本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon CloudWatch 許可參考
下表列出每個 CloudWatch API 作業,以及您可授與執行動作之權限的對應動作。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位將萬用字元 (*) 指定為資源值。
您可以在 CloudWatch 原則中使用 AWS寬條件金鑰來表示條件。如需全金鑰的 AWS完整清單,請參閱 IAM 使用者指南中的AWS 全域和 IAM 條件內容金鑰。
注意
若要指定動作,請使用 cloudwatch: 前綴,後面接著 API 操作名稱。例如:cloudwatch:GetMetricData、cloudwatch:ListMetrics 或 cloudwatch:* (意指所有 CloudWatch 動作)。
主題
CloudWatch API 操作和動作所需的權限
| CloudWatch API 作業 | 所需許可 (API 動作) |
|---|---|
|
需要刪除警示。 |
|
|
需要刪除儀表板。 |
|
|
需要刪除指標串流。 |
|
|
需要查看警示歷史記錄。若要擷取複合警示的相關資訊,您的 |
|
|
需要擷取警示相關資訊。 若要擷取複合警示的相關資訊,您的 |
|
|
需要查看指標的警示。 |
|
|
需要停用警示動作。 |
|
|
需要啟用警示動作。 |
|
|
需要顯示現有儀表板的相關資料。 |
|
|
需要在 CloudWatch 主控台中繪製度量資料圖形、擷取大量指標資料,以及對該資料執行度量數學運算。 |
|
|
檢視 CloudWatch 主控台其他部分和儀表板 Widget 中的圖形所需。 |
|
|
需要檢視指標串流相關資訊。 |
|
|
需要擷取一或多個 CloudWatch度量的快照圖形作為點陣圖影像。 |
|
|
需要檢視您帳戶中的 CloudWatch 儀表板清單。 |
|
|
必須在 CloudWatch主控台和 CLI 中檢視或搜尋測量結果名稱。需要在儀表板 widget 上選取指標。 |
|
|
需要檢視或搜尋帳戶中的指標串流清單。 |
|
|
需要建立複合警示。 若要建立複合警示,您的 |
|
|
需要建立儀表板或更新現有的儀表板。 |
|
|
需要建立或更新警示。 |
|
|
需要建立指標。 |
|
|
需要建立指標串流。 |
|
|
需要手動設定警示的狀態。 |
|
|
需要在指標串流中開始指標流程。 |
|
|
需要在指標串流中暫時停止指標流程。 |
|
|
需要新增或更新 CloudWatch 資源 (例如警示和參與者見解規則) 的標籤。 |
|
|
需要從 CloudWatch 資源中移除標籤。 |
CloudWatch 參與者見解 API 作業和動作所需的權限
重要
當您授與使用者cloudwatch:PutInsightRule權限時,依預設,該使用者可以建立用來評估記錄檔中任何 CloudWatch 記錄群組的規則。您可以新增 IAM 政策條件,以限制這些許可,進而讓使用者包含和排除特定日誌群組。如需詳細資訊,請參閱 使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組。
| CloudWatch 貢獻者洞察 API 操作 | 所需許可 (API 動作) |
|---|---|
|
需要刪除 Contributor Insights 規則。 |
|
|
需要檢視您帳戶中的 Contributor Insights 規則。 |
|
|
需要啟用 Contributor Insights 規則。 |
|
|
需要擷取由 Contributor Insights 規則收集的時間序列資料和其他統計資料。 |
|
|
需要建立 Contributor Insights 規則。請參閱此表格開頭部分的 Important (重要) 注意事項。 |
CloudWatch 事件 API 作業和動作的必要權限
| CloudWatch 事件 API 作業 | 所需許可 (API 動作) |
|---|---|
|
刪除規則時需要。 |
|
|
列出規則的詳細資訊時需要。 |
|
|
停用規則時需要。 |
