Zielgruppe Authentifizierung mit Identitäten Verwalten des Zugriffs mit Richtlinien AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Beispiele für vom Kunden verwaltete Richtlinien Richtlinienaktualisierungen

Identitäts- und Zugriffsmanagement für Amazon CloudWatch

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. CloudWatch IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

Themen

Zielgruppe

Die Art und Weise, wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, in der Sie tätig sind. CloudWatch

Dienstbenutzer — Wenn Sie den CloudWatch Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr CloudWatch Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen. Unter Fehlerbehebung Amazon CloudWatch Amazon-Identität und Zugriff finden Sie nützliche Informationen für den Fall, dass Sie keinen Zugriff auf eine Feature in CloudWatch haben.

Serviceadministrator — Wenn Sie in Ihrem Unternehmen für die CloudWatch Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf CloudWatch. Es ist Ihre Aufgabe, zu bestimmen, auf welche CloudWatch Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anforderungen an Ihren IAM-Administrator senden, um die Berechtigungen der Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen. Weitere Informationen darüber, wie Ihr Unternehmen IAM nutzen kann CloudWatch, finden Sie unterSo CloudWatch arbeitet Amazon mit IAM.

IAM-Administrator: Wenn Sie als IAM-Administrator fungieren, sollten Sie Einzelheiten dazu kennen, wie Sie Richtlinien zur Verwaltung des Zugriffs auf CloudWatch verfassen können. Beispiele für CloudWatch identitätsbasierte Richtlinien, die Sie in IAM verwenden können, finden Sie unter. Beispiele für identitätsbasierte Richtlinien für Amazon CloudWatch

Authentifizierung mit Identitäten

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen als IAM-Benutzer authentifiziert (angemeldet AWS) sein oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich AWS als föderierte Identität anmelden, indem Sie Anmeldeinformationen verwenden, die über eine Identitätsquelle bereitgestellt wurden. AWS IAM Identity Center (IAM Identity Center) -Benutzer, die Single Sign-On-Authentifizierung Ihres Unternehmens und Ihre Google- oder Facebook-Anmeldeinformationen sind Beispiele für föderierte Identitäten. Wenn Sie sich als Verbundidentität anmelden, hat der Administrator vorher mithilfe von IAM-Rollen einen Identitätsverbund eingerichtet. Wenn Sie über den Verbund darauf zugreifen AWS , übernehmen Sie indirekt eine Rolle.

Je nachdem, welcher Benutzertyp Sie sind, können Sie sich beim AWS Management Console oder beim AWS Zugangsportal anmelden. Weitere Informationen zur Anmeldung finden Sie AWS unter So melden Sie sich bei Ihrem an AWS-Konto im AWS-Anmeldung Benutzerhandbuch.

Wenn Sie AWS programmgesteuert darauf zugreifen, AWS stellt es ein Software Development Kit (SDK) und eine Befehlszeilenschnittstelle (CLI) bereit, um Ihre Anfragen mithilfe Ihrer Anmeldeinformationen kryptografisch zu signieren. Wenn Sie keine AWS Tools verwenden, müssen Sie Anfragen selbst signieren. Weitere Informationen zur Verwendung der empfohlenen Methode für die Selbstsignierung von Anforderungen finden Sie unter AWS Signature Version 4 für API-Anforderungen im IAM-Benutzerhandbuch.

Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise zusätzliche Sicherheitsinformationen bereitstellen. AWS Empfiehlt beispielsweise, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung im AWS IAM Identity Center -Benutzerhandbuch und AWS Multi-Faktor-Authentifizierung (MFA) in IAM im IAM-Benutzerhandbuch.

AWS-Konto Root-Benutzer

Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen. Verwenden Sie diese nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern im IAM-Benutzerhandbuch.

Verbundidentität

Als bewährte Methode sollten menschliche Benutzer, einschließlich Benutzer, die Administratorzugriff benötigen, für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen den Verbund mit einem Identitätsanbieter verwenden.

Eine föderierte Identität ist ein Benutzer aus Ihrem Unternehmensbenutzerverzeichnis, einem Web-Identitätsanbieter AWS Directory Service, dem Identity Center-Verzeichnis oder einem beliebigen Benutzer, der mithilfe AWS-Services von Anmeldeinformationen zugreift, die über eine Identitätsquelle bereitgestellt wurden. Wenn föderierte Identitäten darauf zugreifen AWS-Konten, übernehmen sie Rollen, und die Rollen stellen temporäre Anmeldeinformationen bereit.

Für die zentrale Zugriffsverwaltung empfehlen wir Ihnen, AWS IAM Identity Center zu verwenden. Sie können Benutzer und Gruppen in IAM Identity Center erstellen, oder Sie können eine Verbindung zu einer Gruppe von Benutzern und Gruppen in Ihrer eigenen Identitätsquelle herstellen und diese synchronisieren, um sie in all Ihren AWS-Konten Anwendungen zu verwenden. Informationen zu IAM Identity Center finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.

IAM-Benutzer und -Gruppen

Ein IAM-Benutzer ist eine Identität innerhalb Ihres Unternehmens AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Wenn möglich, empfehlen wir, temporäre Anmeldeinformationen zu verwenden, anstatt IAM-Benutzer zu erstellen, die langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel haben. Bei speziellen Anwendungsfällen, die langfristige Anmeldeinformationen mit IAM-Benutzern erfordern, empfehlen wir jedoch, die Zugriffsschlüssel zu rotieren. Weitere Informationen finden Sie unter Regelmäßiges Rotieren von Zugriffsschlüsseln für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern im IAM-Benutzerhandbuch.

Eine IAM-Gruppe ist eine Identität, die eine Sammlung von IAM-Benutzern angibt. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie könnten beispielsweise eine Gruppe benennen IAMAdminsund dieser Gruppe Berechtigungen zur Verwaltung von IAM-Ressourcen erteilen.

Benutzer unterscheiden sich von Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie unter Anwendungsfälle für IAM-Benutzer im IAM-Benutzerhandbuch.

IAM-Rollen

Eine IAM-Rolle ist eine Identität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt. Sie ist einem IAM-Benutzer vergleichbar, jedoch nicht mit einer bestimmten Person verknüpft. Um vorübergehend eine IAM-Rolle in der zu übernehmen AWS Management Console, können Sie von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln. Sie können eine Rolle übernehmen, indem Sie eine AWS CLI oder AWS API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter Methoden für die Übernahme einer Rolle im IAM-Benutzerhandbuch.

IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

Verbundbenutzerzugriff – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Wenn Sie steuern möchten, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center -Benutzerhandbuch.
Temporäre IAM-Benutzerberechtigungen – Ein IAM-Benutzer oder eine -Rolle kann eine IAM-Rolle übernehmen, um vorübergehend andere Berechtigungen für eine bestimmte Aufgabe zu erhalten.
Kontoübergreifender Zugriff – Sie können eine IAM-Rolle verwenden, um einem vertrauenswürdigen Prinzipal in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Bei einigen können Sie AWS-Services jedoch eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). Informationen zu den Unterschieden zwischen Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM im IAM-Benutzerhandbuch.
Serviceübergreifender Zugriff — Einige AWS-Services verwenden Funktionen in anderen AWS-Services. Wenn Sie beispielsweise in einem Service einen Anruf tätigen, ist es üblich, dass dieser Service Anwendungen in Amazon ausführt EC2 oder Objekte in Amazon S3 speichert. Ein Dienst kann dies mit den Berechtigungen des aufrufenden Prinzipals mit einer Servicerolle oder mit einer serviceverknüpften Rolle tun.
- Forward Access Sessions (FAS) — Wenn Sie einen IAM-Benutzer oder eine IAM-Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FAS verwendet die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen an AWS-Service nachgelagerte Dienste zu stellen. FAS-Anfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, für deren Abschluss Interaktionen mit anderen AWS-Services oder Ressourcen erforderlich sind. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien für FAS-Anfragen finden Sie unter Zugriffssitzungen weiterleiten.
- Servicerolle – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.
- Dienstbezogene Rolle — Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Servicebezogene Rollen erscheinen in Ihrem Dienst AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Auf Amazon ausgeführte Anwendungen EC2 — Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2 Instance ausgeführt werden und AWS API-Anfragen stellen AWS CLI . Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der EC2 Instance vorzuziehen. Um einer EC2 Instanz eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instanzprofil, das an die Instanz angehängt ist. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Instanz ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Verwenden einer IAM-Rolle, um Berechtigungen für Anwendungen zu gewähren, die auf EC2 Amazon-Instances ausgeführt werden.

Verwalten des Zugriffs mit Richtlinien

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal (Benutzer, Root-Benutzer oder Rollensitzung) eine Anfrage stellt. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu Struktur und Inhalten von JSON-Richtliniendokumenten finden Sie unter Übersicht über JSON-Richtlinien im IAM-Benutzerhandbuch.

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator kann dann die IAM-Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen annehmen.

IAM-Richtlinien definieren Berechtigungen für eine Aktion unabhängig von der Methode, die Sie zur Ausführung der Aktion verwenden. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die iam:GetRole-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen von der AWS Management Console AWS CLI, der oder der AWS API abrufen.

Identitätsbasierte Richtlinien

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien im IAM-Benutzerhandbuch.

Identitätsbasierte Richtlinien können weiter als Inline-Richtlinien oder verwaltete Richtlinien kategorisiert werden. Inline-Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können AWS-Konto. Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen dazu, wie Sie zwischen einer verwalteten Richtlinie und einer Inline-Richtlinie wählen, finden Sie unter Auswählen zwischen verwalteten und eingebundenen Richtlinien im IAM-Benutzerhandbuch.

Ressourcenbasierte Richtlinien

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie einen Prinzipal angeben. Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

Zugriffskontrolllisten () ACLs

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter Übersicht über ACLs die Zugriffskontrollliste (ACL) im Amazon Simple Storage Service Developer Guide.

Weitere Richtlinientypen

AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Diese Richtlinientypen können die maximalen Berechtigungen festlegen, die Ihnen von den häufiger verwendeten Richtlinientypen erteilt werden können.

Berechtigungsgrenzen – Eine Berechtigungsgrenze ist ein erweitertes Feature, mit der Sie die maximalen Berechtigungen festlegen können, die eine identitätsbasierte Richtlinie einer IAM-Entität (IAM-Benutzer oder -Rolle) erteilen kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen. Die daraus resultierenden Berechtigungen sind der Schnittpunkt der identitätsbasierten Richtlinien einer Entität und ihrer Berechtigungsgrenzen. Ressourcenbasierte Richtlinien, die den Benutzer oder die Rolle im Feld Principal angeben, werden nicht durch Berechtigungsgrenzen eingeschränkt. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.
Dienststeuerungsrichtlinien (SCPs) — SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in festlegen. AWS Organizations AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer Objekte AWS-Konten , die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen Root-Benutzer des AWS-Kontos Entitäten. Weitere Informationen zu Organizations und SCPs finden Sie unter Richtlinien zur Servicesteuerung im AWS Organizations Benutzerhandbuch.
Ressourcenkontrollrichtlinien (RCPs) — RCPs sind JSON-Richtlinien, mit denen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten festlegen können, ohne die IAM-Richtlinien aktualisieren zu müssen, die jeder Ressource zugeordnet sind, deren Eigentümer Sie sind. Das RCP schränkt die Berechtigungen für Ressourcen in Mitgliedskonten ein und kann sich auf die effektiven Berechtigungen für Identitäten auswirken, einschließlich der Root-Benutzer des AWS-Kontos, unabhängig davon, ob sie zu Ihrer Organisation gehören. Weitere Informationen zu Organizations RCPs, einschließlich einer Liste AWS-Services dieser Support-Leistungen RCPs, finden Sie unter Resource Control Policies (RCPs) im AWS Organizations Benutzerhandbuch.
Sitzungsrichtlinien – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuert erstellen. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie unter Sitzungsrichtlinien im IAM-Benutzerhandbuch.

Mehrere Richtlinientypen

Wenn mehrere auf eine Anforderung mehrere Richtlinientypen angewendet werden können, sind die entsprechenden Berechtigungen komplizierter. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie im IAM-Benutzerhandbuch unter Bewertungslogik für Richtlinien.

AWS verwaltete (vordefinierte) Richtlinien für CloudWatch

AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet AWS werden. Diese AWS verwalteten Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht erst untersuchen müssen, welche Berechtigungen benötigt werden. Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für CloudWatch.

Themen

CloudWatchFullAccessV2
CloudWatchFullAccess
CloudWatchReadOnlyAccess
CloudWatchActionsEC2Zugriff
CloudWatch-CrossAccountAccess
CloudWatchAutomaticDashboardsAccess
CloudWatchAgentServerPolicy
CloudWatchAgentAdminPolicy
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch kontenübergreifende Beobachtbarkeit
AWS verwaltete (vordefinierte) Richtlinien für Untersuchungen CloudWatch
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Application Signals
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Synthetics
AWS verwaltete (vordefinierte) Richtlinien für Amazon CloudWatch RUM
AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Evidently
AWS verwaltete Richtlinie für AWS Systems Manager Incident Manager

CloudWatchFullAccessV2

AWS hat kürzlich die verwaltete CloudWatchFullAccessV2-IAM-Richtlinie hinzugefügt. Diese Richtlinie gewährt vollen Zugriff auf CloudWatch Aktionen und Ressourcen und legt auch den Geltungsbereich der für andere Dienste wie Amazon SNS und erteilten Berechtigungen genauer fest. Amazon EC2 Auto Scaling Wir empfehlen, dass Sie mit der Verwendung dieser Richtlinie beginnen, anstatt sie zu verwenden. CloudWatchFullAccess AWS plant, CloudWatchFullAccessin naher future nicht mehr zu unterstützen.

Es enthält application-signals: Berechtigungen, sodass Benutzer von der CloudWatch Konsole aus unter Application Signals auf alle Funktionen zugreifen können. Es enthält einige autoscaling:Describe Berechtigungen, sodass Benutzer mit dieser Richtlinie die Auto Scaling Scaling-Aktionen sehen können, die mit CloudWatch Alarmen verknüpft sind. Es enthält einige sns Berechtigungen, sodass Benutzer mit dieser Richtlinie Amazon SNS SNS-Themen abrufen und sie mit CloudWatch Alarmen verknüpfen können. Sie umfasst IAM-Berechtigungen, sodass Benutzer mit dieser Richtlinie Informationen über die Rollen im Zusammenhang mit Services einsehen können, mit denen verknüpft ist. CloudWatch Sie umfasst die oam:ListAttachedLinks Berechtigungen oam:ListSinks und, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um gemeinsam genutzte Daten von Quellkonten CloudWatch kontenübergreifend einzusehen.

Sie umfasst Amazon OpenSearch Service Berechtigungen zur Unterstützung von Dashboards für verkaufte Logs in CloudWatch Logs, die mithilfe von Analysen erstellt werden. Amazon OpenSearch Service

Es umfasst rumsynthetics, und xray Berechtigungen, sodass Benutzer vollen Zugriff auf CloudWatch Synthetics, und CloudWatch RUM haben können AWS X-Ray, die alle im Rahmen des CloudWatch Dienstes enthalten sind.

