARIO: CloudWatch-InsightRule

insight-rule*

SCENARIO: CloudWatch-ServiceLevelObjective

slo*

UntagResource Amazon CloudWatch リソースからタグを削除するアクセス許可を付与します タグ付け

alarm

insight-rule

slo

aws:TagKeys

SCENARIO: CloudWatch-Alarm

alarm*

SCENARIO: CloudWatch-InsightRule

insight-rule*

SCENARIO: CloudWatch-ServiceLevelObjective

slo*

UpdateServiceLevelObjective サービスレベル目標を更新するためのアクセス許可を付与 書き込み

slo*

Amazon CloudWatch で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
alarm arn:${Partition}:cloudwatch:${Region}:${Account}:alarm:${AlarmName}

aws:ResourceTag/${TagKey}

dashboard arn:${Partition}:cloudwatch::${Account}:dashboard/${DashboardName}
insight-rule arn:${Partition}:cloudwatch:${Region}:${Account}:insight-rule/${InsightRuleName}

aws:ResourceTag/${TagKey}

metric-stream arn:${Partition}:cloudwatch:${Region}:${Account}:metric-stream/${MetricStreamName}

aws:ResourceTag/${TagKey}

slo arn:${Partition}:cloudwatch:${Region}:${Account}:slo/${SloName}

aws:ResourceTag/${TagKey}

service arn:${Partition}:cloudwatch:${Region}:${Account}:service/${ServiceName}-${UniqueAttributesHex}

aws:ResourceTag/${TagKey}

Amazon CloudWatch の条件キー

Amazon CloudWatch では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 各タグで許可されている値のセットに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられている tag-value に基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエスト内の必須タグのプレゼンスに基づいてアクションをフィルタリングします ArrayOfString
cloudwatch:AlarmActions 定義されたアラームアクションに基づいてアクションをフィルターします ArrayOfString
cloudwatch:namespace オプションの名前空間値の存在に基づいてアクションをフィルタリングします。 文字列
cloudwatch:requestInsightRuleLogGroups インサイトルールで指定されたロググループに基づいてアクションをフィルタリングします ArrayOfString
cloudwatch:requestManagedResourceARNs マネージド型インサイトルールで指定されたリソースARNsでアクセスをフィルタリングします ArrayOfARN