|
|
啟用規則時需要。 |
|
|
列出與規則相關聯的目標時需要。 |
|
|
列出您帳戶中的所有規則時需要。 |
|
|
列出與規則相關聯的所有目標時需要。 |
|
|
新增可符合規則的自訂事件時需要。 |
|
|
建立或更新規則時需要。 |
|
|
將目標新增至規則時需要。 |
|
|
從規則中移除目標時需要。 |
|
|
針對特定事件測試事件模式時需要。 |
CloudWatch 記錄 API 操作和動作所需的權限
| CloudWatch 記錄 API 作業 | 所需許可 (API 動作) |
|---|---|
|
取消待處理或執行匯出任務時為必要。 |
|
|
從日誌群組將資料匯出至 Simple Storage Service (Amazon S3) 儲存貯體時為必要。 |
|
|
建立新日誌群組時為必要。 |
|
|
在日誌群組中建立新日誌串流時為必要。 |
|
|
刪除日誌目的地及停用其任何訂閱篩選條件時為必要。 |
|
|
刪除日誌群組及任何相關的存檔日誌事件時為必要。 |
|
|
刪除日誌串流及任何相關的存檔日誌事件時為必要。 |
|
|
刪除與日誌群組相關聯的指標篩選條件時為必要。 |
|
|
刪除 CloudWatch 記錄深入解析中儲存的查詢定義所需。 |
|
|
刪除 CloudWatch 記錄檔資源策略所需。 |
|
|
刪除日誌群組的保留政策時為必要。 |
|
|
刪除與日誌群組相關聯的訂閱篩選條件時為必要。 |
|
|
檢視與帳戶相關的所有目的地時為必要。 |
|
|
檢視與帳戶相關的所有匯出任務時為必要。 |
|
|
檢視與帳戶相關的所有日誌群組時為必要。 |
|
|
檢視與日誌群組相關的所有日誌串流時為必要。 |
|
|
檢視與日誌群組相關的所有指標時為必要。 |
|
|
需要在 CloudWatch 日誌見解中查看已儲存的查詢定義清單。 |
|
|
需要查看已排程、執行或最近執行的 CloudWatch 記錄見解查詢清單。 |
|
|
檢視記 CloudWatch 錄檔資源策略清單所需。 |
|
|
檢視與日誌群組相關聯的所有訂閱篩選條件時為必要。 |
|
|
依據日誌群組篩選條件模式排序日誌事件時為必要。 |
|
|
從日誌串流擷取日誌事件時為必要。 |
|
|
擷取日誌群組內日誌事件中包含的欄位清單時為必要。 |
|
|
從單一日誌事件擷取詳細資訊時為必要。 |
|
|
擷取 CloudWatch 日誌見解查詢的結果所需。 |
|
|
列出與日誌群組相關的標籤時為必要。 |
|
|
需要建立或更新目的地日誌串流 (例如 Kinesis 串流) 時為必要。 |
|
|
建立或更新與現有日誌目的地相關的存取政策時為必要。 |
|
|
將日誌事件批次上傳至日誌串流時為必要。 |
|
|
建立或更新指標篩選條件並將其與日誌群組建立關聯時為必要。 |
|
|
必須在 CloudWatch 記錄檔見解中儲存查詢。 |
|
|
建立記 CloudWatch 錄檔資源策略所需。 |
|
|
設定將日誌事件保持 (保留) 在日誌群組中的天數時為必要。 |
|
|
建立或更新訂閱篩選條件並將其與日誌群組建立關聯時為必要。 |
|
|
需要啟動 CloudWatch 日誌見解查詢。 |
|
|
需要停止正在進行的 CloudWatch 日誌見解查詢。 |
|
|
新增或更新日誌群組標籤時為必要。 |
|
|
針對日誌事件訊息的取樣來測試篩選條件模式時為必要。 |
Amazon EC2 API 操作與動作所需的許可
| Amazon EC2 API 操作 | 所需許可 (API 動作) |
|---|---|
|
需要檢視 EC2 執行個體狀態的詳細資訊。 |
|
|
需要檢視 EC2 執行個體的詳細資訊。 |
|
|
需要重新啟動 EC2 執行個體。 |
|
|
需要停止 EC2 執行個體。 |
|
|
需要終止 EC2 執行個體。 |
Amazon EC2 Auto Scaling API 操作與動作所需的許可
| Amazon EC2 Auto Scaling API 操作 | 所需許可 (API 動作) |
|---|---|
|
擴展 |
需要擴展 Auto Scaling 群組。 |
|
觸發條件 |
需要觸發 Auto Scaling 動作。 |