Der Inhalt von CloudWatchFullAccessV2 lautet wie folgt:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudWatchFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalingPolicies",
                "application-signals:*",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribePolicies",
                "cloudwatch:*",
                "logs:*",
                "sns:CreateTopic",
                "sns:ListSubscriptions",
                "sns:ListSubscriptionsByTopic",
                "sns:ListTopics",
                "sns:Subscribe",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "oam:ListSinks",
                "rum:*",
                "synthetics:*",
                "xray:*",
                "opensearch:ApplicationAccessAll",
                "iam:ListRoles",
                "iam:ListUsers",
                "aoss:BatchGetCollection",
                "aoss:BatchGetLifecyclePolicy",
                "es:ListApplications"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchApplicationSignalsServiceLinkedRolePermissions",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com"
                }
            }
        },
        {
            "Sid": "EventsServicePermissions",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "events.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OAMReadPermissions",
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        },
        {
            "Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "opensearchservice.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "observability.aoss.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionRequestAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateCollection"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsApplicationRequestAccess",
            "Effect": "Allow",
            "Action": [
                "es:CreateApplication"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/OpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "OpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionResourceAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:DeleteCollection"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsApplicationResourceAccess",
            "Effect": "Allow",
            "Action": [
                "es:UpdateApplication",
                "es:GetApplication"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/OpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionPolicyAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateSecurityPolicy",
                "aoss:CreateAccessPolicy",
                "aoss:DeleteAccessPolicy",
                "aoss:DeleteSecurityPolicy",
                "aoss:GetAccessPolicy",
                "aoss:GetSecurityPolicy",
                "aoss:APIAccessAll"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aoss:collection": "logs-collection-*"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsIndexPolicyAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateAccessPolicy",
                "aoss:DeleteAccessPolicy",
                "aoss:GetAccessPolicy",
                "aoss:CreateLifecyclePolicy",
                "aoss:DeleteLifecyclePolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aoss:index": "logs-collection-*"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsStartDirectQueryAccess",
            "Effect": "Allow",
            "Action": [
                "opensearch:StartDirectQuery"
            ],
            "Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*"
        },
        {
            "Sid": "CloudWatchLogsDQSRequestQueryAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddDirectQueryDataSource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsDQSResourceQueryAccess",
            "Effect": "Allow",
            "Action": [
                "es:GetDirectQueryDataSource",
                "es:DeleteDirectQueryDataSource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsPassRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "directquery.opensearchservice.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsAossTagsAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:TagResource",
                "es:AddTags"
            ],
            "Resource": "arn:aws:aoss:*:*:collection/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsEsApplicationTagsAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddTags"
            ],
            "Resource": "arn:aws:opensearch:*:*:application/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/OpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "OpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsEsDataSourceTagsAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddTags"
            ],
            "Resource": "arn:aws:opensearch:*:*:datasource/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        }
    ]
}

CloudWatchFullAccess

Die CloudWatchFullAccessRichtlinie ist auf dem Weg, veraltet zu sein. Wir empfehlen, dass Sie sie nicht mehr verwenden und stattdessen CloudWatchFullAccessV2 verwenden.

Der Inhalt von CloudWatchFullAccesslautet wie folgt:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:Describe*",
                "cloudwatch:*",
                "logs:*",
                "sns:*",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "oam:ListSinks",
                "opensearch:ApplicationAccessAll",
                "iam:ListRoles",
                "iam:ListUsers",
                "aoss:BatchGetCollection",
                "aoss:BatchGetLifecyclePolicy",
                "es:ListApplications"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "events.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        },
        {
            "Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "opensearchservice.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "observability.aoss.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionRequestAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateCollection"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsApplicationRequestAccess",
            "Effect": "Allow",
            "Action": [
                "es:CreateApplication"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/OpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "OpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionResourceAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:DeleteCollection"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsApplicationResourceAccess",
            "Effect": "Allow",
            "Action": [
                "es:UpdateApplication",
                "es:GetApplication"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/OpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionPolicyAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateSecurityPolicy",
                "aoss:CreateAccessPolicy",
                "aoss:DeleteAccessPolicy",
                "aoss:DeleteSecurityPolicy",
                "aoss:GetAccessPolicy",
                "aoss:GetSecurityPolicy",
                "aoss:APIAccessAll"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aoss:collection": "logs-collection-*"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsIndexPolicyAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateAccessPolicy",
                "aoss:DeleteAccessPolicy",
                "aoss:GetAccessPolicy",
                "aoss:CreateLifecyclePolicy",
                "aoss:DeleteLifecyclePolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aoss:index": "logs-collection-*"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsStartDirectQueryAccess",
            "Effect": "Allow",
            "Action": [
                "opensearch:StartDirectQuery"
            ],
            "Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*"
        },
        {
            "Sid": "CloudWatchLogsDQSRequestQueryAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddDirectQueryDataSource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsDQSResourceQueryAccess",
            "Effect": "Allow",
            "Action": [
                "es:GetDirectQueryDataSource",
                "es:DeleteDirectQueryDataSource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsPassRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "directquery.opensearchservice.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsAossTagsAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:TagResource",
                "es:AddTags"
            ],
            "Resource": "arn:aws:aoss:*:*:collection/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsEsApplicationTagsAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddTags"
            ],
            "Resource": "arn:aws:opensearch:*:*:application/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/OpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "OpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsEsDataSourceTagsAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddTags"
            ],
            "Resource": "arn:aws:opensearch:*:*:datasource/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        }
    ]
}

CloudWatchReadOnlyAccess

Die CloudWatchReadOnlyAccessRichtlinie gewährt nur Lesezugriff auf. CloudWatch

Die Richtlinie beinhaltet einige logs: Berechtigungen, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um CloudWatch Logs-Informationen und CloudWatch Logs Insights-Abfragen anzuzeigen. Es beinhaltetautoscaling:Describe*, sodass Benutzer mit dieser Richtlinie die Auto Scaling Scaling-Aktionen sehen können, die mit CloudWatch Alarmen verknüpft sind. Es umfasst die application-signals: Berechtigungen, mit denen Benutzer Application Signals verwenden können, um den Zustand ihrer Dienste zu überwachen. application-autoscaling:DescribeScalingPolicies ist enthalten, damit Benutzer mit dieser Richtlinie auf Informationen über Richtlinien für Application Auto Scaling zugreifen können. Es beinhaltet sns:Get* undsns:List*, sodass Benutzer mit dieser Richtlinie Informationen zu den Amazon SNS SNS-Themen abrufen können, die Benachrichtigungen über CloudWatch Alarme erhalten. Es umfasst die oam:ListAttachedLinks Berechtigungen oam:ListSinks und, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten, die von Quellkonten geteilt wurden, CloudWatch kontenübergreifend einzusehen. Sie enthält die iam:GetRole Berechtigungen, mit denen Benutzer überprüfen können, ob CloudWatch Application Signals eingerichtet wurden.

Es umfasst rumsynthetics, und xray Berechtigungen, sodass Benutzer nur Lesezugriff auf CloudWatch Synthetics und CloudWatch RUM haben können AWS X-Ray, die alle im Service enthalten sind. CloudWatch

Im Folgenden finden Sie den Inhalt der Richtlinie. CloudWatchReadOnlyAccess


{
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudWatchReadOnlyAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalingPolicies",
                "application-signals:BatchGet*",
                "application-signals:Get*",
                "application-signals:List*",
                "autoscaling:Describe*",
                "cloudwatch:BatchGet*",
                "cloudwatch:Describe*",
                "cloudwatch:GenerateQuery",
                "cloudwatch:Get*",
                "cloudwatch:List*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:Describe*",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "logs:StartLiveTail",
                "logs:StopLiveTail",
                "oam:ListSinks",
                "sns:Get*",
                "sns:List*",
                "rum:BatchGet*",
                "rum:Get*",
                "rum:List*",
                "synthetics:Describe*",
                "synthetics:Get*",
                "synthetics:List*",
                "xray:BatchGet*",
                "xray:Get*",
                "xray:List*",
                "xray:StartTraceRetrieval",
                "xray:CancelTraceRetrieval"
            ],
            "Resource": "*"
        },
        {
            "Sid": "OAMReadPermissions",
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        },
        {
            "Sid": "CloudWatchReadOnlyGetRolePermissions",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
        }
     ]
}

CloudWatchActionsEC2Zugriff

Die CloudWatchActionsEC2Zugriffsrichtlinie gewährt zusätzlich zu den EC2 Amazon-Metadaten nur Lesezugriff auf CloudWatch Alarme und Metriken. Sie gewährt auch Zugriff auf die API-Aktionen Stop, Terminate und Reboot für EC2 Instances.

Im Folgenden finden Sie den Inhalt der CloudWatchActionsEC2Zugriffsrichtlinie.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:Describe*",
        "ec2:Describe*",
        "ec2:RebootInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*"
    }
  ]
}

CloudWatch-CrossAccountAccess

Die CloudWatchCrossAccountAccessverwaltete Richtlinie wird von der CloudWatchCrossAccountSharingRoleIAM-Rolle verwendet. Mit dieser Rolle und Richtlinie können Benutzer von kontoübergreifenden Dashboards in jedem Konto, das Dashboards freigibt, automatische Dashboards anzeigen.

Folgendes ist der Inhalt von CloudWatch-: CrossAccountAccess


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/CloudWatch-CrossAccountSharing*"
            ],
            "Effect": "Allow"
        }
    ]
}

CloudWatchAutomaticDashboardsAccess

Die CloudWatchAutomaticDashboardsAccessverwaltete Richtlinie gewährt Zugriff auf CloudWatch für Nicht-Benutzer CloudWatch APIs, sodass Ressourcen wie Lambda-Funktionen auf CloudWatch automatischen Dashboards angezeigt werden können.

Das Folgende ist der Inhalt von: CloudWatchAutomaticDashboardsAccess


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:DescribeAutoScalingGroups",
        "cloudfront:GetDistribution",
        "cloudfront:ListDistributions",
        "dynamodb:DescribeTable",
        "dynamodb:ListTables",
        "ec2:DescribeInstances",
        "ec2:DescribeVolumes",
        "ecs:DescribeClusters",
        "ecs:DescribeContainerInstances",
        "ecs:ListClusters",
        "ecs:ListContainerInstances",
        "ecs:ListServices",
        "elasticache:DescribeCacheClusters",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticfilesystem:DescribeFileSystems",
        "elasticloadbalancing:DescribeLoadBalancers",
        "kinesis:DescribeStream",
        "kinesis:ListStreams",
        "lambda:GetFunction",
        "lambda:ListFunctions",
        "rds:DescribeDBClusters",
        "rds:DescribeDBInstances",
        "resource-groups:ListGroupResources",
        "resource-groups:ListGroups",
        "route53:GetHealthCheck",
        "route53:ListHealthChecks",
        "s3:ListAllMyBuckets",
        "s3:ListBucket",
        "sns:ListTopics",
        "sqs:GetQueueAttributes",
        "sqs:GetQueueUrl",
        "sqs:ListQueues",
        "synthetics:DescribeCanariesLastRun",
        "tag:GetResources"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "apigateway:GET"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:apigateway:*::/restapis*"
      ]
    }
  ]

CloudWatchAgentServerPolicy

Die CloudWatchAgentServerPolicyRichtlinie kann in IAM-Rollen verwendet werden, die EC2 Amazon-Instances zugeordnet sind, damit der CloudWatch Agent Informationen aus der Instance lesen und in sie schreiben kann. CloudWatch Ihr Inhalt lautet wie folgt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CWACloudWatchServerPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "ec2:DescribeVolumes",
                "ec2:DescribeTags",
                "logs:PutLogEvents",
                "logs:PutRetentionPolicy",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingRules",
                "xray:GetSamplingTargets",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CWASSMServerPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*"
        }
    ]
}

CloudWatchAgentAdminPolicy

Die CloudWatchAgentAdminPolicyRichtlinie kann in IAM-Rollen verwendet werden, die EC2 Amazon-Instances zugeordnet sind. Diese Richtlinie ermöglicht es dem CloudWatch Agenten, Informationen aus der Instance zu lesen und in sie zu CloudWatch schreiben sowie Informationen in den Parameter Store zu schreiben. Ihr Inhalt lautet wie folgt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CWACloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "ec2:DescribeTags",
                "logs:PutLogEvents",
                "logs:PutRetentionPolicy",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingRules",
                "xray:GetSamplingTargets",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CWASSMPermissions",
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*"
        }
    ]
}

Anmerkung

Sie können diese Berechtigungsrichtlinien prüfen, indem Sie sich bei der IAM-Konsole anmelden und dort nach bestimmten Richtlinien suchen.

Sie können auch Ihre eigenen, benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für CloudWatch -Aktionen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den IAM-Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.

AWS verwaltete (vordefinierte) Richtlinien für CloudWatch kontenübergreifende Beobachtbarkeit

Die Richtlinien in diesem Abschnitt gewähren Berechtigungen im Zusammenhang mit der CloudWatch kontoübergreifenden Beobachtbarkeit. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit.

CloudWatchCrossAccountSharingConfiguration

Die CloudWatchCrossAccountSharingConfigurationRichtlinie gewährt Zugriff auf das Erstellen, Verwalten und Anzeigen von Observability Access Manager-Links für die gemeinsame Nutzung von CloudWatch Ressourcen zwischen Konten. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. Der Inhalt ist wie folgt:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:Link",
                "oam:ListLinks"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        }
    ]
}

OAMFullZugriff

Die OAMFullZugriffsrichtlinie gewährt Zugriff auf die Erstellung, Verwaltung und Anzeige von Observability Access Manager-Senken und -Links, die für CloudWatch kontoübergreifende Observability verwendet werden.

Die OAMFullZugriffsrichtlinie allein erlaubt es Ihnen nicht, Observability-Daten linkübergreifend gemeinsam zu nutzen. Um einen Link zum Teilen von CloudWatch Metriken zu erstellen, benötigen Sie außerdem entweder CloudWatchFullAccessoder CloudWatchCrossAccountSharingConfiguration. Um einen Link zum Teilen von CloudWatch Logs-Protokollgruppen zu erstellen, benötigen Sie außerdem entweder CloudWatchLogsFullAccessoder CloudWatchLogsCrossAccountSharingConfiguration. Um einen Link zum Teilen von X-Ray-Traces zu erstellen, benötigen Sie außerdem entweder AWSXRayFullAccessoder AWSXRayCrossAccountSharingConfiguration.

Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. Der Inhalt ist wie folgt:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oam:*"
            ],
            "Resource": "*"
        }
    ]
}

OAMReadOnlyAccess

Die OAMReadOnlyAccessRichtlinie gewährt nur Lesezugriff auf Observability Access Manager-Ressourcen, die für CloudWatch kontoübergreifende Observability verwendet werden. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit. Der Inhalt ist wie folgt:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oam:Get*",
                "oam:List*"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete (vordefinierte) Richtlinien für Untersuchungen CloudWatch

Die Richtlinien in diesem Abschnitt gewähren Berechtigungen im Zusammenhang mit CloudWatch Untersuchungen. Weitere Informationen finden Sie unter CloudWatch Untersuchungen.

AIOpsConsoleAdminPolicy

Die AIOpsConsoleAdminPolicyRichtlinie gewährt über die AWS Konsole vollen Zugriff auf alle CloudWatch Ermittlungsaktionen und die erforderlichen Berechtigungen. Diese Richtlinie gewährt auch eingeschränkten Zugriff auf die Funktionen anderer Dienste, die für CloudWatch Untersuchungen APIs erforderlich sind.

Die aiops Berechtigungen gewähren Zugriff auf alle CloudWatch Ermittlungsaktionen.
Die sts Berechtigungenorganizations,sso, und ermöglichen Aktionenidentitystore, die für die Verwaltung von IAM Identity Center erforderlich sind, wodurch identitätsorientierte Sitzungen ermöglicht werden.
Die ssm Berechtigungen sind für die Integration von SSM Ops Item in das Issue Management von Drittanbietern erforderlich.
Die iam Berechtigungen werden benötigt, damit Administratoren IAM-Rollen an die ssm.integrations Services aiops und Services übergeben können. Die Rolle wird später vom Assistenten zur Analyse von Ressourcen verwendet AWS

Wichtig
Diese Berechtigungen ermöglichen es Benutzern mit dieser Richtlinie, beliebige IAM-Rollen an die Dienste aiops und ssm.integrations zu übergeben.
Sie ermöglicht die APIs Nutzung externer CloudWatch Untersuchungen, die für die Funktionalität der Untersuchungsfunktion erforderlich sind. Dazu gehören Aktionen zur Konfiguration von Amazon Q Entwickler für Chat-Anwendungen AWS KMS, CloudTrail Trails und zur Problemverwaltung durch SSM für Drittanbieter.

