Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des identités et des accès pour Amazon CloudWatch
<a name="auth-and-access-control-cw"></a>

Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser CloudWatch les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.

**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon CloudWatch travaille avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour Amazon CloudWatch](security_iam_id-based-policy-examples.md)
+ [Résolution des problèmes d' CloudWatch identité et d'accès à Amazon](security_iam_troubleshoot.md)
+ [CloudWatch mise à jour des autorisations du tableau](dashboard-permissions-update.md)
+ [AWS politiques gérées (prédéfinies) pour CloudWatch](managed-policies-cloudwatch.md)
+ [Exemples de politiques gérées par le client](customer-managed-policies-cw.md)
+ [Utilisation des touches de condition pour limiter l'accès à CloudWatch](reference_policies_condition-keys.md)
+ [Utilisation de rôles liés à un service pour CloudWatch](using-service-linked-roles.md)
+ [Utilisation de rôles liés à un service pour RUM CloudWatch](using-service-linked-roles-RUM.md)
+ [Utilisation de rôles liés à un service pour Application Insights CloudWatch](CHAP_using-service-linked-roles-appinsights.md)
+ [AWS politiques gérées pour Amazon CloudWatch Application Insights](security-iam-awsmanpol-appinsights.md)
+ [Référence CloudWatch des autorisations Amazon](permissions-reference-cw.md)

## Public ciblé
<a name="security_iam_audience"></a>

La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d' CloudWatch identité et d'accès à Amazon](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon CloudWatch travaille avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour Amazon CloudWatch](security_iam_id-based-policy-examples.md))

## Authentification par des identités
<a name="security_iam_authentication"></a>

L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS

Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.

Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.

### Compte AWS utilisateur root
<a name="security_iam_authentication-rootuser"></a>

 Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*. 

### Identité fédérée
<a name="security_iam_authentication-federated"></a>

Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.

Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.

Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.

### Utilisateurs et groupes IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.

### Rôles IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.

Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

## Gestion de l’accès à l’aide de politiques
<a name="security_iam_access-manage"></a>

Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.

À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.

### Politiques basées sur l’identité
<a name="security_iam_access-manage-id-based-policies"></a>

Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.

Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.

### Politiques basées sur les ressources
<a name="security_iam_access-manage-resource-based-policies"></a>

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.

Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.

### Autres types de politique
<a name="security_iam_access-manage-other-policies"></a>

AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.

### Plusieurs types de politique
<a name="security_iam_access-manage-multiple-policies"></a>

Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.

# Comment Amazon CloudWatch travaille avec IAM
<a name="security_iam_service-with-iam"></a>

Avant d'utiliser IAM pour gérer l'accès à CloudWatch, découvrez les fonctionnalités IAM disponibles. CloudWatch





 Les tableaux suivants répertorient les fonctionnalités IAM que vous pouvez utiliser avec Amazon CloudWatch. 


| Fonctionnalité IAM | CloudWatch soutien | 
| --- | --- | 
|  [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies-cw)  |   Oui  | 
|  [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies-cw)  |   Non   | 
|  [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions-cw)  |   Oui  | 
|  [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources-cw)  |   Oui  | 
|  [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys-cw)  |   Oui  | 
|  [ACLs](#security_iam_service-with-iam-acls-cw)  |   Non   | 
|  [ABAC (identifications dans les politiques)](#security_iam_service-with-iam-tags-cw)  |   Partielle  | 
|  [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds-cw)  |   Oui  | 
|  [Autorisations de principal](#security_iam_service-with-iam-principal-permissions-cw)  |   Oui  | 
|  [Rôles de service](#security_iam_service-with-iam-roles-service-cw)  |   Oui  | 
|  [Rôles liés à un service](security_iam_service-with-iam-cwim.md#security_iam_service-with-iam-roles-service-linked)  |   Non   | 

 Pour obtenir une vue d'ensemble de la façon dont CloudWatch les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*. 

## Politiques basées sur l'identité pour CloudWatch
<a name="security_iam_service-with-iam-id-based-policies-cw"></a>

**Prend en charge les politiques basées sur l’identité :** oui

Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.

Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.

### Exemples de politiques basées sur l'identité pour CloudWatch
<a name="security_iam_service-with-iam-id-based-policies-examples-cw"></a>



Pour consulter des exemples de politiques CloudWatch basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour Amazon CloudWatch](security_iam_id-based-policy-examples.md)

## Politiques basées sur les ressources au sein de CloudWatch
<a name="security_iam_service-with-iam-resource-based-policies-cw"></a>

**Prend en charge les politiques basées sur les ressources :** non 

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS

Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

## Actions politiques pour CloudWatch
<a name="security_iam_service-with-iam-id-based-policies-actions-cw"></a>

**Prend en charge les actions de politique :** oui

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.



