Políticas de IAM para utilizar CloudWatch RUM
Para poder administrar CloudWatch RUM por completo, debe haber iniciado sesión como usuario o rol de IAM que tenga la política de IAM de AmazonCloudWatchRUMFullAccess (Acceso completo a Amazon CloudWatch RUM). Además, es posible que necesite otras políticas o permisos:
Para crear una supervisión de aplicaciones que cree un nuevo grupo de identidades de Amazon Cognito para obtener autorización, debe tener el rol de IAM de Admin (Administrador) o la política de IAM de AdministratorAccess (Acceso del administrador).
Para crear una supervisión de aplicaciones que envíe datos a CloudWatch Logs, debe iniciar sesión en un rol o política de IAM que tenga los siguientes permisos:
{ "Effect": "Allow", "Action": [ "logs:PutResourcePolicy" ], "Resource": [ "*" ] }Para habilitar los mapas de origen de JavaScript en el monitor de una aplicación, deberá cargar los archivos de los mapas de origen en un bucket de Amazon S3. Su rol o política de IAM necesita permisos específicos de Amazon S3 que permitan crear buckets de Amazon S3, establecer políticas de bucket y gestionar los archivos del bucket. Por motivos de seguridad, limite estos permisos a recursos específicos. El ejemplo de política que aparece a continuación restringe el acceso a los buckets que contienen
rumen sus nombres y utiliza la clave de condiciónaws:ResourceAccountpara limitar los permisos únicamente a la cuenta principal.{ "Sid": "AllowS3BucketCreationAndListing", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3BucketPolicyActions", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }Para utilizar sus propias claves de AWS KMS para el cifrado del lado del servidor en su bucket de mapas de origen, su rol o política de IAM necesitará permisos de AWS KMS específicos que permitan crear una clave, actualizar la política de claves, utilizar la clave de AWS KMS con Amazon S3 y establecer la configuración de cifrado de su bucket de Amazon S3. Por motivos de seguridad, limite estos permisos a fines específicos. El siguiente ejemplo restringe el acceso a las claves de una región y accountId específicos, y tiene restricciones de S3 similares a las del ejemplo anterior.
{ "Sid": "AllowKMSKeyCreation", "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias" ], "Resource": "*" }, { "Sid": "KMSReadPermissions", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AllowUpdatingKeyPolicy", "Effect": "Allow", "Action": [ "kms:PutKeyPolicy", "kms:GetKeyPolicy", "kms:ListKeyPolicies" ], "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*" }, { "Sid": "AllowUseOfKMSKeyForS3", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*" }, { "Sid": "AllowS3EncryptionConfiguration", "Effect": "Allow", "Action": [ "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }
A otros usuarios que necesitan ver los datos de CloudWatch RUM, pero no necesitan crear recursos de CloudWatch RUM, se les puede conceder la política de AmazonCloudWatchRUMReadOnlyAccess (Acceso de solo lectura a Amazon CloudWatch RUM).