Im Folgenden finden Sie den Inhalt der AIOpsConsoleAdminPolicyRichtlinie.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AIOpsAdmin",
			"Effect": "Allow",
			"Action": [
				"aiops:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "OrganizationsAccess",
			"Effect": "Allow",
			"Action": [
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "SSOApplicationManagement",
			"Effect": "Allow",
			"Action": [
				"sso:PutApplicationAccessScope",
				"sso:PutApplicationAssignmentConfiguration",
				"sso:PutApplicationGrant",
				"sso:PutApplicationAuthenticationMethod",
				"sso:DeleteApplication"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:CalledViaLast": "aiops.amazonaws.com",
					"aws:ResourceTag/ManagedByAmazonAIOperations": "true"
				}
			}
		},
		{
			"Sid": "SSOApplicationTagManagement",
			"Effect": "Allow",
			"Action": [
				"sso:CreateApplication",
				"sso:TagResource"
			],
			"Resource": [
				"arn:aws:sso:::instance/*",
				"arn:aws:sso::aws:applicationProvider/aiops"
			],
			"Condition": {
				"StringEquals": {
					"aws:CalledViaLast": "aiops.amazonaws.com",
					"aws:RequestTag/ManagedByAmazonAIOperations": "true"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"ManagedByAmazonAIOperations"
					]
				}
			}
		},
		{
			"Sid": "SSOTagManagement",
			"Effect": "Allow",
			"Action": [
				"sso:TagResource"
			],
			"Resource": "arn:aws:sso::*:application/*",
			"Condition": {
				"StringEquals": {
					"aws:CalledViaLast": "aiops.amazonaws.com",
					"aws:ResourceTag/ManagedByAmazonAIOperations": "true"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"ManagedByAmazonAIOperations"
					]
				}
			}
		},
		{
			"Sid": "SSOManagementAccess",
			"Effect": "Allow",
			"Action": [
				"identitystore:DescribeUser",
				"sso:ListApplications",
				"sso:ListInstances",
				"sso:DescribeRegisteredRegions",
				"sso:GetSharedSsoConfiguration",
				"sso:DescribeInstance",
				"sso:GetSSOStatus",
				"sso-directory:DescribeUsers"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowSTSContextSetting",
			"Effect": "Allow",
			"Action": [
				"sts:SetContext"
			],
			"Resource": "arn:aws:sts::*:self"
		},
		{
			"Sid": "IdentityPropagationAccess",
			"Effect": "Allow",
			"Action": [
				"signin:ListTrustedIdentityPropagationApplicationsForConsole"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudtrailAccess",
			"Effect": "Allow",
			"Action": [
				"cloudtrail:ListTrails",
				"cloudtrail:DescribeTrails",
				"cloudtrail:ListEventDataStores"
			],
			"Resource": "*"
		},
		{
			"Sid": "KMSAccess",
			"Effect": "Allow",
			"Action": [
				"kms:ListAliases"
			],
			"Resource": "*"
		},
		{
			"Sid": "SSMIntegrationSecretsManagerAccess",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret",
				"secretsmanager:PutResourcePolicy",
				"secretsmanager:UpdateSecret",
				"secretsmanager:DeleteSecret"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:aws/ssm/3p/*"
		},
		{
			"Sid": "SSMIntegrationAccess",
			"Effect": "Allow",
			"Action": [
				"ssm:GetServiceSetting",
				"ssm:UpdateServiceSetting"
			],
			"Resource": "arn:aws:ssm:*:*:servicesetting/integrations/*"
		},
		{
			"Sid": "SSMIntegrationCreatePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:CreatePolicy"
			],
			"Resource": "arn:aws:iam::*:policy/service-role/AWSServiceRoleSSMIntegrationsPolicy*"
		},
		{
			"Sid": "ChatbotConfigurations",
			"Effect": "Allow",
			"Action": [
				"chatbot:DescribeChimeWebhookConfigurations",
				"chatbot:DescribeSlackWorkspaces",
				"chatbot:DescribeSlackChannelConfigurations",
				"chatbot:ListMicrosoftTeamsChannelConfigurations",
				"chatbot:ListMicrosoftTeamsConfiguredTeams"
			],
			"Resource": "*"
		},
		{
			"Sid": "IAMPassRoleToAIOps",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": "aiops.amazonaws.com"
				}
			}
		},
		{
			"Sid": "IAMListRoles",
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles"
			],
			"Resource": "*"
		},
		{
			"Sid": "TagBoundaryPermission",
			"Effect": "Allow",
			"Action": [
				"tag:GetTagKeys"
			],
			"Resource": "*"
		},
		{
			"Sid": "IAMPassRoleToSSMIntegration",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": "ssm.integrations.amazonaws.com"
				},
				"ArnEquals": {
					"iam:AssociatedResourceArn": "arn:aws:aiops:*:*:investigation-group/*"
				}
			}
		},
		{
			"Sid": "SSMOpsItemAccess",
			"Effect": "Allow",
			"Action": [
				"ssm:CreateOpsItem",
				"ssm:AddTagsToResource"
			],
			"Resource": "arn:*:ssm:*:*:opsitem/*",
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/Integration": "CloudWatch",
					"aws:ResourceTag/Integration": "CloudWatch"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"Integration"
					]
				}
			}
		},
		{
			"Sid": "CreateAIOpsCrossAccountAssistantPolicy",
			"Effect": "Allow",
			"Action": [
				"iam:CreatePolicy"
			],
			"Resource": "arn:aws:iam::*:policy/AIOpsCrossAccountAssistantPolicy*"
		}
	]
}

AIOpsOperatorAccess

Die AIOpsOperatorAccessRichtlinie gewährt Zugriff auf eine begrenzte Anzahl von CloudWatch Untersuchungen, zu APIs denen das Erstellen, Aktualisieren und Löschen von Untersuchungen, Ermittlungsereignissen und Ermittlungsressourcen gehört.

Diese Richtlinie gewährt nur Zugang zu Untersuchungen. Sie sollten sicherstellen, dass IAM-Principals mit dieser Richtlinie auch berechtigt sind, CloudWatch Observability-Daten wie Metriken und SLOs CloudWatch Log-Abfrageergebnisse zu lesen.

Die aiops Berechtigungen ermöglichen den Zugriff auf CloudWatch Untersuchungen, um Untersuchungen APIs zu erstellen, zu aktualisieren und zu löschen.
Die sts Berechtigungen ssoidentitystore, und ermöglichen Aktionen, die für die Verwaltung von IAM Identity Center erforderlich sind, um identitätsorientierte Sitzungen zu ermöglichen.
Die ssm Berechtigungen sind für die Integration von SSM Ops Item mit der Problemverwaltung von Drittanbietern erforderlich.

Im Folgenden finden Sie den Inhalt der AIOpsOperatorAccessRichtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AIOpsOperatorAccess",
            "Effect": "Allow",
            "Action": [
                "aiops:CreateInvestigation",
                "aiops:CreateInvestigationEvent",
                "aiops:CreateInvestigationResource",
                "aiops:DeleteInvestigation",
                "aiops:Get*",
                "aiops:List*",
                "aiops:UpdateInvestigation",
                "aiops:UpdateInvestigationEvent",
                "aiops:ValidateInvestigationGroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSOManagementAccess",
            "Effect": "Allow",
            "Action": [
                "identitystore:DescribeUser",
                "sso:DescribeInstance",
                "sso-directory:DescribeUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSTSContextSetting",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        },
        {
            "Sid": "SSMSettingServiceIntegration",
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting"
            ],
            "Resource": "arn:aws:ssm:*:*:servicesetting/integrations/*"
        },
        {
            "Sid": "SSMIntegrationTagAccess",
            "Effect": "Allow",
            "Action": [
                "ssm:AddTagsToResource",
                "ssm:CreateOpsItem"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Integration": [
                        "CloudWatch"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "Integration"
                }
            }
        },
        {
            "Sid": "SSMOpsItemIntegration",
            "Effect": "Allow",
            "Action": [
                "ssm:DeleteOpsItem",
                "ssm:UpdateOpsItem"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Integration": [
                        "CloudWatch"
                    ]
                }
            }
        },
        {
            "Sid": "SSMTagOperation",
            "Effect": "Allow",
            "Action": [
                "ssm:AddTagsToResource"
            ],
            "Resource": "arn:aws:ssm:*:*:opsitem/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Integration": [
                        "CloudWatch"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "Integration"
                }
            }
        },
        {
            "Sid": "SSMOpsSummaryIntegration",
            "Effect": "Allow",
            "Action": [
                "ssm:GetOpsSummary"
            ],
            "Resource": "*"
        }
    ]
}

AIOpsReadOnlyAccess

Die AIOpsReadOnlyAccessRichtlinie gewährt nur Leseberechtigungen für CloudWatch Untersuchungen und andere damit verbundene Dienste.

Im Folgenden finden Sie den Inhalt der AIOpsReadOnlyAccessRichtlinie.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AIOpsReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "aiops:Get*",
        "aiops:List*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SSOManagementAccess",
      "Effect": "Allow",
      "Action": [
        "identitystore:DescribeUser",
        "sso:DescribeInstance",
        "sso-directory:DescribeUsers"
      ],
      "Resource": "*"
    }
  ]
}

IAM-Richtlinie für CloudWatch Ermittlungen () AIOps AssistantPolicy

Die AIOpsAssistantPolicyRichtlinie in diesem Abschnitt darf nicht Benutzern oder Administratoren zugewiesen werden. Stattdessen weisen AIOpsAssistantPolicySie Amazon Q Developer zu, damit dieser Ihre AWS Ressourcen bei der Untersuchung betrieblicher Ereignisse analysieren kann. Der Geltungsbereich dieser Richtlinie basiert auf den Ressourcen, die Amazon Q Developer bei Untersuchungen unterstützt, und wird aktualisiert, sobald mehr Ressourcen unterstützt werden.

Sie können sich auch dafür entscheiden, den General zusätzlich AWS ReadOnlyAccesszur Zuweisung dem Assistenten zuzuweisen. AIOpsAssistantPolicy Der Grund dafür ist, dass das System immer häufiger aktualisiert ReadOnlyAccesswird, indem AWS Berechtigungen für neue AWS Dienste und Aktionen hinzugefügt werden, die veröffentlicht werden. AIOpsAssistantPolicySie werden auch für neue Aktionen aktualisiert, aber nicht so häufig.

