Referencia de permisos de Amazon CloudWatch - Amazon CloudWatch

Referencia de permisos de Amazon CloudWatch

En la siguiente tabla figuran las operaciones de la API de CloudWatch y las acciones correspondientes para las que usted puede conceder permisos para realizar la acción. Las acciones se especifican en el campo Action de la política, y el valor del recurso se especifica como un carácter comodín (*) en el campo Resource de la política.

Puede utilizar claves de condición generales de AWS en las políticas de CloudWatch para expresar condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves de contexto de condición de IAM y globales de AWS en la Guía del usuario de IAM.

nota

Para especificar una acción, use el prefijo cloudwatch: seguido del nombre de operación de API. Por ejemplo: cloudwatch:GetMetricData, cloudwatch:ListMetrics o cloudwatch:* (para todas las acciones de CloudWatch).

Operaciones de la API y permisos necesarios de CloudWatch para acciones

Operaciones de la API de CloudWatch Permisos necesarios (acciones de API)

DeleteAlarms

cloudwatch:DeleteAlarms

Necesario para eliminar una alarma.

DeleteDashboards

cloudwatch:DeleteDashboards

Necesario para eliminar un panel.

DeleteMetricStream

cloudwatch:DeleteMetricStream

Necesario para eliminar un flujo métrico.

DescribeAlarmHistory

cloudwatch:DescribeAlarmHistory

Necesario para ver el historial de alarmas. Para recuperar información acerca de las alarmas compuestas, el permiso cloudwatch:DescribeAlarmHistory debe tener alcance *. No puede devolver información sobre las alarmas compuestas si el permiso cloudwatch:DescribeAlarmHistory tiene un alcance más limitado.

DescribeAlarms

cloudwatch:DescribeAlarms

Se necesita para recuperar información sobre las alarmas.

Para recuperar información acerca de las alarmas compuestas, el permiso cloudwatch:DescribeAlarms debe tener alcance *. No puede devolver información sobre las alarmas compuestas si el permiso cloudwatch:DescribeAlarms tiene un alcance más limitado.

DescribeAlarmsForMetric

cloudwatch:DescribeAlarmsForMetric

Necesario para ver alarmas para una métrica.

DisableAlarmActions

cloudwatch:DisableAlarmActions

Necesario para desactivar una acción de alarma.

EnableAlarmActions

cloudwatch:EnableAlarmActions

Necesario para habilitar una acción de alarma.

GetDashboard

cloudwatch:GetDashboard

Necesario para mostrar datos acerca de paneles existentes.

GetMetricData

cloudwatch:GetMetricData

Es necesario para representar los datos métricos en un gráfico de la consola de CloudWatch a fin de recuperar grandes lotes de datos métricos y llevar a cabo cálculos métricos en función de dichos datos.

GetMetricStatistics

cloudwatch:GetMetricStatistics

Es necesario para visualizar gráficos en otras partes de la consola de CloudWatch y en widgets de paneles.

GetMetricStream

cloudwatch:GetMetricStream

Es necesario para ver información acerca de un flujo métrico.

GetMetricWidgetImage

cloudwatch:GetMetricWidgetImage

Es necesario para recuperar un gráfico de instantáneas de una o varias métricas de CloudWatch como imagen de mapa de bits.

ListDashboards

cloudwatch:ListDashboards

Es necesario para visualizar la lista de paneles de CloudWatch en su cuenta.

ListEntitiesForMetric

(Permiso exclusivo para la consola de CloudWatch)

cloudwatch:ListEntitiesForMetric

Obligatorio para buscar las entidades asociadas a una métrica. Obligatorio para explorar la telemetría relacionada en la consola de CloudWatch.

ListMetrics

cloudwatch:ListMetrics

Es necesario para visualizar o buscar nombres de métricas dentro de la consola de CloudWatch y en la CLI. Necesario para seleccionar métricas en widgets de paneles.

ListMetricStreams

cloudwatch:ListMetricStreams

Es necesario para visualizar o buscar la lista de flujos métricos en la cuenta.

