View a markdown version of this page

Referência de permissões do Amazon CloudWatch - Amazon CloudWatch

Referência de permissões do Amazon CloudWatch

A tabela a seguir lista cada operação da API do CloudWatch e as ações correspondentes às quais é possível conceder permissões para executar a ação. Você especifica as ações no campo Action da política e especifica um caractere curinga (*) como o valor do recurso no campo Resource da política.

É possível usar as chaves de condição de toda a AWS em suas políticas do CloudWatch para expressar condições. Para obter uma lista completa de chaves em toda a AWS, consulte Chaves de contexto de condição globais e do IAM da AWS no Manual do usuário do IAM.

nota

Para especificar uma ação, use o prefixo cloudwatch: seguido do nome da operação da API. Por exemplo: cloudwatch:GetMetricData, cloudwatch:ListMetrics ou cloudwatch:* (para todas as ações do CloudWatch).

Operações da API do CloudWatch e permissões necessárias para ações

Operações da API do CloudWatch Permissões obrigatórias (ações de API)

DeleteAlarms

cloudwatch:DeleteAlarms

Necessária para excluir um alarme.

DeleteDashboards

cloudwatch:DeleteDashboards

Necessária para apagar um painel.

DeleteMetricStream

cloudwatch:DeleteMetricStream

Necessária para excluir um fluxo de métricas.

DescribeAlarmHistory

cloudwatch:DescribeAlarmHistory

Necessária para visualizar o histórico de alarmes. Para recuperar informações sobre alarmes compostos, sua permissão cloudwatch:DescribeAlarmHistory deve ter um escopo *. Não é possível retornar informações sobre alarmes compostos se a permissão cloudwatch:DescribeAlarmHistory tiver um escopo mais limitado.

DescribeAlarms

cloudwatch:DescribeAlarms

Necessária para recuperar informações sobre alarmes.

Para recuperar informações sobre alarmes compostos, sua permissão cloudwatch:DescribeAlarms deve ter um escopo *. Não é possível retornar informações sobre alarmes compostos se a permissão cloudwatch:DescribeAlarms tiver um escopo mais limitado.

DescribeAlarmsForMetric

cloudwatch:DescribeAlarmsForMetric

Necessária para visualizar os alarmes para uma métrica.

DisableAlarmActions

cloudwatch:DisableAlarmActions

Necessária para desativar uma ação de alarme.

EnableAlarmActions

cloudwatch:EnableAlarmActions

Necessária para ativar uma ação de alarme.

GetDashboard

cloudwatch:GetDashboard

Necessária para exibir dados sobre os painéis existentes.

GetMetricData

cloudwatch:GetMetricData

Necessária para representar em gráficos dados de métricas no console do CloudWatch para recuperar grandes lotes de dados de métricas e executar matemática métrica nesses dados.

GetMetricStatistics

cloudwatch:GetMetricStatistics

Necessária para visualizar gráficos em outras partes do console do CloudWatch e nos widgets do painel.

GetMetricStream

cloudwatch:GetMetricStream

Necessária para visualizar informações sobre um fluxo de métricas.

GetMetricWidgetImage

cloudwatch:GetMetricWidgetImage

Necessário para recuperar um gráfico de snapshot de uma ou mais métricas do CloudWatch como uma imagem de bitmap.

GetOTelEnrichment

cloudwatch:GetOTelEnrichment

Necessário para recuperar o status do enriquecimento do OpenTelemetry para métricas vendidas.

ListDashboards

cloudwatch:ListDashboards

Necessária para visualizar a lista de painéis do CloudWatch em sua conta.

ListEntitiesForMetric

(Permissão somente para o console do CloudWatch)

cloudwatch:ListEntitiesForMetric

Necessária para encontrar as entidades associadas a uma métrica. Necessária para analisar a telemetria relacionada no console do CloudWatch.

ListMetrics

cloudwatch:ListMetrics

Necessária para visualizar ou pesquisar nomes de métrica no console do CloudWatch e na CLI. Necessária para selecionar métricas nos widgets do painel.

ListMetricStreams

cloudwatch:ListMetricStreams

Necessária para visualizar ou pesquisar a lista de fluxos de métricas na conta.