Im Folgenden finden Sie den Inhalt der AIOpsAssistantPolicyRichtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AIOPSServiceAccess",
            "Effect": "Allow",
            "Action": [
                "access-analyzer:GetAnalyzer",
                "access-analyzer:List*",
                "acm-pca:Describe*",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:GetCertificateAuthorityCsr",
                "acm-pca:List*",
                "acm:DescribeCertificate",
                "acm:GetAccountConfiguration",
                "airflow:List*",
                "amplify:GetApp",
                "amplify:GetBranch",
                "amplify:GetDomainAssociation",
                "amplify:List*",
                "aoss:BatchGetCollection",
                "aoss:BatchGetLifecyclePolicy",
                "aoss:BatchGetVpcEndpoint",
                "aoss:GetAccessPolicy",
                "aoss:GetSecurityConfig",
                "aoss:GetSecurityPolicy",
                "aoss:List*",
                "appconfig:GetApplication",
                "appconfig:GetConfigurationProfile",
                "appconfig:GetEnvironment",
                "appconfig:GetHostedConfigurationVersion",
                "appconfig:List*",
                "appflow:Describe*",
                "appflow:List*",
                "application-autoscaling:Describe*",
                "application-signals:BatchGetServiceLevelObjectiveBudgetReport",
                "application-signals:GetService",
                "application-signals:GetServiceLevelObjective",
                "application-signals:List*",
                "applicationinsights:Describe*",
                "applicationinsights:List*",
                "apprunner:Describe*",
                "apprunner:List*",
                "appstream:Describe*",
                "appstream:List*",
                "appsync:GetApiAssociation",
                "appsync:GetDataSource",
                "appsync:GetDomainName",
                "appsync:GetFunction",
                "appsync:GetGraphqlApi",
                "appsync:GetResolver",
                "appsync:GetSourceApiAssociation",
                "appsync:List*",
                "aps:Describe*",
                "aps:List*",
                "arc-zonal-shift:GetManagedResource",
                "arc-zonal-shift:List*",
                "athena:GetCapacityAssignmentConfiguration",
                "athena:GetCapacityReservation",
                "athena:GetDataCatalog",
                "athena:GetNamedQuery",
                "athena:GetPreparedStatement",
                "athena:GetWorkGroup",
                "athena:List*",
                "auditmanager:GetAssessment",
                "auditmanager:List*",
                "autoscaling:Describe*",
                "backup-gateway:GetHypervisor",
                "backup-gateway:List*",
                "backup:Describe*",
                "backup:GetBackupPlan",
                "backup:GetBackupSelection",
                "backup:GetBackupVaultAccessPolicy",
                "backup:GetBackupVaultNotifications",
                "backup:GetRestoreTestingPlan",
                "backup:GetRestoreTestingSelection",
                "backup:List*",
                "batch:DescribeComputeEnvironments",
                "batch:DescribeJobQueues",
                "batch:DescribeSchedulingPolicies",
                "batch:List*",
                "bedrock:GetAgent",
                "bedrock:GetAgentActionGroup",
                "bedrock:GetAgentAlias",
                "bedrock:GetAgentKnowledgeBase",
                "bedrock:GetDataSource",
                "bedrock:GetGuardrail",
                "bedrock:GetKnowledgeBase",
                "bedrock:List*",
                "budgets:Describe*",
                "budgets:List*",
                "ce:Describe*",
                "ce:GetAnomalyMonitors",
                "ce:GetAnomalySubscriptions",
                "ce:List*",
                "chatbot:Describe*",
                "chatbot:GetMicrosoftTeamsChannelConfiguration",
                "chatbot:List*",
                "cleanrooms-ml:GetTrainingDataset",
                "cleanrooms-ml:List*",
                "cleanrooms:GetAnalysisTemplate",
                "cleanrooms:GetCollaboration",
                "cleanrooms:GetConfiguredTable",
                "cleanrooms:GetConfiguredTableAnalysisRule",
                "cleanrooms:GetConfiguredTableAssociation",
                "cleanrooms:GetMembership",
                "cleanrooms:List*",
                "cloudformation:Describe*",
                "cloudformation:GetResource",
                "cloudformation:GetStackPolicy",
                "cloudformation:GetTemplate",
                "cloudformation:List*",
                "cloudfront:Describe*",
                "cloudfront:GetCachePolicy",
                "cloudfront:GetCloudFrontOriginAccessIdentity",
                "cloudfront:GetContinuousDeploymentPolicy",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetFunction",
                "cloudfront:GetKeyGroup",
                "cloudfront:GetMonitoringSubscription",
                "cloudfront:GetOriginAccessControl",
                "cloudfront:GetOriginRequestPolicy",
                "cloudfront:GetPublicKey",
                "cloudfront:GetRealtimeLogConfig",
                "cloudfront:GetResponseHeadersPolicy",
                "cloudfront:List*",
                "cloudtrail:Describe*",
                "cloudtrail:GetChannel",
                "cloudtrail:GetEventDataStore",
                "cloudtrail:GetEventSelectors",
                "cloudtrail:GetInsightSelectors",
                "cloudtrail:GetQueryResults",
                "cloudtrail:GetResourcePolicy",
                "cloudtrail:GetTrail",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:List*",
                "cloudtrail:LookupEvents",
                "cloudtrail:StartQuery",
                "cloudwatch:Describe*",
                "cloudwatch:GenerateQuery",
                "cloudwatch:GetDashboard",
                "cloudwatch:GetInsightRuleReport",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStream",
                "cloudwatch:GetService",
                "cloudwatch:GetServiceLevelObjective",
                "cloudwatch:List*",
                "codeartifact:Describe*",
                "codeartifact:GetDomainPermissionsPolicy",
                "codeartifact:GetRepositoryPermissionsPolicy",
                "codeartifact:List*",
                "codebuild:BatchGetFleets",
                "codebuild:List*",
                "codecommit:GetRepository",
                "codecommit:GetRepositoryTriggers",
                "codedeploy:BatchGetDeployments",
                "codedeploy:BatchGetDeploymentTargets",
                "codedeploy:GetApplication",
                "codedeploy:GetDeploymentConfig",
                "codedeploy:List*",
                "codeguru-profiler:Describe*",
                "codeguru-profiler:GetNotificationConfiguration",
                "codeguru-profiler:GetPolicy",
                "codeguru-profiler:List*",
                "codeguru-reviewer:Describe*",
                "codeguru-reviewer:List*",
                "codepipeline:GetPipeline",
                "codepipeline:GetPipelineState",
                "codepipeline:List*",
                "codestar-connections:GetConnection",
                "codestar-connections:GetRepositoryLink",
                "codestar-connections:GetSyncConfiguration",
                "codestar-connections:List*",
                "codestar-notifications:Describe*",
                "codestar-notifications:List*",
                "cognito-identity:DescribeIdentityPool",
                "cognito-identity:GetIdentityPoolRoles",
                "cognito-identity:ListIdentityPools",
                "cognito-identity:ListTagsForResource",
                "cognito-idp:AdminListGroupsForUser",
                "cognito-idp:DescribeIdentityProvider",
                "cognito-idp:DescribeResourceServer",
                "cognito-idp:DescribeRiskConfiguration",
                "cognito-idp:DescribeUserImportJob",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolDomain",
                "cognito-idp:GetGroup",
                "cognito-idp:GetLogDeliveryConfiguration",
                "cognito-idp:GetUICustomization",
                "cognito-idp:GetUserPoolMfaConfig",
                "cognito-idp:GetWebACLForResource",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListResourceServers",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:ListUsers",
                "cognito-idp:ListTagsForResource",
                "comprehend:Describe*",
                "comprehend:List*",
                "config:Describe*",
                "config:GetStoredQuery",
                "config:List*",
                "connect:Describe*",
                "connect:GetTaskTemplate",
                "connect:List*",
                "databrew:Describe*",
                "databrew:List*",
                "datapipeline:Describe*",
                "datapipeline:GetPipelineDefinition",
                "datapipeline:List*",
                "datasync:Describe*",
                "datasync:List*",
                "deadline:GetFarm",
                "deadline:GetFleet",
                "deadline:GetLicenseEndpoint",
                "deadline:GetMonitor",
                "deadline:GetQueue",
                "deadline:GetQueueEnvironment",
                "deadline:GetQueueFleetAssociation",
                "deadline:GetStorageProfile",
                "deadline:List*",
                "detective:GetMembers",
                "detective:List*",
                "devicefarm:GetDevicePool",
                "devicefarm:GetInstanceProfile",
                "devicefarm:GetNetworkProfile",
                "devicefarm:GetProject",
                "devicefarm:GetTestGridProject",
                "devicefarm:GetVPCEConfiguration",
                "devicefarm:List*",
                "devops-guru:Describe*",
                "devops-guru:GetResourceCollection",
                "devops-guru:List*",
                "dms:Describe*",
                "dms:List*",
                "ds:Describe*",
                "dynamodb:Describe*",
                "dynamodb:GetResourcePolicy",
                "dynamodb:List*",
                "ec2:Describe*",
                "ec2:GetAssociatedEnclaveCertificateIamRoles",
                "ec2:GetIpamPoolAllocations",
                "ec2:GetIpamPoolCidrs",
                "ec2:GetManagedPrefixListEntries",
                "ec2:GetNetworkInsightsAccessScopeContent",
                "ec2:GetSnapshotBlockPublicAccessState",
                "ec2:GetTransitGatewayMulticastDomainAssociations",
                "ec2:GetTransitGatewayRouteTableAssociations",
                "ec2:GetTransitGatewayRouteTablePropagations",
                "ec2:GetVerifiedAccessEndpointPolicy",
                "ec2:GetVerifiedAccessGroupPolicy",
                "ec2:GetVerifiedAccessInstanceWebAcl",
                "ec2:SearchLocalGatewayRoutes",
                "ec2:SearchTransitGatewayRoutes",
                "ecr:Describe*",
                "ecr:GetLifecyclePolicy",
                "ecr:GetRegistryPolicy",
                "ecr:GetRepositoryPolicy",
                "ecr:List*",
                "ecs:Describe*",
                "ecs:List*",
                "eks:Describe*",
                "eks:List*",
                "elasticache:Describe*",
                "elasticache:List*",
                "elasticbeanstalk:Describe*",
                "elasticbeanstalk:List*",
                "elasticfilesystem:Describe*",
                "elasticloadbalancing:Describe*",
                "elasticmapreduce:Describe*",
                "elasticmapreduce:List*",
                "emr-containers:Describe*",
                "emr-containers:List*",
                "emr-serverless:GetApplication",
                "emr-serverless:List*",
                "es:Describe*",
                "es:List*",
                "events:Describe*",
                "events:List*",
                "evidently:GetExperiment",
                "evidently:GetFeature",
                "evidently:GetLaunch",
                "evidently:GetProject",
                "evidently:GetSegment",
                "evidently:List*",
                "firehose:Describe*",
                "firehose:List*",
                "fis:GetExperimentTemplate",
                "fis:GetTargetAccountConfiguration",
                "fis:List*",
                "fms:GetNotificationChannel",
                "fms:GetPolicy",
                "fms:List*",
                "forecast:Describe*",
                "forecast:List*",
                "frauddetector:BatchGetVariable",
                "frauddetector:Describe*",
                "frauddetector:GetDetectors",
                "frauddetector:GetDetectorVersion",
                "frauddetector:GetEntityTypes",
                "frauddetector:GetEventTypes",
                "frauddetector:GetExternalModels",
                "frauddetector:GetLabels",
                "frauddetector:GetListElements",
                "frauddetector:GetListsMetadata",
                "frauddetector:GetModelVersion",
                "frauddetector:GetOutcomes",
                "frauddetector:GetRules",
                "frauddetector:GetVariables",
                "frauddetector:List*",
                "fsx:Describe*",
                "gamelift:Describe*",
                "gamelift:List*",
                "globalaccelerator:Describe*",
                "globalaccelerator:List*",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetJob",
                "glue:GetRegistry",
                "glue:GetSchema",
                "glue:GetSchemaVersion",
                "glue:GetTable",
                "glue:GetTags",
                "glue:GetTrigger",
                "glue:List*",
                "glue:querySchemaVersionMetadata",
                "grafana:Describe*",
                "grafana:List*",
                "greengrass:Describe*",
                "greengrass:GetDeployment",
                "greengrass:List*",
                "groundstation:GetConfig",
                "groundstation:GetDataflowEndpointGroup",
                "groundstation:GetMissionProfile",
                "groundstation:List*",
                "guardduty:GetDetector",
                "guardduty:GetFilter",
                "guardduty:GetIPSet",
                "guardduty:GetMalwareProtectionPlan",
                "guardduty:GetMasterAccount",
                "guardduty:GetMembers",
                "guardduty:GetThreatIntelSet",
                "guardduty:List*",
                "health:DescribeEvents",
                "health:DescribeEventDetails",
                "healthlake:Describe*",
                "healthlake:List*",
                "iam:GetGroup",
                "iam:GetGroupPolicy",
                "iam:GetInstanceProfile",
                "iam:GetLoginProfile",
                "iam:GetOpenIDConnectProvider",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetSAMLProvider",
                "iam:GetServerCertificate",
                "iam:GetServiceLinkedRoleDeletionStatus",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListOpenIDConnectProviders",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:ListServerCertificates",
                "iam:ListVirtualMFADevices",
                "identitystore:DescribeGroup",
                "identitystore:DescribeGroupMembership",
                "identitystore:ListGroupMemberships",
                "identitystore:ListGroups",
                "imagebuilder:GetComponent",
                "imagebuilder:GetContainerRecipe",
                "imagebuilder:GetDistributionConfiguration",
                "imagebuilder:GetImage",
                "imagebuilder:GetImagePipeline",
                "imagebuilder:GetImageRecipe",
                "imagebuilder:GetInfrastructureConfiguration",
                "imagebuilder:GetLifecyclePolicy",
                "imagebuilder:GetWorkflow",
                "imagebuilder:List*",
                "inspector2:List*",
                "inspector:Describe*",
                "inspector:List*",
                "internetmonitor:GetMonitor",
                "internetmonitor:List*",
                "iot:Describe*",
                "iot:GetPackage",
                "iot:GetPackageVersion",
                "iot:GetPolicy",
                "iot:GetThingShadow",
                "iot:GetTopicRule",
                "iot:GetTopicRuleDestination",
                "iot:GetV2LoggingOptions",
                "iot:List*",
                "iotanalytics:Describe*",
                "iotanalytics:List*",
                "iotevents:Describe*",
                "iotevents:List*",
                "iotfleethub:Describe*",
                "iotfleethub:List*",
                "iotsitewise:Describe*",
                "iotsitewise:List*",
                "iotwireless:GetDestination",
                "iotwireless:GetDeviceProfile",
                "iotwireless:GetFuotaTask",
                "iotwireless:GetMulticastGroup",
                "iotwireless:GetNetworkAnalyzerConfiguration",
                "iotwireless:GetServiceProfile",
                "iotwireless:GetWirelessDevice",
                "iotwireless:GetWirelessGateway",
                "iotwireless:GetWirelessGatewayTaskDefinition",
                "iotwireless:List*",
                "ivs:GetChannel",
                "ivs:GetEncoderConfiguration",
                "ivs:GetPlaybackRestrictionPolicy",
                "ivs:GetRecordingConfiguration",
                "ivs:GetStage",
                "ivs:List*",
                "ivschat:GetLoggingConfiguration",
                "ivschat:GetRoom",
                "ivschat:List*",
                "kafka:Describe*",
                "kafka:GetClusterPolicy",
                "kafka:List*",
                "kafkaconnect:Describe*",
                "kafkaconnect:List*",
                "kendra:Describe*",
                "kendra:List*",
                "kinesis:Describe*",
                "kinesis:List*",
                "kinesisanalytics:Describe*",
                "kinesisanalytics:List*",
                "kinesisvideo:Describe*",
                "kms:DescribeKey",
                "kms:ListResourceTags",
                "kms:ListKeys",
                "lakeformation:Describe*",
                "lakeformation:GetLFTag",
                "lakeformation:GetResourceLFTags",
                "lakeformation:List*",
                "lambda:GetAlias",
                "lambda:GetCodeSigningConfig",
                "lambda:GetEventSourceMapping",
                "lambda:GetFunction",
                "lambda:GetFunctionCodeSigningConfig",
                "lambda:GetFunctionConfiguration",
                "lambda:GetFunctionEventInvokeConfig",
                "lambda:GetFunctionRecursionConfig",
                "lambda:GetFunctionUrlConfig",
                "lambda:GetLayerVersion",
                "lambda:GetLayerVersionPolicy",
                "lambda:GetPolicy",
                "lambda:GetProvisionedConcurrencyConfig",
                "lambda:GetRuntimeManagementConfig",
                "lambda:List*",
                "launchwizard:GetDeployment",
                "launchwizard:List*",
                "lex:Describe*",
                "lex:List*",
                "license-manager:GetLicense",
                "license-manager:List*",
                "lightsail:GetAlarms",
                "lightsail:GetBuckets",
                "lightsail:GetCertificates",
                "lightsail:GetContainerServices",
                "lightsail:GetDisk",
                "lightsail:GetDisks",
                "lightsail:GetInstance",
                "lightsail:GetInstances",
                "lightsail:GetLoadBalancer",
                "lightsail:GetLoadBalancers",
                "lightsail:GetLoadBalancerTlsCertificates",
                "lightsail:GetStaticIp",
                "lightsail:GetStaticIps",
                "logs:Describe*",
                "logs:FilterLogEvents",
                "logs:GetDataProtectionPolicy",
                "logs:GetDelivery",
                "logs:GetDeliveryDestination",
                "logs:GetDeliveryDestinationPolicy",
                "logs:GetDeliverySource",
                "logs:GetLogAnomalyDetector",
                "logs:GetLogDelivery",
                "logs:GetQueryResults",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopLiveTail",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "lookoutmetrics:Describe*",
                "lookoutmetrics:List*",
                "lookoutvision:Describe*",
                "lookoutvision:List*",
                "m2:GetApplication",
                "m2:GetEnvironment",
                "m2:List*",
                "macie2:GetAllowList",
                "macie2:GetCustomDataIdentifier",
                "macie2:GetFindingsFilter",
                "macie2:GetMacieSession",
                "macie2:List*",
                "mediaconnect:Describe*",
                "mediaconnect:List*",
                "medialive:Describe*",
                "medialive:GetCloudWatchAlarmTemplate",
                "medialive:GetCloudWatchAlarmTemplateGroup",
                "medialive:GetEventBridgeRuleTemplate",
                "medialive:GetEventBridgeRuleTemplateGroup",
                "medialive:GetSignalMap",
                "medialive:List*",
                "mediapackage-vod:Describe*",
                "mediapackage-vod:List*",
                "mediapackage:Describe*",
                "mediapackage:List*",
                "mediapackagev2:GetChannel",
                "mediapackagev2:GetChannelGroup",
                "mediapackagev2:GetChannelPolicy",
                "mediapackagev2:GetOriginEndpoint",
                "mediapackagev2:GetOriginEndpointPolicy",
                "mediapackagev2:List*",
                "memorydb:Describe*",
                "memorydb:List*",
                "mobiletargeting:GetInAppTemplate",
                "mobiletargeting:List*",
                "mq:Describe*",
                "mq:List*",
                "network-firewall:Describe*",
                "network-firewall:List*",
                "networkmanager:Describe*",
                "networkmanager:GetConnectAttachment",
                "networkmanager:GetConnectPeer",
                "networkmanager:GetCoreNetwork",
                "networkmanager:GetCoreNetworkPolicy",
                "networkmanager:GetCustomerGatewayAssociations",
                "networkmanager:GetDevices",
                "networkmanager:GetLinkAssociations",
                "networkmanager:GetLinks",
                "networkmanager:GetSites",
                "networkmanager:GetSiteToSiteVpnAttachment",
                "networkmanager:GetTransitGatewayPeering",
                "networkmanager:GetTransitGatewayRegistrations",
                "networkmanager:GetTransitGatewayRouteTableAttachment",
                "networkmanager:GetVpcAttachment",
                "networkmanager:List*",
                "nimble:GetLaunchProfile",
                "nimble:GetStreamingImage",
                "nimble:GetStudio",
                "nimble:GetStudioComponent",
                "nimble:List*",
                "oam:GetLink",
                "oam:GetSink",
                "oam:GetSinkPolicy",
                "oam:List*",
                "omics:GetAnnotationStore",
                "omics:GetReferenceStore",
                "omics:GetRunGroup",
                "omics:GetSequenceStore",
                "omics:GetVariantStore",
                "omics:GetWorkflow",
                "omics:List*",
                "opsworks-cm:Describe*",
                "opsworks-cm:List*",
                "organizations:Describe*",
                "organizations:List*",
                "osis:GetPipeline",
                "osis:List*",
                "payment-cryptography:GetAlias",
                "payment-cryptography:GetKey",
                "payment-cryptography:List*",
                "pca-connector-ad:GetConnector",
                "pca-connector-ad:GetDirectoryRegistration",
                "pca-connector-ad:GetServicePrincipalName",
                "pca-connector-ad:GetTemplate",
                "pca-connector-ad:GetTemplateGroupAccessControlEntry",
                "pca-connector-ad:List*",
                "pca-connector-scep:GetChallengeMetadata",
                "pca-connector-scep:GetConnector",
                "pca-connector-scep:List*",
                "personalize:Describe*",
                "personalize:List*",
                "pipes:Describe*",
                "pipes:List*",
                "proton:GetEnvironmentTemplate",
                "proton:GetServiceTemplate",
                "proton:List*",
                "qbusiness:GetApplication",
                "qbusiness:GetDataSource",
                "qbusiness:GetIndex",
                "qbusiness:GetPlugin",
                "qbusiness:GetRetriever",
                "qbusiness:GetWebExperience",
                "qbusiness:List*",
                "qldb:Describe*",
                "qldb:List*",
                "ram:GetPermission",
                "ram:List*",
                "rds:Describe*",
                "rds:List*",
                "redshift-serverless:GetNamespace",
                "redshift-serverless:GetWorkgroup",
                "redshift-serverless:List*",
                "redshift:Describe*",
                "refactor-spaces:GetApplication",
                "refactor-spaces:GetEnvironment",
                "refactor-spaces:GetRoute",
                "refactor-spaces:List*",
                "rekognition:Describe*",
                "rekognition:List*",
                "resiliencehub:Describe*",
                "resiliencehub:List*",
                "resource-explorer-2:GetDefaultView",
                "resource-explorer-2:GetIndex",
                "resource-explorer-2:GetView",
                "resource-explorer-2:List*",
                "resource-groups:GetGroup",
                "resource-groups:GetGroupConfiguration",
                "resource-groups:GetGroupQuery",
                "resource-groups:GetTags",
                "resource-groups:List*",
                "robomaker:Describe*",
                "robomaker:List*",
                "route53-recovery-control-config:Describe*",
                "route53-recovery-control-config:List*",
                "route53-recovery-readiness:GetCell",
                "route53-recovery-readiness:GetReadinessCheck",
                "route53-recovery-readiness:GetRecoveryGroup",
                "route53-recovery-readiness:GetResourceSet",
                "route53-recovery-readiness:List*",
                "route53:GetDNSSEC",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:List*",
                "route53profiles:GetProfile",
                "route53profiles:GetProfileAssociation",
                "route53profiles:GetProfileResourceAssociation",
                "route53profiles:List*",
                "route53resolver:GetFirewallDomainList",
                "route53resolver:GetFirewallRuleGroup",
                "route53resolver:GetFirewallRuleGroupAssociation",
                "route53resolver:GetOutpostResolver",
                "route53resolver:GetResolverConfig",
                "route53resolver:GetResolverQueryLogConfig",
                "route53resolver:GetResolverQueryLogConfigAssociation",
                "route53resolver:GetResolverRule",
                "route53resolver:GetResolverRuleAssociation",
                "route53resolver:List*",
                "rum:GetAppMonitor",
                "rum:List*",
                "s3-outposts:GetAccessPoint",
                "s3-outposts:GetAccessPointPolicy",
                "s3-outposts:GetBucket",
                "s3-outposts:GetBucketPolicy",
                "s3-outposts:GetBucketTagging",
                "s3-outposts:GetLifecycleConfiguration",
                "s3-outposts:List*",
                "s3:GetAccelerateConfiguration",
                "s3:GetAccessGrant",
                "s3:GetAccessGrantsInstance",
                "s3:GetAccessGrantsLocation",
                "s3:GetAccessPoint",
                "s3:GetAccessPointConfigurationForObjectLambda",
                "s3:GetAccessPointForObjectLambda",
                "s3:GetAccessPointPolicy",
                "s3:GetAccessPointPolicyForObjectLambda",
                "s3:GetAccessPointPolicyStatusForObjectLambda",
                "s3:GetAnalyticsConfiguration",
                "s3:GetBucketAcl",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketNotification",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketOwnershipControls",
                "s3:GetBucketPolicy",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "S3:GetBucketWebsite",
                "s3:GetEncryptionConfiguration",
                "s3:GetIntelligentTieringConfiguration",
                "s3:GetInventoryConfiguration",
                "s3:GetLifecycleConfiguration",
                "s3:GetMetricsConfiguration",
                "s3:GetMultiRegionAccessPoint",
                "s3:GetMultiRegionAccessPointPolicy",
                "s3:GetMultiRegionAccessPointPolicyStatus",
                "s3:GetReplicationConfiguration",
                "s3:GetStorageLensConfiguration",
                "s3:GetStorageLensConfigurationTagging",
                "s3:GetStorageLensGroup",
                "s3:List*",
                "sagemaker:Describe*",
                "sagemaker:List*",
                "scheduler:GetSchedule",
                "scheduler:GetScheduleGroup",
                "scheduler:List*",
                "schemas:Describe*",
                "schemas:GetResourcePolicy",
                "schemas:List*",
                "secretsmanager:Describe*",
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:List*",
                "securityhub:BatchGetAutomationRules",
                "securityhub:BatchGetSecurityControls",
                "securityhub:Describe*",
                "securityhub:GetConfigurationPolicy",
                "securityhub:GetConfigurationPolicyAssociation",
                "securityhub:GetEnabledStandards",
                "securityhub:GetFindingAggregator",
                "securityhub:GetInsights",
                "securityhub:List*",
                "securitylake:GetSubscriber",
                "securitylake:List*",
                "servicecatalog:Describe*",
                "servicecatalog:GetApplication",
                "servicecatalog:GetAttributeGroup",
                "servicecatalog:List*",
                "servicequotas:GetServiceQuota",
                "ses:Describe*",
                "ses:GetAccount",
                "ses:GetAddonInstance",
                "ses:GetAddonSubscription",
                "ses:GetArchive",
                "ses:GetConfigurationSet",
                "ses:GetConfigurationSetEventDestinations",
                "ses:GetContactList",
                "ses:GetDedicatedIpPool",
                "ses:GetDedicatedIps",
                "ses:GetEmailIdentity",
                "ses:GetEmailTemplate",
                "ses:GetIngressPoint",
                "ses:GetRelay",
                "ses:GetRuleSet",
                "ses:GetTemplate",
                "ses:GetTrafficPolicy",
                "ses:List*",
                "shield:Describe*",
                "shield:List*",
                "signer:GetSigningProfile",
                "signer:List*",
                "sns:GetDataProtectionPolicy",
                "sns:GetSubscriptionAttributes",
                "sns:GetTopicAttributes",
                "sns:List*",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "sqs:List*",
                "ssm-contacts:GetContact",
                "ssm-contacts:GetContactChannel",
                "ssm-contacts:List*",
                "ssm-incidents:GetReplicationSet",
                "ssm-incidents:GetResponsePlan",
                "ssm-incidents:List*",
                "ssm-sap:GetApplication",
                "ssm-sap:List*",
                "ssm:Describe*",
                "ssm:GetDefaultPatchBaseline",
                "ssm:GetDocument",
                "ssm:GetParameters",
                "ssm:GetPatchBaseline",
                "ssm:GetResourcePolicies",
                "ssm:List*",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers",
                "sso:GetInlinePolicyForPermissionSet",
                "sso:GetManagedApplicationInstance",
                "sso:GetPermissionsBoundaryForPermissionSet",
                "sso:GetSharedSsoConfiguration",
                "sso:ListAccountAssignments",
                "sso:ListApplicationAssignments",
                "sso:ListApplications",
                "sso:ListCustomerManagedPolicyReferencesInPermissionSet",
                "sso:ListInstances",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListTagsForResource",
                "states:Describe*",
                "states:List*",
                "synthetics:Describe*",
                "synthetics:GetCanary",
                "synthetics:GetGroup",
                "synthetics:List*",
                "tag:GetResources",
                "timestream:Describe*",
                "timestream:List*",
                "transfer:Describe*",
                "transfer:List*",
                "verifiedpermissions:GetIdentitySource",
                "verifiedpermissions:GetPolicy",
                "verifiedpermissions:GetPolicyStore",
                "verifiedpermissions:GetPolicyTemplate",
                "verifiedpermissions:GetSchema",
                "verifiedpermissions:List*",
                "vpc-lattice:GetAccessLogSubscription",
                "vpc-lattice:GetAuthPolicy",
                "vpc-lattice:GetListener",
                "vpc-lattice:GetResourcePolicy",
                "vpc-lattice:GetRule",
                "vpc-lattice:GetService",
                "vpc-lattice:GetServiceNetwork",
                "vpc-lattice:GetServiceNetworkServiceAssociation",
                "vpc-lattice:GetServiceNetworkVpcAssociation",
                "vpc-lattice:GetTargetGroup",
                "vpc-lattice:List*",
                "wafv2:GetIPSet",
                "wafv2:GetLoggingConfiguration",
                "wafv2:GetRegexPatternSet",
                "wafv2:GetRuleGroup",
                "wafv2:GetWebACL",
                "wafv2:GetWebACLForResource",
                "wafv2:List*",
                "workspaces-web:GetBrowserSettings",
                "workspaces-web:GetIdentityProvider",
                "workspaces-web:GetNetworkSettings",
                "workspaces-web:GetPortal",
                "workspaces-web:GetPortalServiceProviderMetadata",
                "workspaces-web:GetTrustStore",
                "workspaces-web:GetUserAccessLoggingSettings",
                "workspaces-web:GetUserSettings",
                "workspaces-web:List*",
                "workspaces:Describe*",
                "xray:BatchGetTraces",
                "xray:GetGroup",
                "xray:GetGroups",
                "xray:GetSamplingRules",
                "xray:GetServiceGraph",
                "xray:GetTraceSummaries",
                "xray:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AIOPSS3AccessForAmplify",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::amplify",
                "arn:aws:s3:::cdk--assets--*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ViaAWSService": [
                        "amplify.amazonaws.com"
                    ],
                    "aws:PrincipalAccount": [
                        "${aws:ResourceAccount}"
                    ]
                }
            }
        },
        {
            "Sid": "AIOPSAPIGatewayAccess",
            "Effect": "Allow",
            "Action": [
                "apigateway:GET"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/restapis",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/restapis/*/deployments",
                "arn:aws:apigateway:*::/restapis/*/deployments/*",
                "arn:aws:apigateway:*::/restapis/*/resources/*/methods/*/integrations",
                "arn:aws:apigateway:*::/restapis/*/resources/*/methods/*/integrations/*",
                "arn:aws:apigateway:*::/restapis/*/stages",
                "arn:aws:apigateway:*::/restapis/*/stages/*",
                "arn:aws:apigateway:*::/apis",
                "arn:aws:apigateway:*::/apis/*",
                "arn:aws:apigateway:*::/apis/*/deployments",
                "arn:aws:apigateway:*::/apis/*/deployments/*",
                "arn:aws:apigateway:*::/apis/*/integrations",
                "arn:aws:apigateway:*::/apis/*/integrations/*",
                "arn:aws:apigateway:*::/apis/*/stages",
                "arn:aws:apigateway:*::/apis/*/stages/*"
            ]
        }
    ]
}

AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Application Signals

Die Richtlinien in diesem Abschnitt gewähren Berechtigungen im Zusammenhang mit CloudWatch Application Signals. Weitere Informationen finden Sie unter Application Signals.

CloudWatchApplicationSignalsReadOnlyAccess

AWS hat die CloudWatchApplicationSignalsReadOnlyAccessverwaltete IAM-Richtlinie hinzugefügt. Diese Richtlinie gewährt nur Lesezugriff auf Aktionen und Ressourcen, die Benutzern in der CloudWatch Konsole unter Application Signals zur Verfügung stehen. Sie umfasst application-signals: Richtlinien, mit denen Benutzer CloudWatch Anwendungssignale verwenden können, um den Zustand ihrer Dienste einzusehen, zu untersuchen und zu überwachen. Es enthält eine iam:GetRole Richtlinie, die es Benutzern ermöglicht, Informationen über eine IAM-Rolle abzurufen. Sie umfasst logs: Richtlinien zum Starten und Beenden von Abfragen, zum Abrufen der Konfiguration für einen Metrikfilter und zum Abrufen von Abfrageergebnissen. Es enthält cloudwatch: Richtlinien, mit denen Benutzer Informationen über einen CloudWatch Alarm oder Metriken abrufen können. Es enthält synthetics: Richtlinien, mit denen Benutzer Informationen über Synthetics Canary Runs abrufen können. Es umfasst rum: Richtlinien zum Ausführen von Batch-Vorgängen, zum Abrufen von Daten und zum Aktualisieren von Metrikdefinitionen für RUM-Clients. Es enthält eine xray: Richtlinie zum Abrufen von Trace-Zusammenfassungen.

Im Folgenden finden Sie den Inhalt der CloudWatchApplicationSignalsReadOnlyAccessRichtlinie.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CloudWatchApplicationSignalsReadOnlyAccessPermissions",
			"Effect": "Allow",
			"Action": [
				"application-signals:BatchGetServiceLevelObjectiveBudgetReport",
				"application-signals:GetService",
				"application-signals:GetServiceLevelObjective",
				"application-signals:ListServiceLevelObjectives",
				"application-signals:ListServiceDependencies",
				"application-signals:ListServiceDependents",
				"application-signals:ListServiceOperations",
				"application-signals:ListServices",
				"application-signals:ListTagsForResource"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsGetRolePermissions",
			"Effect": "Allow",
			"Action": "iam:GetRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
		},
		{
			"Sid": "CloudWatchApplicationSignalsLogGroupPermissions",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsLogsPermissions",
			"Effect": "Allow",
			"Action": [
				"logs:StopQuery",
				"logs:GetQueryResults"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsAlarmsReadPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:DescribeAlarms"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsMetricsReadPermissions",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricData",
				"cloudwatch:ListMetrics"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsSyntheticsReadPermissions",
			"Effect": "Allow",
			"Action": [
				"synthetics:DescribeCanaries",
				"synthetics:DescribeCanariesLastRun",
				"synthetics:GetCanaryRuns"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsRumReadPermissions",
			"Effect": "Allow",
			"Action": [
				"rum:BatchGetRumMetricDefinitions",
				"rum:GetAppMonitor",
				"rum:GetAppMonitorData",
				"rum:ListAppMonitors"
			],
			"Resource": "*"
		},
		{
			"Sid": "CloudWatchApplicationSignalsXrayReadPermissions",
			"Effect": "Allow",
			"Action": [
				"xray:GetTraceSummaries"
			],
			"Resource": "*"
		}
	]
}

CloudWatchApplicationSignalsFullAccess

AWS hat die CloudWatchApplicationSignalsFullAccessverwaltete IAM-Richtlinie hinzugefügt. Diese Richtlinie gewährt Zugriff auf alle Aktionen und Ressourcen, die Benutzern in der CloudWatch Konsole zur Verfügung stehen. Sie umfasst application-signals: Richtlinien, mit denen Benutzer CloudWatch Anwendungssignale verwenden können, um den Zustand ihrer Dienste einzusehen, zu untersuchen und zu überwachen. Es verwendet cloudwatch: Richtlinien, um Daten aus Metriken und Alarmen abzurufen. Es verwendet logs: Richtlinien zur Verwaltung von Abfragen und Filtern. Es verwendet synthetics: Richtlinien, damit Benutzer Informationen über Synthetics Canary Runs abrufen können. Es umfasst rum: Richtlinien zum Ausführen von Batch-Vorgängen, zum Abrufen von Daten und zum Aktualisieren von Metrikdefinitionen für RUM-Clients. Es enthält eine xray: Richtlinie zum Abrufen von Trace-Zusammenfassungen. Es enthält arn:aws:cloudwatch:*:*:alarm: Richtlinien, mit denen Benutzer Informationen über einen SLO-Alarm (Service Level Objective) abrufen können. Es umfasst iam: Richtlinien zur Verwaltung von IAM-Rollen. Es verwendet sns: Richtlinien, um ein Amazon SNS SNS-Thema zu erstellen, aufzulisten und zu abonnieren.

Im Folgenden finden Sie den Inhalt der CloudWatchApplicationSignalsFullAccessRichtlinie.