Pour consulter la liste des CloudWatch actions, consultez la section [Actions définies par Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) dans le *Service Authorization Reference*.

Les actions de politique en CloudWatch cours utilisent le préfixe suivant avant l'action :

```
cloudwatch
```

Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.

```
"Action": [
      "cloudwatch:action1",
      "cloudwatch:action2"
         ]
```





Pour consulter des exemples de politiques CloudWatch basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour Amazon CloudWatch](security_iam_id-based-policy-examples.md)

## Ressources politiques pour CloudWatch
<a name="security_iam_service-with-iam-id-based-policies-resources-cw"></a>

**Prend en charge les ressources de politique :** oui

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.

```
"Resource": "*"
```

Pour consulter la liste des types de CloudWatch ressources et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) dans le *Service Authorization Reference*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).





Pour consulter des exemples de politiques CloudWatch basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour Amazon CloudWatch](security_iam_id-based-policy-examples.md)

## Clés de conditions de politique pour CloudWatch
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys-cw"></a>

**Prend en charge les clés de condition de politique spécifiques au service :** oui

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.

Pour consulter la liste des clés de CloudWatch condition, consultez la section [Clés de condition pour Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).

Pour consulter des exemples de politiques CloudWatch basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour Amazon CloudWatch](security_iam_id-based-policy-examples.md)

## ACLs in CloudWatch
<a name="security_iam_service-with-iam-acls-cw"></a>

**Supports ACLs :** Non 

Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.

## ABAC avec CloudWatch
<a name="security_iam_service-with-iam-tags-cw"></a>

**Prend en charge ABAC (identifications dans les politiques) :** partiellement

Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs nommés balise. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.

Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.

Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.

Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.

## Utilisation d'informations d'identification temporaires avec CloudWatch
<a name="security_iam_service-with-iam-roles-tempcreds-cw"></a>

**Prend en charge les informations d’identification temporaires :** oui

Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.

## Autorisations principales interservices pour CloudWatch
<a name="security_iam_service-with-iam-principal-permissions-cw"></a>

**Prend en charge les sessions d’accès direct (FAS) :** oui

 Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Rôles de service pour CloudWatch
<a name="security_iam_service-with-iam-roles-service-cw"></a>

**Prend en charge les rôles de service :** oui

 Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*. 

**Avertissement**  
La modification des autorisations d’un rôle de service peut altérer la fonctionnalité d’ CloudWatch. Modifiez les rôles de service uniquement lorsque CloudWatch vous recevez des instructions à cet effet.

# Exemples de politiques basées sur l'identité pour Amazon CloudWatch
<a name="security_iam_id-based-policy-examples"></a>

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources CloudWatch. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.

Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.

Pour plus de détails sur les actions et les types de ressources définis par CloudWatch, y compris le format de ARNs pour chacun des types de ressources, consultez la section [Actions, ressources et clés de condition pour Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) dans le *Service Authorization Reference*.

**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la CloudWatch console](#security_iam_id-based-policy-examples-console)

## Bonnes pratiques en matière de politiques
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer CloudWatch des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par le AWS client spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.

Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.

## Utilisation de la CloudWatch console
<a name="security_iam_id-based-policy-examples-console"></a>

Pour accéder à la CloudWatch console Amazon, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails CloudWatch des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.

Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la CloudWatch console, associez également la politique CloudWatch `ConsoleAccess` ou la politique `ReadOnly` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.

