# Permisos necesarios para Application Signals
<a name="Application_Signals_Permissions"></a>

En esta sección se explican los permisos necesarios para habilitar, administrar y operar Application Signals.

## Permisos para habilitar y administrar Application Signals
<a name="Application_Signals_Permissions_Enabling"></a>

Para administrar Application Signals, debe iniciar sesión con los siguientes permisos. Para ver el contenido de la política **CloudWatchApplicationSignalsFullAccess**, consulte [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html). 



Para habilitar Application Signals en Amazon EC2 o arquitecturas personalizadas, consulte [Habilitar Application Signals en Amazon EC2](CloudWatch-Application-Signals-Enable-EC2Main.md). Para habilitar y administrar Application Signals en Amazon EKS mediante el [complemento de observabilidad de EKS de Amazon CloudWatch](install-CloudWatch-Observability-EKS-addon.md), necesita los siguientes permisos.

**importante**  
Estos permisos incluyen `iam:PassRole` con `Resource "*”` y `eks:CreateAddon` con `Resource “*”`. Se trata de permisos potentes y debe tener cuidado al concederlos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
    "Sid": "CloudWatchApplicationSignalsEksAddonManagementPermissions",
    "Effect": "Allow",
    "Action": [
    "eks:AccessKubernetesApi",
    "eks:CreateAddon",
    "eks:DescribeAddon",
    "eks:DescribeAddonConfiguration",
    "eks:DescribeAddonVersions",
    "eks:DescribeCluster",
    "eks:DescribeUpdate",
    "eks:ListAddons",
    "eks:ListClusters",
    "eks:ListUpdates",
    "iam:ListRoles",
    "iam:PassRole"
    ],
    "Resource": "*",
    "Condition": {
    "StringEquals": {
    "iam:PassedToService": [
    "eks.amazonaws.com",
    "application-signals.cloudwatch.amazonaws.com"
    ]
    }
    }
    },
    {
    "Sid": "CloudWatchApplicationSignalsEksCloudWatchObservabilityAddonManagementPermissions",
    "Effect": "Allow",
    "Action": [
    "eks:DeleteAddon",
    "eks:UpdateAddon"
    ],
    "Resource": "arn:aws:eks:*:*:addon/*/amazon-cloudwatch-observability/*"
    }
    ]
    }
```

------

El panel de Application Signals muestra las aplicaciones de AWS Service Catalog AppRegistry a las que están asociados sus SLO. Para ver estas aplicaciones en las páginas de SLO, debe contar con los siguientes permisos:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudWatchApplicationSignalsTaggingReadPermissions",
            "Effect": "Allow",
            "Action": "tag:GetResources",
            "Resource": "*"
        }
    ]
}
```

------

## Funcionamiento de Application Signals
<a name="Application_Signals_Permissions_Operate"></a>

Los operadores de servicio que utilizan Application Signals para supervisar los servicios y los SLO deben iniciar sesión en una cuenta con permisos de solo lectura. Para ver el contenido de la política **CloudWatchApplicationSignalsReadOnlyAccess**, consulte [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html).

Para ver qué aplicaciones de AWS Service Catalog AppRegistry están asociadas con sus SLO en el panel de Application Signals, necesita los siguientes permisos:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudWatchApplicationSignalsTaggingReadPermissions",
            "Effect": "Allow",
            "Action": "tag:GetResources",
            "Resource": "*"
        }
    ]
}
```

------

Para comprobar si las Application Signals en Amazon EKS que utilizan el [complemento de observabilidad de EKS de Amazon CloudWatch](install-CloudWatch-Observability-EKS-addon.md) están habilitadas, debe tener los siguientes permisos:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudWatchApplicationSignalsResourceExplorerReadPermissions",
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:ListIndexes",
                "resource-explorer-2:Search"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchApplicationSignalsResourceExplorerSLRPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "resource-explorer-2.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchApplicationSignalsResourceExplorerCreateIndexPermissions",
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:CreateIndex"
            ],
            "Resource": "arn:aws:resource-explorer-2:*:*:index/*"
        }
    ]
}
```

------