ListTagsForResource

cloudwatch:ListTagsForResource

Necessário para listar as tags associadas a um recurso do CloudWatch.

PutCompositeAlarm

cloudwatch:PutCompositeAlarm

Necessária para criar um alarme composto.

Para criar um alarme composto, sua permissão cloudwatch:PutCompositeAlarm deve ter um escopo *. Não é possível retornar informações sobre alarmes compostos se a permissão cloudwatch:PutCompositeAlarm tiver um escopo mais limitado.

PutDashboard

cloudwatch:PutDashboard

Necessária para criar um painel ou atualizar um painel existente.

PutMetricAlarm

cloudwatch:PutMetricAlarm

Necessária para criar ou atualizar um alarme.

PutMetricData

cloudwatch:PutMetricData

Necessária para criar métricas.

PutMetricStream

cloudwatch:PutMetricStream

Necessária para criar um fluxo de métricas.

SetAlarmState

cloudwatch:SetAlarmState

Necessária para definir manualmente o estado de um alarme.

StartMetricStreams

cloudwatch:StartMetricStreams

Necessária para iniciar o fluxo de métricas.

StartOTelEnrichment

cloudwatch:StartOTelEnrichment

Necessário para permitir o enriquecimento do OpenTelemetry para métricas vendidas, tornando possível consultá-las com PromQL.

StopMetricStreams

cloudwatch:StopMetricStreams

Necessária para interromper temporariamente o fluxo de métricas.

StopOTelEnrichment

cloudwatch:StopOTelEnrichment

Necessário para desabilitar o enriquecimento do OpenTelemetry para métricas vendidas.

TagResource

cloudwatch:TagResource

Necessária para adicionar ou atualizar etiquetas nos recursos do CloudWatch, como alarmes e regras do Contributor Insights.

UntagResource

cloudwatch:UntagResource

Necessária para remover etiquetas de recurso no CloudWatch.

Operações da API do CloudWatch Application Signals e permissões necessárias para a execução de ações

Operações da API do CloudWatch Application Signals Permissões obrigatórias (ações de API)

BatchGetServiceLevelObjectiveBudgetReport

application-signals:BatchGetServiceLevelObjectiveBudgetReport

Necessária para recuperar os relatórios de orçamentos de objetivo de nível de serviço.

CreateServiceLevelObjective

application-signals:CreateServiceLevelObjective

Necessária para criar um objetivo de nível de serviço (SLO).

DeleteServiceLevelObjective

application-signals:DeleteServiceLevelObjective

Necessária para excluir um objetivo de nível de serviço (SLO).

GetService

application-signals:GetService

Necessária para recuperar informações sobre um serviço descoberto pelo Application Signals.

GetServiceLevelObjective

application-signals:GetServiceLevelObjective

Necessária para recuperar informações sobre um objetivo de nível de serviço (SLO).

ListObservedEntities

application-signals:ListObservedEntities

Concede permissão para listar entidades associadas a outras.

ListServiceDependencies

application-signals:ListServiceDependencies

Necessária para recuperar uma lista de dependências de serviços de um serviço especificado por você. Esse serviço e as dependências foram descobertos pelo Application Signals.

ListServiceDependents

application-signals:ListServiceDependents

Necessária para recuperar uma lista de dependentes que invocaram um serviço especificado por você. Esse serviço e os dependentes foram descobertos pelo Application Signals.

ListServiceLevelObjectives

application-signals:ListServiceLevelObjectives

Necessária para recuperar uma lista de objetivos de nível de serviço (SLOs) na conta.

ListServiceOperations

application-signals:ListServiceOperations

Necessária para recuperar uma lista de operações de serviço de um serviço especificado por você. Esse serviço e as dependências foram descobertos pelo Application Signals.

ListServices

application-signals:ListServices

Necessária para recuperar uma lista de serviços descobertos pelo Application Signals.

ListTagsForResource

application-signals:ListTagsForResource

Necessária para recuperar uma lista de etiquetas associadas a um recurso.

StartDiscovery

application-signals:StartDiscovery

Necessária para habilitar o Application Signals na conta e para criar o perfil vinculado ao serviço obrigatório.

