View a markdown version of this page

Ações, recursos e chaves de condição para a Amazon CloudWatch - Referência de autorização do serviço

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ações, recursos e chaves de condição para a Amazon CloudWatch

A Amazon CloudWatch (prefixo do serviço:cloudwatch) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.

Referências:

Ações definidas pela Amazon CloudWatch

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Nível de acesso da tabela Ações descreve como a ação é classificada (lista, leitura, gravação, gerenciamento de permissões ou marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre níveis de acesso, consulte Níveis de acesso em resumos de políticas.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

A coluna Ações dependentes da tabela Ações mostra permissões adicionais que podem ser necessárias para chamar uma ação com êxito. Essas permissões podem ser necessárias além da permissão para a ação em si. Quando uma ação especifica ações dependentes, essas dependências podem se aplicar a recursos adicionais definidos para essa ação, não somente ao primeiro recurso listado na tabela.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
BatchGetServiceLevelIndicatorReport Concede permissão para obter em lote um relatório de indicador de nível de serviço Ler
BatchGetServiceLevelObjectiveBudgetReport Concede permissão para recuperar em lote um relatório de orçamento objetivo de nível de serviço Ler

slo*

CallWithBearerToken [somente permissão] Concede permissão para fazer chamadas de API CloudWatch usando a autenticação de token do portador Gravar
CreateServiceLevelObjective Concede permissão para criar um objetivo de nível de serviço Gravar

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAlarmMuteRule Concede permissão para excluir uma regra de silenciamento de alarme Gravar

alarm-mute-rule*

DeleteAlarms Concede permissão para excluir um conjunto de alarmes Write

alarm*

logs:CreateScheduledQuery

logs:DeleteScheduledQuery

logs:GetScheduledQuery

DeleteAnomalyDetector Concede permissão para excluir o modelo de detecção de anomalias especificado da sua conta Gravar
DeleteDashboards Concede permissão para excluir todos os CloudWatch painéis que você especificar Gravar

dashboard*

DeleteInsightRules Concede permissão para excluir um conjunto de regras de insight Gravar

insight-rule*

DeleteMetricStream Concede permissão para excluir o fluxo CloudWatch métrico que você especificar Gravar

metric-stream*

DeleteServiceLevelObjective Concede permissão para excluir um objetivo de nível de serviço Gravar

slo*

DescribeAlarmHistory Concede permissão para recuperar o histórico do alarme especificado Read

alarm*

DescribeAlarms Concede permissão para descrever todos os alarmes atualmente pertencentes à conta do usuário Read

alarm*

DescribeAlarmsForMetric Concede permissão para descrever todos os alarmes configurados na métrica especificada, atualmente pertencentes à conta do usuário Read
DescribeAnomalyDetectors Concede permissão para listar os modelos de detecção de anomalias criados na sua conta Read
DescribeInsightRules Concede permissão para descrever todas as regras de insight atualmente pertencentes à conta do usuário Read
DisableAlarmActions Concede permissão para desabilitar ações para um conjunto de alarmes Write

alarm*

DisableInsightRules Concede permissão para desabilitar um conjunto de regras de insight Write

insight-rule*

EnableAlarmActions Concede permissão para habilitar ações para um conjunto de alarmes Write

alarm*

EnableInsightRules Concede permissão para habilitar um conjunto de regras de insight Gravar

insight-rule*

EnableTopologyDiscovery Concede permissão para habilitar uma descoberta de CloudWatch topologia Gravar
GenerateQuery Concede permissão para gerar uma string de consulta do Metrics Insights ou do Logs Insights a partir de um prompt em linguagem natural Ler
GenerateQueryResultsSummary Concede permissão para gerar um resumo dos resultados da CloudWatch LogInsights consulta em linguagem natural usando IA generativa Ler
GetAlarmMuteRule Concede permissão para obter uma regra de silenciamento de alarme Ler

alarm-mute-rule*

GetDashboard Concede permissão para exibir os detalhes do CloudWatch painel que você especificar Ler

dashboard*

GetDataset Concede permissão para obter um conjunto de dados Ler

dataset*

aws:ResourceTag/${TagKey}

GetInsightRuleReport Concede permissão para retornar o relatório dos principais colaboradores exclusivos ao longo de um intervalo para determinada regra de insight Ler

insight-rule*

GetMetricData Concede permissão para recuperar quantidades em lote de dados métricos CloudWatch clássicos e realizar cálculos métricos nos dados recuperados; e concede permissão para recuperar dados métricos OTLP usando o ProMQL Ler

dataset

aws:ResourceTag/${TagKey}

GetMetricStatistics Concede permissão para recuperar estatísticas para a métrica especificada Ler
GetMetricStream Concede permissão para retornar os detalhes de um fluxo CloudWatch métrico Ler

metric-stream*

GetMetricWidgetImage Concede permissão para recuperar snapshots de widgets de métrica Ler
GetOTelEnrichment [somente permissão] Concede permissão para recuperar o status do oTel Enrichment de métricas vendidas para consultas do ProMQL Ler
GetService Concede permissão para recuperar informações sobre um serviço Ler