PutCompositeAlarm

cloudwatch:PutCompositeAlarm

Es necesario para crear una alarma compuesta

Para crear una alarma compuesta, el permiso cloudwatch:PutCompositeAlarm debe tener un alcance *. No puede devolver información sobre alarmas compuestas si el permiso cloudwatch:PutCompositeAlarm tiene un alcance más limitado.

PutDashboard

cloudwatch:PutDashboard

Necesario para crear un panel o actualizar un panel existente.

PutMetricAlarm

cloudwatch:PutMetricAlarm

Necesario para crear o actualizar una alarma.

PutMetricData

cloudwatch:PutMetricData

Necesario para crear métricas.

PutMetricStream

cloudwatch:PutMetricStream

Necesario para crear flujos métricos.

SetAlarmState

cloudwatch:SetAlarmState

Necesario para configurar manualmente el estado de una alarma.

StartMetricStreams

cloudwatch:StartMetricStreams

Necesario para comenzar el flujo de las métricas en un flujo métrico.

StopMetricStreams

cloudwatch:StopMetricStreams

Necesario para detener temporalmente el flujo de las métricas en un flujo métrico.

TagResource

cloudwatch:TagResource

Necesario para agregar o actualizar etiquetas en recursos de CloudWatch, como alarmas y reglas de Contributor Insights.

UntagResource

cloudwatch:UntagResource

Necesario para eliminar etiquetas de los recursos de CloudWatch.

Operaciones de API de CloudWatch Application Signals y permisos de acción necesarios

Operaciones de API de CloudWatch Application Signals Permisos necesarios (acciones de API)

BatchGetServiceLevelObjectiveBudgetReport

application-signals:BatchGetServiceLevelObjectiveBudgetReport

Necesario para recuperar los informes de presupuesto de los objetivos de nivel de servicio.

CreateServiceLevelObjective

application-signals:CreateServiceLevelObjective

Necesario para crear un objetivo de nivel de servicio (SLO).

DeleteServiceLevelObjective

application-signals:DeleteServiceLevelObjective

Necesario para eliminar un objetivo de nivel de servicio (SLO).

GetService

application-signals:GetService

Necesario para recuperar información de un servicio detectado por Application Signals.

GetServiceLevelObjective

application-signals:GetServiceLevelObjective

Necesario para recuperar información sobre el objetivo de nivel de servicio (SLO).

ListObservedEntities

application-signals:ListObservedEntities

Concede permiso para enumerar entidades asociadas a otras entidades.

ListServiceDependencies

application-signals:ListServiceDependencies

Necesario para recuperar una lista de las dependencias de un servicio dado. Este servicio y las dependencias los ha detectado Application Signals.

ListServiceDependents

application-signals:ListServiceDependents

Necesario para recuperar una lista de dependientes que invocan un servicio dado. Este servicio y sus dependientes fueron detectados por Application Signals.

ListServiceLevelObjectives

application-signals:ListServiceLevelObjectives

Necesario para recuperar una lista de objetivos de nivel de servicio (SLO) de la cuenta.

ListServiceOperations

application-signals:ListServiceOperations

Necesario para recuperar una lista de operaciones de un servicio dado. Este servicio y las dependencias los ha detectado Application Signals.

ListServices

application-signals:ListServices

Necesario para recuperar una lista de servicios detectados por Application Signals.

ListTagsForResource

application-signals:ListTagsForResource

Necesario para recuperar una lista de etiquetas asociadas a un recurso.

StartDiscovery

application-signals:StartDiscovery

Necesario para habilitar Application Signals en la cuenta y crear el rol requerido vinculado al servicio.

TagResource

application-signals:TagResource

Necesario para agregar etiquetas a los recursos.

UntagResource

application-signals:UntagResource

Necesario para remover etiquetas de un recurso.

