本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的操作、资源和条件密钥 CloudWatch
Amazon CloudWatch (服务前缀:cloudwatch)提供以下特定于服务的资源、操作和条件上下文密钥,供在IAM权限策略中使用。
参考:
-
了解如何配置该服务。
-
查看此服务可用的API操作列表。
-
了解如何使用IAM权限策略保护此服务及其资源。
Amazon 定义的操作 CloudWatch
您可以在IAM策略声明的Action元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| BatchGetServiceLevelIndicatorReport | 授予批量获取服务级别指标报告的权限 | 读取 | |||
| BatchGetServiceLevelObjectiveBudgetReport | 授予批量检索服务级别目标预算报告的权限 | 读取 | |||
| CreateServiceLevelObjective | 授予创建服务级别目标的权限 | 写入 | |||
| DeleteAlarms | 授予权限以删除警报的集合 | Write | |||
| DeleteAnomalyDetector | 授予权限以从您的账户中删除指定的异常检测模型 | 写入 | |||
| DeleteDashboards | 授予删除您指定的所有 CloudWatch 仪表板的权限 | 写入 | |||
| DeleteInsightRules | 授予权限以删除洞察规则的集合 | 写入 | |||
| DeleteMetricStream | 授予删除您指定的 CloudWatch 指标流的权限 | 写入 | |||
| DeleteServiceLevelObjective | 授予删除服务级别目标的权限 | 写入 | |||
| DescribeAlarmHistory | 授予权限以检索指定警报的历史记录 | Read | |||
| DescribeAlarms | 授予权限以描述用户的账户当前拥有的所有警报。 | Read | |||
| DescribeAlarmsForMetric | 授予权限以描述在指定的指标上配置且当前由用户的账户拥有的所有警报。 | Read | |||
| DescribeAnomalyDetectors | 授予权限以列出已在您的账户中创建的异常检测模型 | Read | |||
| DescribeInsightRules | 授予权限以描述用户账户当前拥有的所有洞察规则 | Read | |||
| DisableAlarmActions | 授予权限以禁用针对警报集合的操作 | Write | |||
| DisableInsightRules | 授予权限以禁用洞察规则的集合 | Write | |||
| EnableAlarmActions | 授予权限以启用针对警报集合的操作 | Write | |||
| EnableInsightRules | 授予权限以启用洞察规则的集合 | 写入 | |||
| EnableTopologyDiscovery | 授予启用 CloudWatch 拓扑发现的权限 | 写入 | |||
| GenerateQuery | 授予根据自然语言提示生成 Metrics Insights 或 Logs Insights 查询字符串的权限 | 读取 | |||
| GetDashboard | 授予显示您指定的 CloudWatch 仪表板详细信息的权限 | 读取 | |||
| GetInsightRuleReport | 授予权限以针对给定洞察规则,返回在一段时间内前 N 个唯一贡献因素的报告 | 读取 | |||
| GetMetricData | 授予检索批量 CloudWatch 指标数据和对检索到的数据执行指标数学运算的权限 | 读取 | |||
| GetMetricStatistics | 授予权限以检索指定指标的统计信息 | 读取 | |||
| GetMetricStream | 授予返回 CloudWatch 指标流详细信息的权限 | 读取 | |||
| GetMetricWidgetImage | 授予权限以检索指标小部件的快照 | 读取 | |||
| GetService | 授予检索服务相关信息的权限 | 读取 | |||
| GetServiceData[仅权限] | 授予检索服务数据的权限 | 读取 | |||
| GetServiceLevelObjective | 授予检索服务级别目标信息的权限 | 读取 | |||
| GetTopologyDiscoveryStatus[仅权限] | 授予检索 CloudWatch 拓扑发现状态的权限 | 读取 | |||
| GetTopologyMap | 授予检索 CloudWatch 拓扑图的权限 | 读取 | |||
| Link[仅权限] | 授予与监控账户共享 CloudWatch 资源的权限 | 写入 | |||
| ListDashboards | 授予返回您账户中所有 CloudWatch 仪表板列表的权限 | 列出 | |||
| ListEntitiesForMetric[仅权限] | 授予权限以检索发出给定指标的所有实体 | 列出 | |||
| ListManagedInsightRules | 授予列出给定资源的可用托管 Insight 规则的权限 ARN | 读取 | |||
| ListMetricStreams | 授予返回您账户中所有 CloudWatch 指标流列表的权限 | 列出 | |||
| ListMetrics | 授予权限以检索为 AWS 账户 所有者存储的有效指标列表 | 列出 | |||
| ListServiceLevelObjectives | 授予列出服务级别目标的权限 | 列出 | |||