### Autorisations nécessaires pour CloudWatch la console
<a name="permissions-for-cloudwatch"></a>

L'ensemble complet des autorisations requises pour utiliser la CloudWatch console est répertorié ci-dessous. Ces autorisations fournissent un accès complet en écriture et en lecture à la CloudWatch console.
+ mise à l'échelle automatique des applications : DescribeScalingPolicies
+ mise à l'échelle automatique : DescribeAutoScalingGroups
+ mise à l'échelle automatique : DescribePolicies
+ traînée nuageuse : DescribeTrails
+ surveillance des nuages : DeleteAlarms
+ surveillance des nuages : DescribeAlarmHistory
+ surveillance des nuages : DescribeAlarms
+ surveillance des nuages : GetMetricData
+ surveillance des nuages : GetMetricStatistics
+ surveillance des nuages : ListMetrics
+ surveillance des nuages : PutMetricAlarm
+ surveillance des nuages : PutMetricData
+ EC2 : DescribeInstances
+ EC2 : DescribeTags
+ EC2 : DescribeVolumes
+ Oui : DescribeElasticsearchDomain
+ Oui : ListDomainNames
+ événements : DeleteRule
+ événements : DescribeRule
+ événements : DisableRule
+ événements : EnableRule
+ événements : ListRules
+ événements : PutRule
+ iam : AttachRolePolicy
+ iam : CreateRole
+ iam : GetPolicy
+ iam : GetPolicyVersion
+ iam : GetRole
+ iam : ListAttachedRolePolicies
+ iam : ListRoles
+ kinésie : DescribeStream
+ kinésie : ListStreams
+ lambda : AddPermission
+ lambda : CreateFunction
+ lambda : GetFunctionConfiguration
+ lambda : ListAliases
+ lambda : ListFunctions
+ lambda : ListVersionsByFunction
+ lambda : RemovePermission
+ journaux : CancelExportTask
+ journaux : CreateExportTask
+ journaux : CreateLogGroup
+ journaux : CreateLogStream
+ journaux : DeleteLogGroup
+ journaux : DeleteLogStream
+ journaux : DeleteMetricFilter
+ journaux : DeleteRetentionPolicy
+ journaux : DeleteSubscriptionFilter
+ journaux : DescribeExportTasks
+ journaux : DescribeLogGroups
+ journaux : DescribeLogStreams
+ journaux : DescribeMetricFilters
+ journaux : DescribeQueries
+ journaux : DescribeSubscriptionFilters
+ journaux : FilterLogEvents
+ journaux : GetLogGroupFields
+ journaux : GetLogRecord
+ journaux : GetLogEvents
+ journaux : GetQueryResults
+ journaux : PutMetricFilter
+ journaux : PutRetentionPolicy
+ journaux : PutSubscriptionFilter
+ journaux : StartQuery
+ journaux : StopQuery
+ journaux : TestMetricFilter
+ s3 : CreateBucket
+ s3 : ListBucket
+ sns : CreateTopic
+ sns : GetTopicAttributes
+ sns : ListSubscriptions
+ sns : ListTopics
+ sns : SetTopicAttributes
+ sns:Subscribe
+ sns:Unsubscribe
+ sqs : GetQueueAttributes
+ sqs : GetQueueUrl
+ sqs : ListQueues
+ sqs : SetQueueAttributes
+ swf : CreateAction
+ swf : DescribeAction
+ swf : ListActionTemplates
+ swf : RegisterAction
+ swf : RegisterDomain
+ swf : UpdateAction

Pour visualiser la Carte de suivi X-Ray, `AWSXrayReadOnlyAccess` est également requis.

# Résolution des problèmes d' CloudWatch identité et d'accès à Amazon
<a name="security_iam_troubleshoot"></a>

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec CloudWatch IAM.

**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans CloudWatch](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes CloudWatch ressources](#security_iam_troubleshoot-cross-account-access)

## Je ne suis pas autorisé à effectuer une action dans CloudWatch
<a name="security_iam_troubleshoot-no-permissions"></a>

Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.