UpdateServiceLevelObjective

application-signals:UpdateServiceLevelObjective

Necesario para actualizar un objetivo de nivel de servicio existente

Operaciones de la API de CloudWatch Contributor Insights y permisos necesarios para realizar acciones

importante

Cuando le concede el permiso cloudwatch:PutInsightRule a un usuario, de forma predeterminada, ese usuario puede crear una regla que evalúe cualquier grupo de registros en CloudWatch Logs. Puede agregar condiciones de políticas de IAM que limiten estos permisos para que un usuario incluya y excluya grupos de registros específicos. Para obtener más información, consulte Uso de claves de condición para limitar el acceso de los usuarios de Contributor Insights a los grupos de registro.

Operaciones de la API de CloudWatch Contributor Insights Permisos necesarios (acciones de API)

DeleteInsightRules

cloudwatch:DeleteInsightRules

Necesario para eliminar reglas de Contributor Insights.

DescribeInsightRules

cloudwatch:DescribeInsightRules

Necesario para visualizar las reglas de Contributor Insights en la cuenta.

EnableInsightRules

cloudwatch:EnableInsightRules

Necesario para habilitar las reglas de Contributor Insights.

GetInsightRuleReport

cloudwatch:GetInsightRuleReport

Necesario para recuperar datos de series temporales y otras estadísticas que recopilan las reglas de Contributor Insights.

PutInsightRule

cloudwatch:PutInsightRule

Necesario para crear reglas de Contributor Insights. Consulte la nota Importante ubicada al principio de esta tabla.

Operaciones de la API de CloudWatch Events y permisos necesarios para realizar acciones

Operaciones de la API de CloudWatch Events Permisos necesarios (acciones de API)

DeleteRule

events:DeleteRule

Necesario para eliminar una regla.

DescribeRule

events:DescribeRule

Necesario para mostrar detalles acerca de una regla.

DisableRule

events:DisableRule

Necesario para deshabilitar una regla.

EnableRule

events:EnableRule

Necesario para habilitar una regla.

ListRuleNamesByTarget

events:ListRuleNamesByTarget

Necesario para enumerar reglas asociadas a un destino.

ListRules

events:ListRules

Necesario para enumerar todas las reglas de su cuenta.

ListTargetsByRule

events:ListTargetsByRule

Necesario para enumerar todos los destinos asociados a una regla.

PutEvents

events:PutEvents

Necesario para agregar eventos personalizados que se pueden asignar a reglas.

PutRule

events:PutRule

Necesario para crear o actualizar una regla.

PutTargets

events:PutTargets

Necesario para añadir destinos a una regla.

RemoveTargets

events:RemoveTargets

Necesario para eliminar un destino de una regla.

TestEventPattern

events:TestEventPattern

Necesario para probar un patrón de evento con respecto a un evento dado.

Operaciones de la API de CloudWatch Logs y permisos necesarios para realizar acciones

nota

Los permisos de Registros de CloudWatch se encuentran en la Guía del usuario de Registros de CloudWatch.

Operaciones de la API de Amazon EC2 y permisos necesarios para realizar acciones

Operaciones de la API de Amazon EC2 Permisos necesarios (acciones de API)

DescribeInstanceStatus

ec2:DescribeInstanceStatus

Necesario para ver los detalles de estado de instancia EC2.

DescribeInstances

ec2:DescribeInstances

Necesario para ver los detalles de instancia EC2.

RebootInstances

ec2:RebootInstances

Necesario para reiniciar una instancia EC2.

StopInstances

ec2:StopInstances

Necesario para parar una instancia EC2.

TerminateInstances

ec2:TerminateInstances

Necesario para terminar una instancia EC2.

Operaciones de la API de Amazon EC2 Auto Scaling y permisos necesarios para realizar acciones

Operaciones de la API de Amazon EC2 Auto Scaling Permisos necesarios (acciones de API)

Escalado

autoscaling:Scaling

Necesario para escalar un grupo de Auto Scaling.

Desencadenador

autoscaling:Trigger

Necesario para activar una acción de Auto Scaling.