Amazon CloudWatch 权限参考
下表列出每个 CloudWatch API 操作以及您可授权执行该操作的相应操作。可在策略的 Action 字段中指定操作,在策略的 Resource 字段中指定通配符 (*) 作为资源值。
您可以在 CloudWatch 策略中使用 AWS 范围的条件键来表达条件。有关 AWS 范围的键的完整列表,请参阅 IAM 用户指南中的 AWS 全局和 IAM 条件上下文键。
注意
要指定操作,请在 API 操作名称之前使用 cloudwatch: 前缀。例如:cloudwatch:GetMetricData、cloudwatch:ListMetrics 或 cloudwatch:*(适用于所有 CloudWatch 操作)。
主题
CloudWatch API 操作和必需的操作权限
| CloudWatch API 操作 | 所需权限(API 操作) |
|---|---|
|
要求删除警报。 |
|
|
删除控制面板所必需。 |
|
|
删除指标流所需。 |
|
|
要求查看警报历史记录。要检索有关复合告警的信息, |
|
|
检索有关告警的信息所需。 要检索有关复合告警的信息, |
|
|
要求查看指标的警报。 |
|
|
要求禁用警报操作。 |
|
|
要求启用警报操作。 |
|
|
若要显示有关现有控制面板的数据,则是必需的。 |
|
|
在 CloudWatch 控制台中检索大量指标数据以及对该数据执行指标数学运算所需。 |
|
|
在 CloudWatch 控制台的其他部分和控制面板小部件中查看图表所需。 |
|
|
查看指标流信息所需。 |
|
|
将一个或多个 CloudWatch 指标的图表快照作为位图图像检索所需。 |
|
|
查看您的账户中 CloudWatch 控制面板的列表所需。 |
|
|
ListEntitiesForMetric (CloudWatch 控制台专用权限) |
查找与指标关联的实体的所需权限。在 CloudWatch 控制台中探索相关遥测数据的所需权限。 |
|
在 CloudWatch 控制台和 CLI 中查看或搜索指标名称所需。要求在控制面板小部件上选择指标。 |
|
|
查看或搜索账户中指标流列表所需。 |
|
|
创建复合告警所需 要创建复合告警, |
|
|
创建控制面板或更新现有控制面板所必需。 |
|
|
要求创建或更新警报。 |
|
|
若要创建指标,则是必需的。 |
|
|
创建指标流所需 |
|
|
要求手动设置警报的状态。 |
|
|
开启指标流中的指标流程所需。 |
|
|
临时停止指标流中的指标流程所需。 |
|
|
在 CloudWatch 资源(如告警和 Contributor Insights 规则)上添加或更新标签所需。 |
|
|
从 CloudWatch 资源中移除标签所需。 |
CloudWatch Application Signals API 操作和所需的操作权限
| CloudWatch Application Signals API 操作 | 所需权限(API 操作) |
|---|---|
|
检索服务级别目标预算报告所需。 |
|
|
创建服务级别目标(SLO)所需。 |
|
|
删除服务级别目标(SLO)所需。 |
|
|
检索 Application Signals 发现的服务相关信息所需。 |
|
|
检索服务级别目标(SLO)相关信息所需。 |
|
|
ListObservedEntities |
授予权限以列出与其他实体关联的实体。 |
|
检索您指定服务的服务依赖项列表所需。此服务和依赖项是由 Application Signals 发现的。 |
|
|
检索调用您指定服务的被依赖项列表所需。此服务和被依赖项是由 Application Signals 发现的。 |
|
|
检索账户中的服务级别目标(SLO)列表所需。 |
|
|
检索您指定服务的服务操作列表所需。此服务和依赖项是由 Application Signals 发现的。 |
|
|
检索 Application Signals 发现的服务列表所需。 |
|
|
检索与资源关联的标签的列表所需。 |
|
|
能够在账户中启用 Application Signals 并创建所需服务相关角色所需。 |
|
|
能够为资源添加标签所需。 |
|
|
能够从资源中移除标签所需。 |
|
|
更新现有服务级别目标所需 |
CloudWatch Contributor Insights API 操作和所需的操作权限
重要
当您向用户授予 cloudwatch:PutInsightRule 权限时,默认情况下,该用户可以创建一个规则来评估 CloudWatch Logs 中的任何日志组。您可以添加 IAM 策略条件,以限制用户的这些权限,使其包含和排除特定的日志组。有关更多信息,请参阅 使用条件键限制 Contributor Insights 用户对日志组的访问。
| CloudWatch Contributor Insights API 操作 | 所需权限(API 操作) |
|---|---|
|
删除 Contributor Insights 规则所需。 |
|
|
查看您账户中的 Contributor Insights 规则所需。 |
|
|
启用 Contributor Insights 规则所需。 |
|
|
检索 Contributor Insights 规则收集的时间序列数据和其他统计数据所需。 |
|
|
创建 Contributor Insights 规则所需。请参阅此表开头的 Important(重要提示)信息。 |
CloudWatch Events API 操作和所需的操作权限
| CloudWatch Events API 操作 | 所需权限(API 操作) |
|---|---|
|
删除规则所必需的。 |
|
|
列出有关规则的详细信息所必需的。 |
|
|
禁用规则所必需的。 |
|
|
启用规则所必需的。 |
|
|
列出与目标关联的规则所必需的。 |
|
|
列出您账户中的所有规则所必需的。 |
|
|
列出与规则关联的所有目标所必需的。 |
|
|
添加可匹配到规则的自定义活动所必需的。 |
|
|
创建或更新规则所必需的。 |
|
|
将目标添加到规则所必需的。 |
|
|
从规则中删除目标所必需的。 |
|
|
针对给定事件测试事件模式所必需的。 |
CloudWatch Logs API 操作和所需的操作权限
注意
CloudWatch Logs 权限可在《CloudWatch Logs 用户指南》中找到。
Amazon EC2 API 操作和所需的操作权限
| Amazon EC2 API 操作 | 所需权限(API 操作) |
|---|---|
|
查看 EC2 实例状态详细信息所必需的。 |
|
|
查看 EC2 实例详细信息所必需的。 |
|
|
重启 EC2 实例所必需的。 |
|
|
停止 EC2 实例所必需的。 |
|
|
终止 EC2 实例所必需的。 |
Amazon EC2 Auto Scaling API 操作和所需的操作权限
| Amazon EC2 Auto Scaling API 操作 | 所需权限(API 操作) |
|---|---|
|
扩展 |
扩展 Auto Scaling 组所需。 |
|
触发器 |
触发 Auto Scaling 操作所需。 |