L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `cloudwatch:GetWidget` fictives.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudwatch:GetWidget on resource: my-example-widget
```

Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `cloudwatch:GetWidget`.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

## Je ne suis pas autorisé à effectuer iam : PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter `iam:PassRole` l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à CloudWatch.

Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.

L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour exécuter une action dans CloudWatch. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary n'est pas autorisée à transmettre le rôle au service.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

## Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes CloudWatch ressources
<a name="security_iam_troubleshoot-cross-account-access"></a>

Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.

Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si ces fonctionnalités sont prises CloudWatch en charge, consultez[Comment Amazon CloudWatch travaille avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

# CloudWatch mise à jour des autorisations du tableau
<a name="dashboard-permissions-update"></a>

Le 1er mai 2018, les autorisations requises pour accéder aux CloudWatch tableaux de bord AWS ont été modifiées. L'accès au tableau de bord dans la CloudWatch console nécessite désormais des autorisations introduites en 2017 pour prendre en charge les opérations de l'API du tableau de bord :
+ **surveillance des nuages : GetDashboard**
+ **surveillance des nuages : ListDashboards**
+ **surveillance des nuages : PutDashboard**
+ **surveillance des nuages : DeleteDashboards**

Pour accéder aux CloudWatch tableaux de bord, vous avez besoin de l'un des éléments suivants :
+ La **AdministratorAccess**politique.
+ La **CloudWatchFullAccess**politique.
+ Une politique personnalisée qui inclut une ou plusieurs de ces autorisations spécifiques :
  + `cloudwatch:GetDashboard` et `cloudwatch:ListDashboards` pour pouvoir afficher des tableaux de bord
  + `cloudwatch:PutDashboard` pour pouvoir créer ou modifier des tableaux de bord
  + `cloudwatch:DeleteDashboards` pour pouvoir supprimer des tableaux de bord

Pour plus d'informations la modification des autorisations d'un utilisateur IAM à l'aide de politiques, consultez [Modification des autorisations pour un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).

Pour plus d'informations sur CloudWatch les autorisations, consultez[Référence CloudWatch des autorisations Amazon](permissions-reference-cw.md).

Pour plus d'informations sur les opérations de l'API du tableau de bord, consultez [PutDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutDashboard.html)le Amazon CloudWatch API Reference.

# AWS politiques gérées (prédéfinies) pour CloudWatch
<a name="managed-policies-cloudwatch"></a>

AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Ces politiques AWS gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous puissiez éviter d'avoir à rechercher les autorisations nécessaires. Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*. 

 Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à CloudWatch. 

**Topics**
+ [CloudWatch mises à jour des politiques AWS gérées](#security-iam-awsmanpol-updates)
+ [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)
+ [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess)
+ [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)
+ [CloudWatchActionsEC2Accès](#managed-policies-cloudwatch-CloudWatchActionsEC2Access)
+ [CloudWatch-CrossAccountAccess](#managed-policies-cloudwatch-CloudWatch-CrossAccountAccess)
+ [CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess)
+ [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy)
+ [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy)
+ [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)
+ [AWS politiques gérées (prédéfinies) pour l' CloudWatch observabilité entre comptes](#managed-policies-cloudwatch-crossaccount)
+ [AWS politiques gérées (prédéfinies) pour les CloudWatch enquêtes](#managed-policies-cloudwatch-QInvestigations)
+ [AWS politiques gérées (prédéfinies) pour les signaux CloudWatch d'application](#managed-policies-cloudwatch-ApplicationSignals)
+ [AWS politiques gérées (prédéfinies) pour CloudWatch Synthetics](#managed-policies-cloudwatch-canaries)
+ [AWS politiques gérées (prédéfinies) pour Amazon CloudWatch RUM](#managed-policies-cloudwatch-RUM)
+ [AWS politique gérée pour AWS Systems Manager Incident Manager](#managed-policies-cloudwatch-incident-manager)

## CloudWatch mises à jour des politiques AWS gérées
<a name="security-iam-awsmanpol-updates"></a>

Consultez les détails des mises à jour des politiques AWS gérées CloudWatch depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du CloudWatch document.




| Modifier | Description | Date | 
| --- | --- | --- | 