service*

GetServiceData [somente permissão] Concede permissão para recuperar dados de serviço Ler

service*

GetServiceLevelObjective Concede permissão para recuperar informações sobre um objetivo de nível de serviço Ler

slo*

GetTopologyDiscoveryStatus [somente permissão] Concede permissão para recuperar um status de descoberta de CloudWatch topologia Ler
GetTopologyMap Concede permissão para recuperar um mapa de CloudWatch topologia Ler
Concede permissão para compartilhar CloudWatch recursos com uma conta de monitoramento Gravar
ListAlarmMuteRules Concede permissão para recuperar uma lista de regras de silenciamento de alarme pertencentes à conta do usuário Lista

alarm-mute-rule*

ListDashboards Concede permissão para retornar uma lista de todos os CloudWatch painéis em sua conta Lista
ListEntitiesForMetric [somente permissão] Concede permissão para recuperar todas as entidades que estão emitindo uma determinada métrica Lista
ListManagedInsightRules Concede permissão para listar as regras gerenciadas do Insight disponíveis para um determinado ARN de recurso Ler

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestManagedResourceARNs

ListMetricStreams Concede permissão para retornar uma lista de todos os fluxos de CloudWatch métricas em sua conta Lista
ListMetrics Concede permissão para recuperar uma lista de métricas válidas armazenadas para o proprietário Conta da AWS Lista

dataset

aws:ResourceTag/${TagKey}

ListServiceLevelObjectives Concede permissão para listar objetivos de nível de serviço Lista
ListServices Concede permissão para listar serviços Lista
ListTagsForResource Concede permissão para listar tags para um CloudWatch recurso da Amazon Lista

alarm

aws:ResourceTag/${TagKey}

alarm-mute-rule

aws:ResourceTag/${TagKey}

dashboard

aws:ResourceTag/${TagKey}

dataset

aws:ResourceTag/${TagKey}

insight-rule

aws:ResourceTag/${TagKey}

metric-stream

aws:ResourceTag/${TagKey}

service

aws:ResourceTag/${TagKey}

slo

aws:ResourceTag/${TagKey}

CENÁRIO: CloudWatch-Alarm

alarm*

CENÁRIO: CloudWatch-AlarmMuteRule

alarm-mute-rule*

CENÁRIO: CloudWatch-Dashboard

dashboard*

CENÁRIO: CloudWatch-Dataset

dataset*

CENÁRIO: CloudWatch-InsightRule

insight-rule*

CENÁRIO: CloudWatch-MetricStream

metric-stream*

CENÁRIO: CloudWatch-Service

service*

CENÁRIO: CloudWatch-ServiceLevelObjective

slo*

PutAlarmMuteRule Concede permissão para criar ou atualizar uma regra de silenciamento de alarme Gravar

alarm-mute-rule*

alarm

aws:RequestTag/${TagKey}

aws:TagKeys

PutAnomalyDetector Concede permissão para criar ou atualizar um modelo de detecção de anomalias para uma métrica CloudWatch Gravar
PutCompositeAlarm Concede permissão para criar ou atualizar um alarme composto Gravar

alarm*

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:AlarmActions

PutDashboard Concede permissão para criar um CloudWatch painel ou atualizar um painel existente, se ele já existir Gravar

dashboard*

aws:RequestTag/${TagKey}

aws:TagKeys

PutInsightRule Concede permissão para criar uma nova regra de insight ou substituir uma regra de insight existente Gravar

insight-rule*

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestInsightRuleLogGroups

PutLogAlarm Concede permissão para criar ou atualizar um alarme baseado em log e associá-lo a uma consulta agendada do CloudWatch Logs Insights Gravar

alarm*

iam:PassRole

logs:CreateScheduledQuery

logs:DeleteScheduledQuery

logs:GetScheduledQuery

logs:UpdateScheduledQuery

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:AlarmActions

PutManagedInsightRules Concede permissão para criar regras gerenciadas do Insight Gravar

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:requestManagedResourceARNs

PutMetricAlarm Concede permissão para criar ou atualizar um alarme e o associa à métrica especificada da Amazon CloudWatch Gravar

alarm*

dataset

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

cloudwatch:AlarmActions

PutMetricData Concede permissão para publicar pontos de dados métricos na Amazon CloudWatch usando CloudWatch formatos OTLP Gravar

dataset

aws:ResourceTag/${TagKey}

cloudwatch:namespace

PutMetricStream Concede permissão para criar um fluxo CloudWatch métrico ou atualizar um fluxo métrico existente, se ele já existir Gravar

metric-stream*

aws:RequestTag/${TagKey}

aws:TagKeys

SetAlarmState Concede permissão para definir temporariamente o estado de um alarme para fins de teste Gravar

alarm*

StartMetricStreams Concede permissão para iniciar todos os fluxos CloudWatch métricos que você especificar Gravar