| ListServices | 授予列出服务的权限 | 列出 | |||
| ListTagsForResource | 授予列出 Amazon CloudWatch 资源标签的权限 | 列出 | |||
|
SCENARIO: CloudWatch-Alarm |
|||||
|
SCENARIO: CloudWatch-InsightRule |
|||||
|
SCENARIO: CloudWatch-ServiceLevelObjective |
|||||
| PutAnomalyDetector | 授予为指标创建或更新异常检测模型的 CloudWatch 权限 | 写入 | |||
| PutCompositeAlarm | 授予权限以创建或更新复合警报 | 写入 | |||
| PutDashboard | 授予创建 CloudWatch 仪表板或更新现有仪表板(如果已存在)的权限 | 写入 | |||
| PutInsightRule | 授予权限以创建新洞察规则或替换现有洞察规则 | 写入 | |||
| PutManagedInsightRules | 授予创建托管式洞察规则的权限 | 写入 | |||
| PutMetricAlarm | 授予创建或更新警报并将其与指定的 Amazon CloudWatch 指标关联的权限 | 写入 | |||
| PutMetricData | 授予向 Amazon 发布指标数据点的权限 CloudWatch | 写入 | |||
| PutMetricStream | 授予创建 CloudWatch 指标流或更新现有指标流(如果已存在)的权限 | 写入 | |||
| SetAlarmState | 授予权限以出于测试目的临时设置警报的状态 | 写入 | |||
| StartMetricStreams | 授予启动您指定的所有 CloudWatch 指标流的权限 | 写入 | |||
| StopMetricStreams | 授予停止您指定的所有 CloudWatch 指标流的权限 | 写入 | |||
| TagResource | 授予向 Amazon CloudWatch 资源添加标签的权限 | 标记 | |||
|
SCENARIO: CloudWatch-Alarm |
|||||
|
SCENARIO: CloudWatch-InsightRule |
|||||
|
SCENARIO: CloudWatch-ServiceLevelObjective |
|||||
| UntagResource | 授予从 Amazon CloudWatch 资源中移除标签的权限 | 标记 | |||
|
SCENARIO: CloudWatch-Alarm |
|||||
|
SCENARIO: CloudWatch-InsightRule |
|||||
|
SCENARIO: CloudWatch-ServiceLevelObjective |
|||||
| UpdateServiceLevelObjective | 授予更新服务级别目标的权限 | 写入 |
Amazon 定义的资源类型 CloudWatch
以下资源类型由此服务定义,可以在IAM权限策略声明的Resource元素中使用。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| alarm |
arn:${Partition}:cloudwatch:${Region}:${Account}:alarm:${AlarmName}
|
|
| dashboard |
arn:${Partition}:cloudwatch::${Account}:dashboard/${DashboardName}
|
|
| insight-rule |
arn:${Partition}:cloudwatch:${Region}:${Account}:insight-rule/${InsightRuleName}
|
|
| metric-stream |
arn:${Partition}:cloudwatch:${Region}:${Account}:metric-stream/${MetricStreamName}
|
|
| slo |
arn:${Partition}:cloudwatch:${Region}:${Account}:slo/${SloName}
|
|
| service |
arn:${Partition}:cloudwatch:${Region}:${Account}:service/${ServiceName}-${UniqueAttributesHex}
|
Amazon 的条件密钥 CloudWatch
Amazon CloudWatch 定义了以下可在IAM策略Condition元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根据每个标签的允许值集筛选操作 | 字符串 |
| aws:ResourceTag/${TagKey} | 根据与资源关联的标签值筛选操作 | 字符串 |
| aws:TagKeys | 根据在请求中是否具有必需标签以筛选操作 | ArrayOfString |
| cloudwatch:AlarmActions | 根据定义的警报操作筛选操作 | ArrayOfString |
| cloudwatch:namespace | 根据是否存在可选命名空间值来筛选操作 | String |
| cloudwatch:requestInsightRuleLogGroups | 根据 Insight 规则中指定的日志组筛选操作 | ArrayOfString |
| cloudwatch:requestManagedResourceARNs | 按托管智能分析规则中ARNs指定的资源筛选访问权限 | ArrayOfARN |