{
 "Version": "2012-10-17",
 "Statement": [
    {
        "Sid": "CloudWatchApplicationSignalsFullAccessPermissions",
        "Effect": "Allow",
        "Action": "application-signals:*",
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsAlarmsPermissions",
        "Effect": "Allow",
        "Action": "cloudwatch:DescribeAlarms",
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsMetricsPermissions",
        "Effect": "Allow",
        "Action": [
            "cloudwatch:GetMetricData",
            "cloudwatch:ListMetrics"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsLogGroupPermissions",
        "Effect": "Allow",
        "Action": [
            "logs:StartQuery"
        ],
        "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsLogsPermissions",
        "Effect": "Allow",
        "Action": [
            "logs:StopQuery",
            "logs:GetQueryResults"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsSyntheticsPermissions",
        "Effect": "Allow",
        "Action": [
            "synthetics:DescribeCanaries",
            "synthetics:DescribeCanariesLastRun",
            "synthetics:GetCanaryRuns"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsRumPermissions",
        "Effect": "Allow",
        "Action": [
            "rum:BatchCreateRumMetricDefinitions",
            "rum:BatchDeleteRumMetricDefinitions",
            "rum:BatchGetRumMetricDefinitions",
            "rum:GetAppMonitor",
            "rum:GetAppMonitorData",
            "rum:ListAppMonitors",
            "rum:PutRumMetricsDestination",
            "rum:UpdateRumMetricDefinition"
        ],
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsXrayPermissions",
        "Effect": "Allow",
        "Action": "xray:GetTraceSummaries",
        "Resource": "*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsPutMetricAlarmPermissions",
        "Effect": "Allow",
        "Action": "cloudwatch:PutMetricAlarm",
        "Resource": [
            "arn:aws:cloudwatch:*:*:alarm:SLO-AttainmentGoalAlarm-*",
            "arn:aws:cloudwatch:*:*:alarm:SLO-WarningAlarm-*",
            "arn:aws:cloudwatch:*:*:alarm:SLI-HealthAlarm-*"
        ]
    },
    {
        "Sid": "CloudWatchApplicationSignalsCreateServiceLinkedRolePermissions",
        "Effect": "Allow",
        "Action": "iam:CreateServiceLinkedRole",
        "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals",
        "Condition": {
            "StringLike": {
                "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com"
            }
        }
    },
    {
        "Sid": "CloudWatchApplicationSignalsGetRolePermissions",
        "Effect": "Allow",
        "Action": "iam:GetRole",
        "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
    },
    {
        "Sid": "CloudWatchApplicationSignalsSnsWritePermissions",
        "Effect": "Allow",
        "Action": [
            "sns:CreateTopic",
            "sns:Subscribe"
        ],
        "Resource": "arn:aws:sns:*:*:cloudwatch-application-signals-*"
    },
    {
        "Sid": "CloudWatchApplicationSignalsSnsReadPermissions",
        "Effect": "Allow",
        "Action": "sns:ListTopics",
        "Resource": "*"
    }
 ]
}

CloudWatchLambdaApplicationSignalsExecutionRolePolicy

Diese Richtlinie wird verwendet, wenn CloudWatch Application Signals für Lambda-Workloads aktiviert ist. Es ermöglicht den Schreibzugriff auf X-Ray und die von CloudWatch Application Signals verwendete Protokollgruppe.

Im Folgenden finden Sie den Inhalt der CloudWatchLambdaApplicationSignalsExecutionRolePolicyRichtlinie.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CloudWatchApplicationSignalsXrayWritePermissions",
			"Effect": "Allow",
			"Action": [
				"xray:PutTraceSegments"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CloudWatchApplicationSignalsLogGroupWritePermissions",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup",
				"logs:CreateLogStream",
				"logs:PutLogEvents"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Synthetics

Die CloudWatchSyntheticsFullAccessund CloudWatchSyntheticsReadOnlyAccess AWS verwalteten Richtlinien können Sie Benutzern zuweisen, die CloudWatch Synthetics verwalten oder verwenden. Die folgenden zusätzlichen Richtlinien sind ebenfalls relevant:

AmazonS3 ReadOnlyAccess und CloudWatchReadOnlyAccess— Diese sind erforderlich, um alle Synthetics-Daten in der Konsole zu lesen. CloudWatch
AWSLambdaReadOnlyAccess— Erforderlich, um den von Canaries verwendeten Quellcode anzuzeigen.

CloudWatchSyntheticsFullAccess— Ermöglicht das Erstellen von Kanarienvögeln. Um Canaries zu erstellen und zu löschen, für die eine neue IAM-Rolle erstellt wurde, benötigen Sie außerdem die folgende Inline-Richtlinienanweisung:


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "synthetics:*"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":[
            "arn:aws:s3:::cw-syn-results-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:ListRoles",
            "s3:ListAllMyBuckets",
            "s3:GetBucketLocation",
            "xray:GetTraceSummaries",
            "xray:BatchGetTraces",
            "apigateway:GET"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject",
            "s3:ListBucket"
         ],
         "Resource":"arn:aws:s3:::cw-syn-*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersion"
         ],
         "Resource":"arn:aws:s3:::aws-synthetics-library-*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":[
            "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
         ],
         "Condition":{
            "StringEquals":{
               "iam:PassedToService":[
                  "lambda.amazonaws.com",
                  "synthetics.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:GetRole"
         ],
         "Resource":[
            "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "cloudwatch:GetMetricData",
            "cloudwatch:GetMetricStatistics"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "cloudwatch:PutMetricAlarm",
            "cloudwatch:DeleteAlarms"
         ],
         "Resource":[
            "arn:aws:cloudwatch:*:*:alarm:Synthetics-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "cloudwatch:DescribeAlarms"
         ],
         "Resource":[
            "arn:aws:cloudwatch:*:*:alarm:*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "lambda:CreateFunction",
            "lambda:AddPermission",
            "lambda:PublishVersion",
            "lambda:UpdateFunctionConfiguration",
            "lambda:GetFunctionConfiguration"
         ],
         "Resource":[
            "arn:aws:lambda:*:*:function:cwsyn-*"
         ]
      },
      {
          "Effect": "Allow",
          "Action": [
            "lambda:GetLayerVersion",
            "lambda:PublishLayerVersion",
            "lambda:DeleteLayerVersion"
          ],
         "Resource": [
            "arn:aws:lambda:*:*:layer:cwsyn-*",
            "arn:aws:lambda:*:*:layer:Synthetics:*",
            "arn:aws:lambda:*:*:layer:Synthetics_Selenium:*",
            "arn:aws:lambda:*:*:layer:AWS-CW-Synthetics*:*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sns:ListTopics"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sns:CreateTopic",
            "sns:Subscribe",
            "sns:ListSubscriptionsByTopic"
         ],
         "Resource":[
            "arn:*:sns:*:*:Synthetics-*"
         ]
      }
   ]
}

Wichtig

Wenn Sie einem Benutzer die iam:DetachRolePolicy Berechtigungen iam:CreateRoleiam:DeleteRole,iam:CreatePolicy,iam:DeletePolicy, und gewähreniam:AttachRolePolicy, erhält dieser Benutzer vollen Administratorzugriff, um Rollen und Richtlinien zu erstellen, anzuhängen und zu löschen, ARNs die mit und übereinstimmenarn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*. arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy* Beispielsweise kann ein Benutzer mit diesen Berechtigungen eine Richtlinie erstellen, die über vollständige Berechtigungen für alle Ressourcen verfügt, und diese Richtlinie an eine beliebige Rolle anhängen, die mit diesem ARN-Muster übereinstimmt. Seien Sie vorsichtig, wem Sie diese Berechtigungen gewähren.

Informationen zum Anhängen von Richtlinien und zum Erteilen von Berechtigungen für Benutzer finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer und So betten Sie eine Inline-Richtlinie für einen Benutzer oder eine Rolle ein.

CloudWatchSyntheticsFullAccess

Im Folgenden finden Sie den Inhalt der CloudWatchSyntheticsFullAccessRichtlinie.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "synthetics:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::cw-syn-results-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "s3:ListAllMyBuckets",
                "xray:GetTraceSummaries",
                "xray:BatchGetTraces",
                "apigateway:GET"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::cw-syn-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::aws-synthetics-library-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "lambda.amazonaws.com",
                        "synthetics.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DeleteAlarms"
            ],
            "Resource": [
                "arn:aws:cloudwatch:*:*:alarm:Synthetics-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms"
            ],
            "Resource": [
                "arn:aws:cloudwatch:*:*:alarm:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:GetLogRecord",
                "logs:DescribeLogStreams",
                "logs:StartQuery",
                "logs:GetLogEvents",
                "logs:FilterLogEvents",
                "logs:GetLogGroupFields"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/lambda/cwsyn-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:CreateFunction",
                "lambda:AddPermission",
                "lambda:PublishVersion",
                "lambda:UpdateFunctionCode",
                "lambda:UpdateFunctionConfiguration",
                "lambda:GetFunctionConfiguration",
                "lambda:GetFunction",
                "lambda:DeleteFunction",
                "lambda:ListTags",
                "lambda:TagResource",
                "lambda:UntagResource"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:cwsyn-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:GetLayerVersion",
                "lambda:PublishLayerVersion",
                "lambda:DeleteLayerVersion"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:layer:cwsyn-*",
                "arn:aws:lambda:*:*:layer:Synthetics:*",
                "arn:aws:lambda:*:*:layer:Synthetics_Selenium:*",
                "arn:aws:lambda:*:*:layer:AWS-CW-Synthetics*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic",
                "sns:Subscribe",
                "sns:ListSubscriptionsByTopic"
            ],
            "Resource": [
                "arn:*:sns:*:*:Synthetics-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "s3.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

CloudWatchSyntheticsReadOnlyAccess

Das Folgende ist der Inhalt der CloudWatchSyntheticsReadOnlyAccessRichtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "synthetics:Describe*",
                "synthetics:Get*",
                "synthetics:List*",
                "lambda:GetFunctionConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete (vordefinierte) Richtlinien für Amazon CloudWatch RUM

Sie AmazonCloudWatchRUMFullkönnen die Zugriffsrichtlinien und die AmazonCloudWatchRUMReadOnlyAccess AWS verwalteten Richtlinien Benutzern zuweisen, die CloudWatch RUM verwalten oder verwenden.

AmazonCloudWatchRUMFullZugriff

Im Folgenden finden Sie den Inhalt der AmazonCloudWatchRUMFullZugriffsrichtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rum:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/RUM-Monitor*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "cognito-identity.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms"
            ],
            "Resource": "arn:aws:cloudwatch:*:*:alarm:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cognito-identity:CreateIdentityPool",
                "cognito-identity:ListIdentityPools",
                "cognito-identity:DescribeIdentityPool",
                "cognito-identity:GetIdentityPoolRoles",
                "cognito-identity:SetIdentityPoolRoles"
            ],
            "Resource": "arn:aws:cognito-identity:*:*:identitypool/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:DeleteLogGroup",
                "logs:PutRetentionPolicy",
                "logs:CreateLogStream"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:*RUMService*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group::log-stream:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "synthetics:describeCanaries",
                "synthetics:describeCanariesLastRun"
            ],
            "Resource": "arn:aws:synthetics:*:*:canary:*"
        }
    ]
}

AmazonCloudWatchRUMReadOnlyAccess

Das AmazonCloudWatchRUMReadOnlyAccessermöglicht einen schreibgeschützten Administratorzugriff auf CloudWatch RUM.

Die synthetics Berechtigung ermöglicht die Anzeige der zugehörigen Synthetics Canaries auf dem RUM-App-Monitor
Die cloudwatch Berechtigung ermöglicht die Anzeige der zugehörigen CloudWatch Metriken im RUM-App-Monitor
Die cloudwatch alarms Berechtigung ermöglicht die Anzeige der zugehörigen CloudWatch Alarme im RUM-App-Monitor
Die cloudwatch logs Berechtigung ermöglicht die Anzeige der zugehörigen CloudWatch Protokolle im RUM-App-Monitor
Die x-ray Berechtigung ermöglicht die Anzeige zugeordneter X-Ray-Trace-Segmente auf dem RUM-App-Monitor
Die rum Berechtigung ermöglicht die Anzeige der zugehörigen Tags auf dem RUM-App-Monitor

Im Folgenden finden Sie den Inhalt der AmazonCloudWatchRUMReadOnlyAccessRichtlinie.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "rum:GetAppMonitor",
                "rum:GetAppMonitorData",
                "rum:ListAppMonitors",
                "rum:ListRumMetricsDestinations",
                "rum:BatchGetRumMetricDefinitions",
                "rum:GetResourcePolicy",
                "rum:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "synthetics:describeCanariesLastRun",
                "synthetics:describeCanaries"
            ],
            "Resource": "arn:aws:synthetics:*:*:canary:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms"
            ],
            "Resource": "arn:aws:cloudwatch:*:*:alarm:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group::log-stream:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "xray:GetTraceSummaries"
            ],
            "Resource": "*"
        }
    ]
}

AmazonCloudWatchRUMServiceRolePolicy

Sie können AmazonCloudWatchRUMServiceRolePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es CloudWatch RUM ermöglicht, Überwachungsdaten für andere relevante AWS Dienste zu veröffentlichen. Weitere Informationen zu dieser serviceverknüpften Rolle finden Sie unter Verwendung von serviceverknüpften Rollen für RUM CloudWatch.

Der vollständige Inhalt von AmazonCloudWatchRUMServiceRolePolicylautet wie folgt.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"xray:PutTraceSegments"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"cloudwatch:namespace": [
						"RUM/CustomMetrics/*",
						"AWS/RUM"
					]
				}
			}
		}
	]
}

AWS verwaltete (vordefinierte) Richtlinien für CloudWatch Evidently

Die CloudWatchEvidentlyFullAccessund CloudWatchEvidentlyReadOnlyAccess AWS verwalteten Richtlinien stehen Ihnen zur Verfügung, damit Sie sie Benutzern zuweisen können, die CloudWatch Evidently verwalten oder verwenden werden.

CloudWatchEvidentlyFullAccess

Im Folgenden finden Sie den Inhalt der CloudWatchEvidentlyFullAccessRichtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "evidently:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms",
                "cloudwatch:TagResource",
                "cloudwatch:UnTagResource"
            ],
            "Resource": [
                "arn:aws:cloudwatch:*:*:alarm:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm"
            ],
            "Resource": [
                "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:CreateTopic",
                "sns:Subscribe",
                "sns:ListSubscriptionsByTopic"
            ],
            "Resource": [
                "arn:*:sns:*:*:Evidently-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

CloudWatchEvidentlyReadOnlyAccess

Im Folgenden finden Sie den Inhalt der CloudWatchEvidentlyReadOnlyAccessRichtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "evidently:GetExperiment",
                "evidently:GetFeature",
                "evidently:GetLaunch",
                "evidently:GetProject",
                "evidently:GetSegment",
                "evidently:ListExperiments",
                "evidently:ListFeatures",
                "evidently:ListLaunches",
                "evidently:ListProjects",
                "evidently:ListSegments",
                "evidently:ListSegmentReferencs"                               
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie für AWS Systems Manager Incident Manager

Die AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicyRichtlinie ist einer dienstbezogenen Rolle zugeordnet, die es ermöglicht, in Ihrem Namen Incidents in AWS Systems Manager Incident Manager CloudWatch zu starten. Weitere Informationen finden Sie unter Dienstbezogene Rollenberechtigungen für CloudWatch Alarme Systems Manager Incident Manager-Aktionen.

Die Richtlinie hat die folgende Berechtigung:

SSM-Vorfälle: StartIncident

Beispiele für vom Kunden verwaltete Richtlinien

In diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene CloudWatch -Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie die CloudWatch API oder AWS SDKs die verwenden AWS CLI.