metric-stream*

StartOTelEnrichment [somente permissão] Concede permissão para permitir o enriquecimento OTel de métricas vendidas para consultas do PromQL Gravar
StopMetricStreams Concede permissão para interromper todos os fluxos CloudWatch métricos que você especificar Gravar

metric-stream*

StopOTelEnrichment [somente permissão] Concede permissão para desativar o enriquecimento OTel de métricas vendidas para consultas do PromQL Gravar
TagResource Concede permissão para adicionar tags a um CloudWatch recurso da Amazon Tags

alarm

aws:ResourceTag/${TagKey}

alarm-mute-rule

aws:ResourceTag/${TagKey}

dashboard

aws:ResourceTag/${TagKey}

dataset

aws:ResourceTag/${TagKey}

insight-rule

aws:ResourceTag/${TagKey}

metric-stream

aws:ResourceTag/${TagKey}

service

aws:ResourceTag/${TagKey}

slo

aws:ResourceTag/${TagKey}

aws:TagKeys

aws:RequestTag/${TagKey}

CENÁRIO: CloudWatch-Alarm

alarm*

CENÁRIO: CloudWatch-AlarmMuteRule

alarm-mute-rule*

CENÁRIO: CloudWatch-Dashboard

dashboard*

CENÁRIO: CloudWatch-Dataset

dataset*

CENÁRIO: CloudWatch-InsightRule

insight-rule*

CENÁRIO: CloudWatch-MetricStream

metric-stream*

CENÁRIO: CloudWatch-Service

service*

CENÁRIO: CloudWatch-ServiceLevelObjective

slo*

UntagResource Concede permissão para remover uma tag de um CloudWatch recurso da Amazon Tags

alarm

aws:ResourceTag/${TagKey}

alarm-mute-rule

aws:ResourceTag/${TagKey}

dashboard

aws:ResourceTag/${TagKey}

dataset

aws:ResourceTag/${TagKey}

insight-rule

aws:ResourceTag/${TagKey}

metric-stream

aws:ResourceTag/${TagKey}

service

aws:ResourceTag/${TagKey}

slo

aws:ResourceTag/${TagKey}

aws:TagKeys

CENÁRIO: CloudWatch-Alarm

alarm*

CENÁRIO: CloudWatch-AlarmMuteRule

alarm-mute-rule*

CENÁRIO: CloudWatch-Dashboard

dashboard*

CENÁRIO: CloudWatch-Dataset

dataset*

CENÁRIO: CloudWatch-InsightRule

insight-rule*

CENÁRIO: CloudWatch-MetricStream

metric-stream*

CENÁRIO: CloudWatch-Service

service*

CENÁRIO: CloudWatch-ServiceLevelObjective

slo*

UpdateServiceLevelObjective Concede permissão para atualizar um objetivo de nível de serviço Gravar

slo*

Tipos de recursos definidos pela Amazon CloudWatch

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Resource types ARN Chaves de condição
alarm arn:${Partition}:cloudwatch:${Region}:${Account}:alarm:${AlarmName}

aws:ResourceTag/${TagKey}

alarm-mute-rule arn:${Partition}:cloudwatch:${Region}:${Account}:alarm-mute-rule:${AlarmMuteRuleName}

aws:ResourceTag/${TagKey}

dashboard arn:${Partition}:cloudwatch::${Account}:dashboard/${DashboardName}

aws:ResourceTag/${TagKey}

dataset arn:${Partition}:cloudwatch:${Region}:${Account}:dataset/${DatasetId}

aws:ResourceTag/${TagKey}

insight-rule arn:${Partition}:cloudwatch:${Region}:${Account}:insight-rule/${InsightRuleName}

aws:ResourceTag/${TagKey}

metric-stream arn:${Partition}:cloudwatch:${Region}:${Account}:metric-stream/${MetricStreamName}

aws:ResourceTag/${TagKey}

slo arn:${Partition}:cloudwatch:${Region}:${Account}:slo/${SloName}

aws:ResourceTag/${TagKey}

service arn:${Partition}:cloudwatch:${Region}:${Account}:service/${ServiceName}-${UniqueAttributesHex}

aws:ResourceTag/${TagKey}

Chaves de condição para a Amazon CloudWatch

A Amazon CloudWatch define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de contexto de condição globais da AWS.

Chaves de condição Descrição Tipo
aws:RequestTag/${TagKey} Filtra o acesso pela presença de tags na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso pelas etiquetas associadas ao recurso String
aws:TagKeys Filtra o acesso pela presença de tags na solicitação ArrayOfString
cloudwatch:AlarmActions Filtra o acesso por ações de alarme definidas ArrayOfString
cloudwatch:namespace Filtra o acesso pela presença de valores opcionais de namespace String
cloudwatch:requestInsightRuleLogGroups Filtra o acesso pelos grupos de registros especificados em uma regra do Insight ArrayOfString
cloudwatch:requestManagedResourceARNs Filtra o acesso pelos ARNs de recursos especificados em uma regra gerenciada do Insight ArrayOfARN