|   [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess)— Politique mise à jour  |  CloudWatch a mis à jour la **CloudWatchSyntheticsFullAccess**politique. L'`cloudwatch:ListMetrics`autorisation a été ajoutée afin que CloudWatch Synthetics puisse répertorier les métriques disponibles. En outre, l'`apigateway:GET`autorisation a été modifiée, passant de l'autorisation à toutes les ressources à des ressources API Gateway spécifiques : REST APIs, étapes d'API REST, étapes d'API REST, exportations Swagger et HTTP. APIs  | 31 mars 2026 | 
|   [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant)— Politique mise à jour  |  CloudWatch a mis à jour la politique **AIOpsAssistantPolicy**IAM. Il a ajouté des autorisations pour permettre CloudWatch les enquêtes afin de faciliter les requêtes, le dépannage et le mappage topologique.  Les autorisations suivantes ont été ajoutées : `appsync:GetGraphqlApiEnvironmentVariables``cloudtrail:GetEventConfiguration`,`kms:GetKeyPolicy`, et `s3:GetBucketAbac`   | 06 février 2026 | 
|   [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant)— Politique mise à jour  |  CloudWatch a mis à jour la politique **AIOpsAssistantPolicy**IAM. Il a ajouté des autorisations pour permettre CloudWatch les enquêtes afin de faciliter les requêtes, le dépannage et le mappage topologique.  Les autorisations suivantes ont été ajoutées : `kms:GetKeyRotationStatus``kms:ListAliases`, et `kms:ListKeyRotations`   | 17 décembre 2025 | 
|   [CloudWatchNetworkMonitorServiceRolePolicy](security-iam-awsmanpol-nw.md#security-iam-CloudWatchNetworkMonitorServiceRolePolicy)— Politique mise à jour  |  CloudWatch a ajouté les `ec2:SearchTransitGatewayRoutes` autorisations `ec2:DescribeRouteTables``ec2:DescribeTransitGatewayAttachments`,`ec2:DescribeTransitGatewayRouteTables`, à la politique **CloudWatchNetworkMonitorServiceRolePolicy**gérée afin d'autoriser Network Synthetic Monitor à générer les valeurs des indicateurs de santé du réseau pour les clients utilisant Transit Gateway.  | 12 décembre 2025 | 
|   [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)— Politique mise à jour  |  CloudWatch a ajouté les `ec2:DescribeVpcEndpointServiceConfigurations` autorisations `ec2:DescribeVpcEndpoints` et à la politique **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**gérée pour autoriser Network Flow Monitor à générer des instantanés topologiques des points de terminaison VPC et de la configuration du service VPCE.  | 10 décembre 2025 | 
|   [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) — Politique mise à jour  |  CloudWatch autorisations ajoutées à la **CloudWatchFullAccessV2**. Des autorisations pour les actions d'administration de l'observabilité ont été ajoutées pour permettre un accès complet aux pipelines de télémétrie et aux intégrations de tables S3.  | 2 décembre 2025 | 
|   [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)— Politique mise à jour  |  CloudWatch a ajouté des autorisations à **CloudWatchReadOnlyAccess**. Des autorisations pour les actions d'administration de l'observabilité ont été ajoutées pour permettre l'accès en lecture seule aux pipelines de télémétrie et aux intégrations de tables S3.  | 2 décembre 2025 | 
|   [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) — Politique mise à jour   |  CloudWatch a mis à jour la politique **CloudWatchFullAccessV2** pour inclure des autorisations permettant de visualiser les événements de changement pour une entité et une plage de temps données, et d'interroger des services et des ressources non instrumentés depuis Application Signals en activant l'explorateur de ressources.   | 20 novembre 2025 | 
|   [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess)— Politique mise à jour   |  CloudWatch a mis à jour la **CloudWatchApplicationSignalsFullAccess**politique pour inclure des autorisations permettant de visualiser les événements de changement pour une entité et une plage de temps données, et d'interroger des services et des ressources non instrumentés depuis Application Signals en activant l'explorateur de ressources.   | 20 novembre 2025 | 
|   [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)— Politique mise à jour   |  CloudWatch a mis à jour la **CloudWatchReadOnlyAccess**politique pour inclure des autorisations permettant de visualiser les événements de changement pour une entité et une plage de temps données, et d'interroger des services et des ressources non instrumentés à partir de Applications Signals.   | 20 novembre 2025 | 
|   [CloudWatchApplicationSignalsReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess)— Politique mise à jour   |  CloudWatch a mis à jour la **CloudWatchApplicationSignalsReadOnlyAccess**politique pour inclure des autorisations permettant de visualiser les événements de changement pour une entité et une plage de temps données, et d'interroger des services et des ressources non instrumentés à partir de Applications Signals.   | 20 novembre 2025 | 
|  [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) : mise à jour d’une politique existante  |  CloudWatch a mis à jour la politique nommée **CloudWatchApplicationSignalsServiceRolePolicy**. Mise à jour de la politique pour inclure `resource-explorer-2:Search` et `cloudtrail:CreateServiceLinkedChannel` activer les nouvelles fonctionnalités des signaux d'application.  | 20 novembre 2025 | 