TagResource

application-signals:TagResource

Necessária para adicionar etiquetas aos recursos.

UntagResource

application-signals:UntagResource

Necessária para remover etiquetas de recursos.

UpdateServiceLevelObjective

application-signals:UpdateServiceLevelObjective

Necessária para atualizar um objetivo de nível de serviço existente.

Operações da API do CloudWatch Contributor Insights e permissões necessárias para ações

Importante

Quando você concede a permissão cloudwatch:PutInsightRule ao usuário, por padrão, ele pode criar uma regra que avalia qualquer grupo de logs no CloudWatch Logs. É possível adicionar condições de política do IAM que limitem essas permissões para que um usuário inclua e exclua grupos de logs específicos. Para obter mais informações, consulte Chaves de condição para acesso ao grupo de logs do Contributor Insights.

Operações da API do CloudWatch Contributor Insights Permissões obrigatórias (ações de API)

DeleteInsightRules

cloudwatch:DeleteInsightRules

Necessária para excluir regras do Contributor Insights.

DescribeInsightRules

cloudwatch:DescribeInsightRules

Necessária para visualizar as regras do Contributor Insights em sua conta.

EnableInsightRules

cloudwatch:EnableInsightRules

Necessária para habilitar regras do Contributor Insights.

GetInsightRuleReport

cloudwatch:GetInsightRuleReport

Necessário para recuperar dados de séries temporais e outras estatísticas coletadas pelas regras do Contributor Insights.

PutInsightRule

cloudwatch:PutInsightRule

Necessária para criar regras do Contributor Insights. Consulte a observação Importante no início desta tabela.

Operações da API do CloudWatch Events e permissões necessárias para ações

Operações de API do CloudWatch Events Permissões obrigatórias (ações de API)

DeleteRule

events:DeleteRule

Necessária para excluir uma regra.

DescribeRule

events:DescribeRule

Necessária para listar os detalhes sobre uma regra.

DisableRule

events:DisableRule

Necessária para desativar uma regra.

EnableRule

events:EnableRule

Necessária para ativar uma regra.

ListRuleNamesByTarget

events:ListRuleNamesByTarget

Necessária para listar as regras associadas a um destino.

ListRules

events:ListRules

Necessária para listar todas as regras em sua conta.

ListTargetsByRule

events:ListTargetsByRule

Necessária para listar todos os destinos associados a uma regra.

PutEvents

events:PutEvents

Necessária para adicionar eventos personalizados que podem ser vinculados a regras.

PutRule

events:PutRule

Necessária para criar ou atualizar uma regra.

PutTargets

events:PutTargets

Necessária para adicionar destinos a uma regra.

RemoveTargets

events:RemoveTargets

Necessária para remover um destino de uma regra.

TestEventPattern

events:TestEventPattern

Necessária para testar um evento padrão em um determinado evento.

Operações de API do CloudWatch Logs e permissões necessárias para ações

nota

As permissões do CloudWatch Logs podem ser encontradas no Guia do usuário do CloudWatch Logs.

Operações de API do Amazon EC2 e permissões necessárias para ações

Operação da API do Amazon EC2 Permissões obrigatórias (ações de API)

DescribeInstanceStatus

ec2:DescribeInstanceStatus

Necessária para visualizar os detalhes de status da instância do EC2.

DescribeInstances

ec2:DescribeInstances

Necessária para visualizar detalhes da instância do EC2.

RebootInstances

ec2:RebootInstances

Necessária para reinicializar uma instância do EC2.

StopInstances

ec2:StopInstances

Necessária para interromper uma instância do EC2.

TerminateInstances

ec2:TerminateInstances

Necessária para encerrar uma instância do EC2.

Operações de API do Amazon EC2 Auto Scaling e permissões necessárias para ações

Operações da API do Amazon EC2 Auto Scaling Permissões obrigatórias (ações de API)

Escalabilidade

autoscaling:Scaling

Necessária para escalar um grupo do Auto Scaling.

Trigger

autoscaling:Trigger

Necessária para acionar uma ação do Auto Scaling.