Politiques IAM pour utiliser RUM CloudWatch - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques IAM pour utiliser RUM CloudWatch

Pour pouvoir gérer entièrement CloudWatch RUM, vous devez être connecté en tant qu'utilisateur ou rôle IAM doté de la politique AmazonCloudWatchRUMFullAccess IAM. En outre, vous aurez peut-être besoin d'autres stratégies ou autorisations :

  • Pour créer un moniteur d'applications qui crée un nouveau pool d'identités Amazon Cognito à des fins d'autorisation, vous devez disposer du rôle Admin IAM ou de la AdministratorAccesspolitique IAM.

  • Pour créer un moniteur d'applications qui envoie des données à CloudWatch Logs, vous devez être connecté à un rôle ou à une politique IAM disposant des autorisations suivantes :

    {
    "Effect": "Allow",
    "Action": [
        "logs:PutResourcePolicy"
    ],
    "Resource": [
        "*"
    ]
}

  • Pour activer les cartes JavaScript sources dans un moniteur d'applications, vous devez télécharger vos fichiers de carte source dans un compartiment Amazon S3. Votre rôle ou votre politique IAM nécessite des autorisations Amazon S3 spécifiques qui permettent de créer des compartiments Amazon S3, de définir des politiques de compartiment et de gérer les fichiers du compartiment. Pour des raisons de sécurité, étendez ces autorisations à des ressources spécifiques. L'exemple de politique ci-dessous restreint l'accès aux compartiments dont le nom figure rum dans leur nom et utilise la clé de aws:ResourceAccount condition pour limiter les autorisations au compte principal uniquement.

    {
    "Sid": "AllowS3BucketCreationAndListing",
    "Effect": "Allow",
    "Action": [
        "s3:CreateBucket",
        "s3:ListAllMyBuckets"
    ],
    "Resource": "arn:aws:s3:::*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
},
{
    "Sid": "AllowS3BucketActions",
    "Effect": "Allow",
    "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::*rum*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
},
{
    "Sid": "AllowS3BucketPolicyActions",
    "Effect": "Allow",
    "Action": [
        "s3:PutBucketPolicy",
        "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::*rum*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
},
{
    "Sid": "AllowS3ObjectActions",
    "Effect": "Allow",
    "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:AbortMultipartUpload"
    ],
    "Resource": "arn:aws:s3:::*rum*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}

  • Pour utiliser vos propres AWS KMS clés pour le chiffrement côté serveur sur votre bucket de carte source, votre rôle ou votre politique IAM nécessite des AWS KMS autorisations spécifiques qui permettent de créer une clé, de mettre à jour la politique de clé, d'utiliser la AWS KMS clé avec Amazon S3 et de définir la configuration de chiffrement de votre compartiment Amazon S3. Pour des raisons de sécurité, étendez ces autorisations à des fins spécifiques. L'exemple ci-dessous restreint l'accès aux clés pour une région et un AccountID spécifiques et comporte des restrictions S3 similaires à celles de l'exemple ci-dessus. 

    {
    "Sid": "AllowKMSKeyCreation",
    "Effect": "Allow",
    "Action": [
        "kms:CreateKey",
        "kms:CreateAlias"
    ],
    "Resource": "*"
},
{
    "Sid": "KMSReadPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:ListAliases"
    ],
    "Resource": "*"
},
{
    "Sid": "AllowUpdatingKeyPolicy",
    "Effect": "Allow",
    "Action": [
        "kms:PutKeyPolicy",
        "kms:GetKeyPolicy",
        "kms:ListKeyPolicies"
    ],
    "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*"
},
{
    "Sid": "AllowUseOfKMSKeyForS3",
    "Effect": "Allow",
    "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*"
},
{
    "Sid": "AllowS3EncryptionConfiguration",
    "Effect": "Allow",
    "Action": [
        "s3:PutEncryptionConfiguration",
        "s3:GetEncryptionConfiguration"
    ],
    "Resource": "arn:aws:s3:::*rum*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}

Les autres utilisateurs qui ont besoin de consulter les données CloudWatch RUM mais qui n'ont pas besoin de créer de ressources CloudWatch RUM peuvent bénéficier de cette AmazonCloudWatchRUMReadOnlyAccesspolitique.