|   [AIOpsConsoleAdminPolicy — Politique mise à jour](https://docs.aws.amazon.com/managed-policies-QInvestigations-AIOpsConsoleAdminPolicy)   |  CloudWatch a mis à jour la **AIOpsConsoleAdminPolicy**politique pour inclure les autorisations d'intégration d'Amazon Q, permettant aux utilisateurs d'interagir avec les rapports d'incidents liés aux CloudWatch enquêtes via l'interface conversationnelle d'Amazon Q.  | 17 novembre 2025 | 
|   [AIOpsOperatorAccess — Politique mise à jour](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)   |  CloudWatch a mis à jour la **AIOpsOperatorAccess**politique pour inclure les autorisations d'intégration d'Amazon Q, permettant aux utilisateurs d'interagir avec les rapports d'incidents liés aux CloudWatch enquêtes via l'interface conversationnelle d'Amazon Q.  | 7 novembre 2025 | 
|   [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)— Politique mise à jour  |  CloudWatch a ajouté les `ec2:GetManagedPrefixListEntries` autorisations `ec2:DescribeManagedPrefixLists` et à la politique **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**gérée pour autoriser Network Flow Monitor à générer des instantanés topologiques des listes de préfixes gérées.  | 6 novembre 2025 | 
|   [AIOpsAssistantIncidentReportPolicy — Nouvelle politique](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html)   |  CloudWatch a ajouté la **AIOpsAssistantIncidentReportPolicy**politique permettant aux CloudWatch enquêtes de générer des rapports d'incidents à partir des données d'enquête, y compris les autorisations d'accès aux enquêtes, de création de rapports et de gestion des faits dérivés de l'IA.  | 10 octobre 2025 | 
|   [AIOpsOperatorAccess — Politique mise à jour](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)   |  CloudWatch a mis à jour la **AIOpsOperatorAccess**politique pour inclure les autorisations de génération de rapports d'incident, permettant aux utilisateurs de créer et de gérer des rapports d'incidents et de travailler sur des faits dérivés de l'IA dans CloudWatch le cadre d'enquêtes.  | 10 octobre 2025 | 
|   [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) - Mettre à jour vers une politique existante.   |   CloudWatch a ajouté des autorisations à **CloudWatchReadOnlyAccess**.  Des autorisations pour les actions d'administration de l'observabilité ont été ajoutées pour permettre un accès en lecture seule aux règles de télémétrie, aux configurations de centralisation et aux données de télémétrie des ressources entre elles. AWS Organizations  |   10 octobre 2025  | 
|  [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) — Mises à jour des politiques existantes  |  CloudWatch mise à jour de la **CloudWatchFullAccessV2** pour inclure CloudTrail les autorisations Service Quotas afin de prendre en charge les principales observations et la fonctionnalité des indicateurs de modification dans Application Signals.   | 8 octobre 2025 | 
|  [CloudWatchReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) : mise à jour des politiques existantes  |  CloudWatch mis **CloudWatchReadOnlyAccess **à jour pour inclure CloudTrail les autorisations Service Quotas afin de prendre en charge les principales observations et la fonctionnalité des indicateurs de modification dans Application Signals.   | 8 octobre 2025 | 
|   [CloudWatchApplicationSignalsReadOnlyAccess — Politique mise à jour](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html)   |  CloudWatch a mis à jour la **CloudWatchApplicationSignalsReadOnlyAccess**politique afin de suivre l'évolution des ressources et des services dans votre compte et de consulter les principales observations relatives aux anomalies de service dans votre compte.  | 29 septembre 2025 | 
|   [CloudWatchApplicationSignalsFullAccess — Politique mise à jour](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html)   |  CloudWatch a mis à jour la **CloudWatchApplicationSignalsFullAccess**politique afin de suivre l'évolution des ressources et des services dans votre compte et de consulter les principales observations relatives aux anomalies de service dans votre compte.  | 29 septembre 2025 | 
|   [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant)— Politique mise à jour  |  CloudWatch a mis **AIOpsAssistantPolicy**à jour le pour permettre aux CloudWatch enquêtes d'accéder à des ressources supplémentaires pour faciliter les requêtes, le dépannage et le mappage topologique. Cette politique accorde aux CloudWatch enquêtes les autorisations nécessaires pour mener des enquêtes.   | 24 septembre 2025 | 
|   [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy)— Politique mise à jour  |  CloudWatch a mis à jour la **AIOpsConsoleAdminPolicy**politique afin de permettre la validation des groupes d'enquête sur l'ensemble des comptes. Cette politique permet aux utilisateurs d'accéder aux actions d' CloudWatch investigation et aux AWS actions supplémentaires nécessaires pour accéder aux événements d'enquête.   | 13 juin 2025 | 