Beispiele

Beispiel 1: Erlauben Sie dem Benutzer vollen Zugriff auf CloudWatch
Beispiel 2: Erlauben Sie den schreibgeschützten Zugriff auf CloudWatch
Beispiel 3: Stoppen oder beenden Sie eine EC2 Amazon-Instance

Beispiel 1: Erlauben Sie dem Benutzer vollen Zugriff auf CloudWatch

Um einem Benutzer vollen Zugriff auf zu gewähren CloudWatch, können Sie „Gewähren Sie ihm die CloudWatchFullAccessverwaltete Richtlinie“ verwenden, anstatt eine vom Kunden verwaltete Richtlinie zu erstellen. Der Inhalt von ist CloudWatchFullAccessunter aufgeführt. CloudWatchFullAccess

Beispiel 2: Erlauben Sie den schreibgeschützten Zugriff auf CloudWatch

Die folgende Richtlinie ermöglicht Benutzern nur Lesezugriff auf Amazon EC2 Auto Scaling Scaling-Aktionen, CloudWatch -Metriken, CloudWatch Protokolldaten und alarmbezogene Amazon SNS SNS-Daten. CloudWatch


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "logs:Get*",
        "logs:Describe*",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:TestMetricFilter",
        "logs:FilterLogEvents",
        "logs:StartLiveTail",
        "logs:StopLiveTail",
        "sns:Get*",
        "sns:List*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Beispiel 3: Stoppen oder beenden Sie eine EC2 Amazon-Instance

Die folgende Richtlinie ermöglicht eine CloudWatch Alarmaktion zum Stoppen oder Beenden einer EC2 Instance. Im Beispiel unten sind die DescribeAlarms Aktionen GetMetricData ListMetrics, und optional. Es wird empfohlen, dass Sie diese Aktionen einfügen, um sicherzustellen, dass Sie die Instance ordnungsgemäß angehalten oder beendet haben.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:GetMetricData",
        "cloudwatch:ListMetrics",
        "cloudwatch:DescribeAlarms"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