|  [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess)— Politique mise à jour  |  CloudWatch a mis à jour la **AIOpsOperatorAccess**politique afin de permettre la validation des groupes d'enquête sur l'ensemble des comptes. Cette politique permet aux utilisateurs d'accéder aux actions d' CloudWatch investigation et aux AWS actions supplémentaires nécessaires pour accéder aux événements d'enquête.  | 13 juin 2025 | 
|  [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant)— Mises à jour de la politique existante  |  CloudWatch a mis à jour la politique **AIOpsAssistantPolicy**IAM. Il a ajouté des autorisations permettant aux enquêtes opérationnelles CloudWatch d'Application Insights de trouver des informations dans vos ressources au cours des enquêtes. Les autorisations suivantes ont été ajoutées : `appsync:GetGraphqlApi`, `appsync:GetDataSource`, `iam:ListAttachedRolePolicies`, `iam:ListRolePolicies` et `iam:ListRoles` En outre, l’autorisation `elastic-inference:Describe*` a été supprimée de la politique.  | 13 juin 2025 | 
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess)— Politique mise à jour  |  CloudWatch a ajouté des autorisations à la **AmazonCloudWatchRUMReadOnlyAccess**politique. Le `synthetics: describeCanaries` et `synthetics:describeCanariesLastRun` a été ajouté afin que CloudWatch RUM puisse afficher les Synthetics Canaries associés sur le moniteur de l'application RUM. `cloudwatch:GetMetricData`Il a été ajouté afin que CloudWatch RUM puisse afficher CloudWatch les métriques associées sur le moniteur de l'application RUM. `cloudwatch:DescribeAlarms`Il a été ajouté afin que CloudWatch RUM puisse afficher les CloudWatch alarmes associées sur le moniteur de l'application RUM. `logs:DescribeLogGroups`Il a été ajouté afin que CloudWatch RUM puisse afficher CloudWatch les journaux associés sur le moniteur de l'application RUM. `xray:GetTraceSummaries`Il a été ajouté afin que CloudWatch RUM puisse afficher les segments X-Ray Trace associés sur le moniteur de l'application RUM. `rum:ListTagsForResources`Il a été ajouté afin que CloudWatch RUM puisse afficher les balises associées sur le moniteur de l'application RUM.  | 28 juin 2025 | 
|  [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess)— Politique mise à jour  |  CloudWatch a mis à jour la **AIOpsReadOnlyAccess**politique afin de permettre la validation des groupes d'enquête sur l'ensemble des comptes. Cette politique accorde à un utilisateur des autorisations en lecture seule pour Amazon AI Operations et d’autres services associés.  | 5 juin 2025 | 
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess)— Politique mise à jour  |  CloudWatch a ajouté une autorisation à la **AmazonCloudWatchRUMReadOnlyAccess**politique. L'`rum:GetResourcePolicy`autorisation a été ajoutée afin que CloudWatch RUM puisse consulter la politique de ressources attachée au moniteur d'application RUM.  | 28 avril 2025 | 
|  [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) : nouvelle politique  |  CloudWatch a créé une nouvelle politique nommée **AIOpsConsoleAdminPolicy**. Cette politique accorde aux utilisateurs un accès administratif complet pour gérer les CloudWatch enquêtes, y compris la gestion de la propagation d'identités fiables, la gestion du centre d'identité IAM et l'accès organisationnel.  | 3 décembre 2024 | 
|  [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) : nouvelle politique  |  CloudWatch a créé une nouvelle politique nommée **AIOpsOperatorAccess**. Cette politique permet aux utilisateurs d'accéder aux actions d' CloudWatch investigation et aux AWS actions supplémentaires nécessaires pour accéder aux événements d'enquête.  | 3 décembre 2024 | 
|  [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) : nouvelle politique  |  CloudWatch a créé une nouvelle politique nommée **AIOpsReadOnlyAccess**. Cette politique accorde à un utilisateur des autorisations en lecture seule pour Amazon AI Operations et d’autres services associés.  | 3 décembre 2024 | 
|  [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) : nouvelle politique  |  CloudWatch a créé une nouvelle politique nommée **AIOpsAssistantPolicy**. Vous n’affectez pas cette politique à un utilisateur. Vous attribuez cette politique à l'assistant des opérations Amazon AI afin de permettre aux CloudWatch enquêtes d'analyser vos AWS ressources lors de l'investigation d'événements opérationnels.  | 3 décembre 2024 | 
|  [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) — Mises à jour des politiques existantes  |  CloudWatch mis à jour à la fois **CloudWatchFullAccessV2** et **CloudWatchFullAccess**. Des autorisations pour Amazon OpenSearch Service ont été ajoutées pour permettre l'intégration CloudWatch des journaux OpenSearch au service pour certaines fonctionnalités.  | 1er décembre 2024 | 
|  [CloudWatchNetworkFlowMonitorServiceRolePolicy](using-service-linked-roles-network-flow-monitor.md) : nouvelle politique  |  CloudWatch a ajouté une nouvelle politique **CloudWatchNetworkFlowMonitorServiceRolePolicy**. **CloudWatchNetworkFlowMonitorServiceRolePolicy**accorde à Network Flow Monitor l'autorisation de publier des métriques sur CloudWatch. Il permet également au service d'obtenir AWS Organizations des informations pour des scénarios multi-comptes.  | 1er décembre 2024 | 