CloudWatch Aktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien CloudWatch seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Abonnieren Sie den RSS-Feed auf der Seite CloudWatch Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung	Beschreibung	Datum
AIOpsConsoleAdminPolicy— Aktualisierte Richtlinie	CloudWatch Die AIOpsConsoleAdminPolicyRichtlinie wurde aktualisiert, sodass Ermittlungsgruppen kontenübergreifend validiert werden können. Diese Richtlinie gewährt Benutzern Zugriff auf CloudWatch Ermittlungsaktionen und auf zusätzliche AWS Aktionen, die für den Zugriff auf Ermittlungsereignisse erforderlich sind.	13. Juni 2025
AIOpsOperatorAccess— Aktualisierte Richtlinie	CloudWatch Die AIOpsOperatorAccessRichtlinie wurde aktualisiert, sodass Ermittlungsgruppen kontenübergreifend validiert werden können. Diese Richtlinie gewährt Benutzern Zugriff auf CloudWatch Ermittlungsaktionen und auf zusätzliche AWS Aktionen, die für den Zugriff auf Ermittlungsereignisse erforderlich sind.	13. Juni 2025
AIOpsAssistantPolicy— Aktualisierungen der bestehenden Richtlinie	CloudWatch hat die AIOpsAssistantPolicyIAM-Richtlinie aktualisiert. Es wurden Berechtigungen hinzugefügt, die es CloudWatch Application Insights Operational Investigations ermöglichen, bei Untersuchungen nach Informationen in Ihren Ressourcen zu suchen. Die folgenden Berechtigungen wurden hinzugefügt: `appsync:GetGraphqlApiappsync:GetDataSource`,`iam:ListAttachedRolePolicies`,`iam:ListRolePolicies`, und `iam:ListRoles` Darüber hinaus wurde die `elastic-inference:Describe*` Berechtigung aus der Richtlinie entfernt.	13. Juni 2025
AmazonCloudWatchRUMReadOnlyAccess— Aktualisierte Richtlinie	CloudWatch der AmazonCloudWatchRUMReadOnlyAccessRichtlinie wurden Berechtigungen hinzugefügt. Das `synthetics: describeCanaries` und `synthetics:describeCanariesLastRun` wurde hinzugefügt, damit CloudWatch RUM zugehörige Synthetics Canaries auf dem RUM-App-Monitor anzeigen kann. Das `cloudwatch:GetMetricData` wurde hinzugefügt, damit CloudWatch RUM zugehörige CloudWatch Metriken im RUM-App-Monitor anzeigen kann. Das `cloudwatch:DescribeAlarms` wurde hinzugefügt, damit CloudWatch RUM zugehörige CloudWatch Alarme im RUM-App-Monitor anzeigen kann. Das `logs:DescribeLogGroups` wurde hinzugefügt, damit CloudWatch RUM zugehörige CloudWatch Protokolle im RUM-App-Monitor anzeigen kann. Das `xray:GetTraceSummaries` wurde hinzugefügt, damit CloudWatch RUM zugehörige X-Ray-Trace-Segmente auf dem RUM-App-Monitor anzeigen kann. Das `rum:ListTagsForResources` wurde hinzugefügt, damit CloudWatch RUM zugehörige Tags im RUM-App-Monitor anzeigen kann.	28. Juni 2025
AmazonCloudWatchRUMReadOnlyAccess— Aktualisierte Richtlinie	CloudWatch hat der AmazonCloudWatchRUMReadOnlyAccessRichtlinie eine Genehmigung hinzugefügt. Die `rum:GetResourcePolicy` Berechtigung wurde hinzugefügt, damit CloudWatch RUM die dem RUM-Anwendungsmonitor zugeordnete Ressourcenrichtlinie einsehen kann.	28. April 2025
AIOpsConsoleAdminPolicy – Neue Richtlinie	CloudWatch hat eine neue Richtlinie mit dem Namen erstellt AIOpsConsoleAdminPolicy. Diese Richtlinie gewährt Benutzern vollen Administratorzugriff für die Verwaltung von CloudWatch Untersuchungen, einschließlich der Verwaltung der Verbreitung vertrauenswürdiger Identitäten, der Verwaltung von IAM Identity Center und des organisatorischen Zugriffs.	3. Dezember 2024
AIOpsOperatorAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie mit dem Namen erstellt AIOpsOperatorAccess. Diese Richtlinie gewährt Benutzern Zugriff auf CloudWatch Ermittlungsaktionen und auf zusätzliche AWS Aktionen, die für den Zugriff auf Ermittlungsereignisse erforderlich sind.	3. Dezember 2024
AIOpsReadOnlyAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie mit dem Namen erstellt AIOpsReadOnlyAccess. Diese Richtlinie gewährt einem Benutzer nur Leseberechtigungen für Amazon AI Operations und andere verwandte Dienste.	3. Dezember 2024
AIOpsAssistantPolicy – Neue Richtlinie	CloudWatch hat eine neue Richtlinie mit dem Namen erstellt AIOpsAssistantPolicy. Sie weisen diese Richtlinie keinem Benutzer zu. Sie weisen diese Richtlinie dem Amazon AI Operations-Assistenten zu, damit CloudWatch Ermittlungen Ihre AWS Ressourcen bei der Untersuchung betrieblicher Ereignisse analysieren können.	3. Dezember 2024
CloudWatchFullAccessV2 — Aktualisierungen vorhandener Richtlinien	CloudWatch sowohl CloudWatchFullAccessV2 als auch aktualisiert CloudWatchFullAccess. Für einige Funktionen Amazon OpenSearch Service wurden Berechtigungen für hinzugefügt, um die Integration von CloudWatch Logs in den OpenSearch Service zu ermöglichen.	01. Dezember 2024
CloudWatchNetworkFlowMonitorServiceRolePolicy – Neue Richtlinie	CloudWatch hat eine neue Richtlinie hinzugefügt CloudWatchNetworkFlowMonitorServiceRolePolicy. Das CloudWatchNetworkFlowMonitorServiceRolePolicygewährt Network Flow Monitor die Erlaubnis, Metriken zu veröffentlichen CloudWatch. Es ermöglicht dem Dienst auch, Informationen für Szenarien mit mehreren Konten abzurufen. AWS Organizations	01. Dezember 2024
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy – Neue Richtlinie	CloudWatch hat eine neue Richtlinie CloudWatchNetworkFlowMonitorTopologyServiceRolePolicyhinzugefügt. Das CloudWatchNetworkFlowMonitorTopologyServiceRolePolicygewährt Network Flow Monitor die Erlaubnis, Topologie-Snapshots der in Ihrem Konto verwendeten Ressourcen zu erstellen.	01. Dezember 2024
CloudWatchNetworkFlowMonitorAgentPublishPolicy – Neue Richtlinie	CloudWatch hat eine neue Richtlinie hinzugefügt. CloudWatchNetworkFlowMonitorAgentPublishPolicy Das CloudWatchNetworkFlowMonitorAgentPublishPolicygewährt Ressourcen wie Amazon EC2 - und Amazon EKS-Instances Berechtigungen zum Senden von Telemetrieberichten (Metriken) an einen Network Flow Monitor-Endpunkt.	01. Dezember 2024
CloudWatchSyntheticsFullAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat die Richtlinie mit dem Namen CloudWatchSyntheticsFullAccessaktualisiert. Die folgenden CloudWatch Logs-Aktionen wurden hinzugefügt, damit CloudWatch Synthetics Canary-Log-Daten in Lambda-Protokollgruppen abrufen und verwenden kann. Die `lambda:GetFunction` Erlaubnis wurde auch hinzugefügt, damit Synthetics Informationen über eine bestimmte Funktion abrufen kann. `logs:GetLogRecord`— Erforderlich, um einen Protokolleintrag in CloudWatch Logs Insights zu erweitern. (Erforderlich, um Protokolle in der Synthetics-Konsole anzuzeigen.) `logs:DescribeLogStreams`— Erforderlich, um alle Protokollstreams in einer Protokollgruppe aufzulisten. `logs:StartQuery`— Erforderlich, um eine Logs Insights-Abfrage zu starten (in der Synthetics-Konsole erforderlich, um Protokolle anzuzeigen). `logs:GetLogEvents` – Erforderlich, um Protokollereignisse aus dem angegebenen Protokollstream aufzulisten. Wird für die Abfrage eines bestimmten Protokolldatenstroms in einer Protokollgruppe verwendet. `logs:FilterLogEvents`— Erforderlich, um Logs in der Log-Gruppe eines Canary anzusehen. `logs:GetLogGroupFields`— Erforderlich für die Ausführung einer Logs Insights-Abfrage in der Konsole. (Die Synthetics-Konsole ist mit der Logs Insights-Abfrage verknüpft. Ohne diese Berechtigung schlagen Logs Insights-Abfragen für eine Protokollgruppe fehl.) Darüber hinaus gelten die Aktionen der Lambda-Layer-Version jetzt für alle CloudWatch Synthetics-Layer. ARNs	20. November 2024
CloudWatchInternetMonitorReadOnlyAccess— Neu. CloudWatchInternetMonitorReadOnlyAccess Diese Richtlinie gewährt nur Lesezugriff auf Ressourcen und Aktionen, die in der CloudWatch Konsole für Internet Monitor verfügbar sind. Zum Geltungsbereich dieser Richtlinie gehört auch, `internetmonitor:` dass Benutzer nur lesbare Internet Monitor-Aktionen und -Ressourcen verwenden können. Sie umfasst einige `cloudwatch:` Richtlinien zum Abrufen von Informationen zu Messwerten. CloudWatch Es enthält einige `logs:` Richtlinien zur Verwaltung von Protokollabfragen.	14. November 2024
CloudWatchInternetMonitorFullAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie mit dem Namen erstellt CloudWatchInternetMonitorFullAccess. Diese Richtlinie gewährt vollen Zugriff auf Ressourcen und Aktionen, die in der CloudWatch Konsole für Internet Monitor verfügbar sind. Zum Geltungsbereich dieser Richtlinie gehört, `internetmonitor:` dass Benutzer Internet Monitor-Aktionen und -Ressourcen verwenden können. Sie umfasst einige `cloudwatch:` Richtlinien zum Abrufen von Informationen zu CloudWatch Alarmen und Messwerten. Es enthält einige `logs:` Richtlinien zur Verwaltung von Protokollabfragen. Es enthält einige`ec2:`, `cloudfront:elasticloadbalancing:`, und `workspaces:` Richtlinien für die Arbeit mit Ressourcen, die Sie Monitoren hinzufügen, sodass Internet Monitor ein Verkehrsprofil für Ihre Anwendung erstellen kann. Es enthält einige `iam:` Richtlinien zur Verwaltung von IAM-Rollen.	23. Oktober 2024
CloudWatchLambdaApplicationSignalsExecutionRolePolicy— Neu CloudWatchLambdaApplicationSignalsExecutionRolePolicy. Diese Richtlinie wird verwendet, wenn CloudWatch Application Signals für Lambda-Workloads aktiviert ist. Es ermöglicht den Schreibzugriff auf X-Ray und die von CloudWatch Application Signals verwendete Protokollgruppe.	16. Oktober 2024
CloudWatchSyntheticsFullAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat die Richtlinie mit dem Namen aktualisiert CloudWatchSyntheticsFullAccess. Die `lambda:UntagResource` Berechtigungen `lambda:ListTagslambda:TagResource`, und wurden hinzugefügt, sodass Sie beim Anwenden oder Ändern von Tags auf einem Canary festlegen können, dass Synthetics dieselben Tags oder Änderungen auch auf die Lambda-Funktion anwendet, die der Canary verwendet.	11. Oktober 2024
CloudWatchApplicationSignalsReadOnlyAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie mit dem Namen erstellt. CloudWatchApplicationSignalsReadOnlyAccess Diese Richtlinie gewährt nur Lesezugriff auf Ressourcen und Aktionen, die in der CloudWatch Konsole für Application Signals verfügbar sind. Der Geltungsbereich dieser Richtlinie umfasst `application-signals:` Richtlinien, sodass Benutzer schreibgeschützte Aktionen und Ressourcen verwenden können, die in der CloudWatch Konsole unter Application Signals verfügbar sind. Sie enthält eine `iam:` Richtlinie zur Verwaltung von IAM-Rollen. Sie enthält einige `logs:` Richtlinien zur Verwaltung von Protokollabfragen und Filtern. Es enthält `cloudwatch:` Richtlinien zum Abrufen von Informationen zu CloudWatch Alarmen und Messwerten. Es enthält einige `synthetics:` Richtlinien zum Abrufen von Informationen über synthetische Kanarienvögel. Es enthält `rum:` Richtlinien zur Verwaltung von RUM-Clients und -Aufträgen. Es enthält eine `xray:` Richtlinie zum Abrufen von Trace-Zusammenfassungen.	7. Juni 2024
CloudWatchApplicationSignalsFullAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie mit dem Namen erstellt CloudWatchApplicationSignalsFullAccess. Diese Richtlinie gewährt vollen Zugriff auf Ressourcen und Aktionen, die in der CloudWatch Konsole für Application Signals verfügbar sind. Zum Geltungsbereich dieser Richtlinie gehört, `application-signals:` dass Benutzer Application Signals Aktionen und Ressourcen nutzen können. Sie umfasst einige `cloudwatch:` Richtlinien zum Abrufen von Informationen zu CloudWatch Alarmen und Messwerten. Es enthält einige `logs:` Richtlinien zur Verwaltung von Protokollabfragen. Es enthält einige `synthetics:` Richtlinien zum Schreiben und Abrufen von Informationen über synthetische Kanarienvögel. Es enthält `rum:` Richtlinien zur Verwaltung von RUM-Clients und -Jobs. Es enthält eine `xray:` Richtlinie zum Abrufen von Trace-Zusammenfassungen. Es enthält einige `cloudwatch:` Richtlinien zur Verwaltung von CloudWatch Alarmen. Es enthält einige `iam:` Richtlinien zur Verwaltung von IAM-Rollen. Es enthält einige `sns:` Richtlinien zur Verwaltung von Amazon Simple Notification Service-Benachrichtigungen.	7. Juni 2024
CloudWatchFullAccessV2 — Aktualisierung einer bestehenden Richtlinie	CloudWatch hat die Richtlinie mit dem Namen CloudWatchFullAccessV2 aktualisiert. Der Geltungsbereich der `CloudWatchFullAccessPermissions` Richtlinie wurde dahingehend aktualisiert, dass Benutzer nun CloudWatch Application Signals verwenden können, um Probleme mit dem Zustand ihrer Dienste einzusehen, zu untersuchen und zu diagnostizieren. `application-signals:*`	20. Mai 2024
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat die Richtlinie mit dem Namen aktualisiert CloudWatchReadOnlyAccess. Der Geltungsbereich der `CloudWatchReadOnlyAccessPermissions` Richtlinie wurde dahingehend aktualisiert `application-signals:BatchGetapplication-signals:List`, dass Benutzer CloudWatch Anwendungssignale verwenden können, um Probleme mit dem Zustand ihrer Dienste einzusehen, zu untersuchen und zu diagnostizieren. `application-signals:Get*` Der Geltungsbereich von `CloudWatchReadOnlyGetRolePermissions` wurde um die `iam:GetRole` Aktion erweitert, sodass Benutzer überprüfen können, ob CloudWatch Application Signals eingerichtet ist.	20. Mai 2024
CloudWatchApplicationSignalsServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat die Richtlinie mit dem Namen aktualisiert CloudWatchApplicationSignalsServiceRolePolicy. Der Geltungsbereich der `logs:GetQueryResults` Berechtigungen `logs:StartQuery` und wurde geändert, um die Anwendungssignale hinzuzufügen `arn:aws:logs:::log-group:/aws/appsignals/:` und sie auf mehr Architekturen `arn:aws:logs:::log-group:/aws/application-signals/data:*` ARNs zu aktivieren.	18. April 2024
CloudWatchApplicationSignalsServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat den Umfang einer Genehmigung in geändert CloudWatchApplicationSignalsServiceRolePolicy. Der Umfang der `cloudwatch:GetMetricData` Genehmigung wurde dahingehend geändert, `*` dass Application Signals Messwerte aus Quellen verknüpfter Konten abrufen kann.	08. April 2024
CloudWatchAgentServerPolicy – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat Berechtigungen zu hinzugefügt CloudWatchAgentServerPolicy. Die `logs:PutRetentionPolicy` Berechtigungen `xray:PutTraceSegmentsxray:PutTelemetryRecords`, `xray:GetSamplingRulesxray:GetSamplingTargets`, `xray:GetSamplingStatisticSummaries` und wurden hinzugefügt, sodass der CloudWatch Agent X-Ray-Traces veröffentlichen und die Aufbewahrungsfristen für Protokollgruppen ändern kann.	12. Februar 2024
CloudWatchAgentAdminPolicy – Aktualisierung auf eine bestehende Richtlinie	CloudWatch Berechtigungen wurden hinzugefügt zu CloudWatchAgentAdminPolicy. Die `logs:PutRetentionPolicy` Berechtigungen `xray:PutTraceSegmentsxray:PutTelemetryRecords`, `xray:GetSamplingRulesxray:GetSamplingTargets`, `xray:GetSamplingStatisticSummaries` und wurden hinzugefügt, sodass der CloudWatch Agent X-Ray-Traces veröffentlichen und die Aufbewahrungsfristen für Protokollgruppen ändern kann.	12. Februar 2024
CloudWatchFullAccessV2 — Aktualisierung einer bestehenden Richtlinie	CloudWatch Berechtigungen zu CloudWatchFullAccessV2 hinzugefügt. Bestehende Berechtigungen für CloudWatch Synthetics-, X-Ray- und CloudWatch RUM-Aktionen sowie neue Berechtigungen für CloudWatch Application Signals wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie CloudWatch Application Signals verwalten können. Die Berechtigung zum Erstellen der dienstbezogenen Rolle „ CloudWatch Application Signals“ wurde hinzugefügt, damit CloudWatch Application Signals Telemetriedaten in Logs, Metriken, Traces und Tags ermitteln kann.	05. Dezember 2023
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch Berechtigungen wurden hinzugefügt zu. CloudWatchReadOnlyAccess Bestehende Nur-Lese-Berechtigungen für CloudWatch Synthetics-, X-Ray- und CloudWatch RUM-Aktionen sowie neue Nur-Lese-Berechtigungen für CloudWatch Application Signals wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie ihre von Application Signals gemeldeten Dienstintegritätsprobleme analysieren und diagnostizieren können. CloudWatch Die `cloudwatch:GenerateQuery` Berechtigung wurde hinzugefügt, damit Benutzer mit dieser Richtlinie aus einer Aufforderung in natürlicher Sprache eine CloudWatch Metrics Insights-Abfragezeichenfolge generieren können.	05. Dezember 2023
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie.	CloudWatch hat eine Berechtigung zu hinzugefügt CloudWatchReadOnlyAccess. Die `cloudwatch:GenerateQuery` Berechtigung wurde hinzugefügt, sodass Benutzer mit dieser Richtlinie aus einer Aufforderung in natürlicher Sprache eine CloudWatch Metrics Insights-Abfragezeichenfolge generieren können.	01. Dezember 2023
CloudWatchApplicationSignalsServiceRolePolicy – Neue Richtlinie	CloudWatch hat eine neue Richtlinie hinzugefügt CloudWatchApplicationSignalsServiceRolePolicy. Das CloudWatchApplicationSignalsServiceRolePolicygewährt einer kommenden Funktion Berechtigungen zum Sammeln von CloudWatch Logdaten, X-Ray-Trace-Daten, CloudWatch Metrikdaten und Tagging-Daten.	9. November 2023
AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy – Neue Richtlinie	CloudWatch hat eine neue Richtlinie AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicyhinzugefügt. Das AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicyerteilt die Erlaubnis, in CloudWatch Ihrem Namen Performance Insights Insights-Metriken aus Datenbanken abzurufen.	20. September 2023
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat eine Erlaubnis zu CloudWatchReadOnlyAccesshinzugefügt. Die `application-autoscaling:DescribeScalingPolicies`-Berechtigung wurde hinzugefügt, damit Benutzer mit dieser Richtlinie auf Informationen über Richtlinien für Application Auto Scaling zugreifen können.	14. September 2023
CloudWatchFullAccessV2 — Neue Richtlinie	CloudWatch hat eine neue Richtlinie CloudWatchFullAccessV2 hinzugefügt. Die CloudWatchFullAccessV2 gewährt vollen Zugriff auf CloudWatch Aktionen und Ressourcen und begrenzt gleichzeitig den Umfang der Berechtigungen, die anderen Diensten wie Amazon SNS und gewährt wurden. Amazon EC2 Auto ScalingWeitere Informationen finden Sie unter V2. CloudWatchFullAccess	1. August 2023
AWSServiceRoleForInternetMonitor – Aktualisierung auf eine bestehende Richtlinie	Amazon CloudWatch Internet Monitor hat neue Berechtigungen zur Überwachung von Network Load Balancer Balancer-Ressourcen hinzugefügt. Die Berechtigungen `elasticloadbalancing:DescribeLoadBalancers` und `ec2:DescribeNetworkInterfaces` sind erforderlich, damit Internet Monitor den Datenverkehr des Network Load Balancers der Kunden überwachen kann, indem es die Flussprotokolle für NLB-Ressourcen analysiert. Weitere Informationen finden Sie unter Verwenden von Internet Monitor.	15. Juli 2023
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat Berechtigungen für hinzugefügt. CloudWatchReadOnlyAccess Die `logs:StopLiveTail` Berechtigungen `logs:StartLiveTail` und wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um CloudWatch Logs-Live-Tail-Sitzungen zu starten und zu beenden. Weitere Informationen finden Sie unter Use live tail to view logs in near real time.	6. Juni 2023
CloudWatchCrossAccountSharingConfiguration – Neue Richtlinie	CloudWatch hat eine neue Richtlinie hinzugefügt, mit der Sie CloudWatch kontoübergreifende Observability-Links verwalten können, die Metriken teilen CloudWatch . Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit.	27. November 2022
OAMFullZugriff — Neue Richtlinie	CloudWatch Es wurde eine neue Richtlinie hinzugefügt, mit der Sie CloudWatch kontenübergreifende Observability-Links und -Senken vollständig verwalten können. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit.	27. November 2022
OAMReadOnlyAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie hinzugefügt, mit der Sie Informationen über CloudWatch kontoübergreifende Observability-Links und -Senken einsehen können. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit.	27. November 2022
CloudWatchFullAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat Berechtigungen hinzugefügt zu. CloudWatchFullAccess Die `oam:ListAttachedLinks` Berechtigungen `oam:ListSinks` und wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten, die von Quellkonten gemeinsam genutzt wurden, CloudWatch kontenübergreifend anzusehen.	27. November 2022
CloudWatchReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch Berechtigungen wurden hinzugefügt zu. CloudWatchReadOnlyAccess Die `oam:ListAttachedLinks` Berechtigungen `oam:ListSinks` und wurden hinzugefügt, sodass Benutzer mit dieser Richtlinie die Konsole verwenden können, um Daten, die von Quellkonten gemeinsam genutzt wurden, CloudWatch kontenübergreifend anzusehen.	27. November 2022
AmazonCloudWatchRUMServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	CloudWatch RUM hat eine Bedingung aktualisiert, die eingegeben wurde. AmazonCloudWatchRUMServiceRolePolicy Der `"Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } }` Bedingungsschlüssel wurde wie folgt geändert, sodass CloudWatch RUM benutzerdefinierte Metriken an benutzerdefinierte Metrik-Namespaces senden kann. `"Condition": { "StringLike": { "cloudwatch:namespace": [ "RUM/CustomMetrics/*", "AWS/RUM" ] } }`	2. Februar 2023
AmazonCloudWatchRUMReadOnlyAccess— Aktualisierte Richtlinie	CloudWatch hat der AmazonCloudWatchRUMReadOnlyAccessRichtlinie Berechtigungen hinzugefügt. Die `rum:BatchGetRumMetricsDefinitions` Berechtigungen `rum:ListRumMetricsDestinations` und wurden hinzugefügt, sodass CloudWatch RUM erweiterte Messwerte an CloudWatch und Evidenly senden kann.	27. Oktober 2022
AmazonCloudWatchRUMServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	CloudWatch RUM hat Berechtigungen zu AmazonCloudWatchRUMServiceRolePolicyhinzugefügt. Die `cloudwatch:PutMetricData` Berechtigung wurde hinzugefügt, damit CloudWatch RUM erweiterte Messwerte an senden kann CloudWatch.	26. Oktober 2022
CloudWatchEvidentlyReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch Offensichtlich wurden Berechtigungen zu CloudWatchEvidentlyReadOnlyAccesshinzugefügt. Die Berechtigungen `evidently:GetSegment`, `evidently:ListSegments` und `evidently:ListSegmentReferences` wurden hinzugefügt, damit Benutzern mit dieser Richtlinie Evidently-Zielgruppensegmente angezeigt werden, die erstellt wurden.	12. August 2022
CloudWatchSyntheticsFullAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch Synthetics hat Berechtigungen hinzugefügt CloudWatchSyntheticsFullAccess. Die `lambda:DeleteLayerVersion` Berechtigungen `lambda:DeleteFunction` und wurden hinzugefügt, sodass CloudWatch Synthetics verwandte Ressourcen löschen kann, wenn ein Canary gelöscht wird. `iam:ListAttachedRolePolicies` wurde hinzugefügt, damit Kunden die Richtlinien einsehen können, die an die IAM-Rolle eines Canarys angehängt sind.	6. Mai 2022
AmazonCloudWatchRUMFullZugriff — Neue Richtlinie	CloudWatch Es wurde eine neue Richtlinie hinzugefügt, um die vollständige Verwaltung von CloudWatch RUM zu ermöglichen. CloudWatch Mit RUM können Sie eine echte Benutzerüberwachung Ihrer Webanwendung durchführen. Weitere Informationen finden Sie unter CloudWatch RUM.	29. November 2021
AmazonCloudWatchRUMReadOnlyAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie hinzugefügt, um den schreibgeschützten Zugriff auf RUM zu CloudWatch ermöglichen. CloudWatch Mit RUM können Sie eine echte Benutzerüberwachung Ihrer Webanwendung durchführen. Weitere Informationen finden Sie unter CloudWatch RUM.	29. November 2021
CloudWatchEvidentlyFullAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie hinzugefügt, um die vollständige Verwaltung von CloudWatch Evidently zu ermöglichen. CloudWatch Ermöglicht es Ihnen offensichtlich, A/B Experimente mit Ihren Webanwendungen durchzuführen und diese schrittweise einzuführen. Weitere Informationen finden Sie unter Führen Sie Produkteinführungen und A/B-Experimente mit CloudWatch Eviently durch.	29. November 2021
CloudWatchEvidentlyReadOnlyAccess – Neue Richtlinie	CloudWatch hat eine neue Richtlinie hinzugefügt, um den schreibgeschützten Zugriff auf Eviently zu ermöglichen. CloudWatch CloudWatch Ermöglicht es Ihnen, A/B Experimente mit Ihren Webanwendungen durchzuführen und diese schrittweise einzuführen. Weitere Informationen finden Sie unter Führen Sie Produkteinführungen und A/B-Experimente mit CloudWatch Eviently durch.	29. November 2021
AWSServiceRoleForCloudWatchRUM — Neue verwaltete Richtlinie	CloudWatch Es wurde eine Richtlinie für eine neue dienstbezogene Rolle hinzugefügt, die es CloudWatch RUM ermöglicht, Überwachungsdaten für andere relevante AWS Dienste zu veröffentlichen.	29. November 2021
CloudWatchSyntheticsFullAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch Synthetics hat Berechtigungen zu CloudWatchSyntheticsFullAccesseiner Berechtigung hinzugefügt und auch deren Umfang geändert. Die `kms:ListAliases` Berechtigung wurde hinzugefügt, damit Benutzer verfügbare AWS KMS Schlüssel auflisten können, mit denen kanarische Artefakte verschlüsselt werden können. Die Berechtigung `kms:DescribeKey` kam hinzu, damit Benutzer Details zu den Schlüsseln sehen können, die zum Verschlüsseln von Canary-Artefakten verwendet werden. Und die Berechtigung `kms:Decrypt` ermöglicht es Benutzern, Canary-Artefakte zu entschlüsseln. Diese Fähigkeit zur Entschlüsselung ist auf Ressourcen in Amazon S3 Buckets beschränkt. Der `Resource`-Scope der Berechtigung `s3:GetBucketLocation` wurde von `` zu `arn:aws:s3:::` geändert.	29. September 2021
CloudWatchSyntheticsFullAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch Synthetics hat eine Genehmigung zu CloudWatchSyntheticsFullAccesshinzugefügt. Die Berechtigung `lambda:UpdateFunctionCode` wurde hinzugefügt, damit Benutzer mit dieser Richtlinie die Laufzeitversion von Canaries ändern können.	20. Juli 2021
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy— Neue verwaltete Richtlinie	CloudWatch Es wurde eine neue verwaltete IAM-Richtlinie hinzugefügt, mit der Vorfälle im AWS Systems Manager Incident Manager erstellt werden können CloudWatch .	10. Mai 2021
CloudWatchAutomaticDashboardsAccess – Aktualisierung auf eine bestehende Richtlinie	CloudWatch hat der CloudWatchAutomaticDashboardsAccessverwalteten Richtlinie eine Berechtigung hinzugefügt. Die `synthetics:DescribeCanariesLastRun` Berechtigung wurde zu dieser Richtlinie hinzugefügt, damit kontoübergreifende Dashboard-Benutzer Details zu CloudWatch Synthetics Canary Runs einsehen können.	20. April 2021
CloudWatch hat begonnen, Änderungen zu verfolgen	CloudWatch hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.	14. April 2021

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenschutz

So CloudWatch arbeitet Amazon mit IAM