|  [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) : nouvelle politique  |  CloudWatch a ajouté une nouvelle politique **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**. **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**accorde à Network Flow Monitor l'autorisation de générer des instantanés topologiques des ressources utilisées dans votre compte.  | 1er décembre 2024 | 
|  [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) : nouvelle politique  |  CloudWatch a ajouté une nouvelle politique **CloudWatchNetworkFlowMonitorAgentPublishPolicy**. **CloudWatchNetworkFlowMonitorAgentPublishPolicy**accorde des autorisations aux ressources, telles que les instances Amazon EC2 et Amazon EKS, pour envoyer des rapports de télémétrie (métriques) à un point de terminaison Network Flow Monitor.  | 1er décembre 2024 | 
|  [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) : mise à jour d’une politique existante  |  CloudWatch a mis à jour la politique nommée **CloudWatchSyntheticsFullAccess**. Les actions CloudWatch Logs suivantes ont été ajoutées pour permettre à CloudWatch Synthetics d'obtenir et d'utiliser les données Canary Log dans les groupes de logs Lambda. L’autorisation `lambda:GetFunction` a également été ajoutée pour permettre à Synthetics d’obtenir des informations sur une fonction spécifique. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch.html) De plus, les actions de version de la couche Lambda s'appliquent désormais à toutes les couches SyntheticsCloudWatch . ARNs  | 20 novembre 2024 | 
|  [CloudWatchInternetMonitorReadOnlyAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorReadOnlyAccess)— Nouveau **CloudWatchInternetMonitorReadOnlyAccess**. Cette politique accorde un accès en lecture seule aux ressources et aux actions disponibles dans la CloudWatch console d'Internet Monitor. La portée de cette politique inclut `internetmonitor:` afin que les utilisateurs puissent utiliser les actions et les ressources du Moniteur Internet en lecture seule. Il inclut certaines `cloudwatch:` politiques pour récupérer des informations sur CloudWatch les métriques. Elle inclut certaines politiques `logs:` pour gérer les requêtes de journaux.   | 14 novembre 2024 | 
|  [CloudWatchInternetMonitorFullAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorFullAccess) : nouvelle politique  |  CloudWatch a créé une nouvelle politique nommée **CloudWatchInternetMonitorFullAccess**. Cette politique accorde un accès complet aux ressources et aux actions disponibles dans la CloudWatch console d'Internet Monitor. La portée de cette politique inclut `internetmonitor:` afin que les utilisateurs puissent utiliser les actions et les ressources du Moniteur Internet. Il inclut certaines `cloudwatch:` politiques pour récupérer des informations sur les CloudWatch alarmes et les métriques. Elle inclut certaines politiques `logs:` pour gérer les requêtes de journaux. Elle inclut certaines politiques `ec2:`, `cloudfront:`, `elasticloadbalancing:` et `workspaces:` pour travailler avec les ressources que vous ajoutez aux moniteurs afin que le Moniteur Internet puisse créer un profil de trafic pour votre application. Elle contient quelques politiques `iam:` pour gérer les rôles IAM.   | 23 octobre 2024 | 
|  [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](#managed-policies-CloudWatchLambdaApplicationSignalsExecutionRolePolicy)— Nouveau **CloudWatchLambdaApplicationSignalsExecutionRolePolicy**. Cette politique est utilisée lorsque CloudWatch Application Signals est activé pour les charges de travail Lambda. Il permet d'accéder en écriture à X-Ray et au groupe de journaux utilisé par CloudWatch Application Signals.  | 16 octobre 2024 | 
|  [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) : mise à jour d’une politique existante  |  CloudWatch a mis à jour la politique nommée **CloudWatchSyntheticsFullAccess**. Les autorisations `lambda:ListTags`, `lambda:TagResource` et `lambda:UntagResource` ont été ajoutées pour que, lorsque vous appliquez ou modifiez des balises sur un canary, vous puissiez choisir de faire en sorte que Synthetics applique également ces mêmes balises ou modifications à la fonction Lambda que le canary utilise.  | 11 octobre 2024 | 
|  [CloudWatchApplicationSignalsReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) : nouvelle politique  |  CloudWatch a créé une nouvelle politique nommée **CloudWatchApplicationSignalsReadOnlyAccess**. Cette politique accorde un accès en lecture seule aux ressources et aux actions disponibles dans la CloudWatch console pour Application Signals. Le champ d'application de cette politique inclut des `application-signals:` politiques permettant aux utilisateurs d'utiliser les actions et les ressources en lecture seule disponibles dans la CloudWatch console sous Signaux d'application. Il contient une politique `iam:` pour gérer les rôles IAM. Il inclut quelques politiques `logs:` pour gérer les requêtes et les filtres de journaux. Il inclut des `cloudwatch:` politiques pour récupérer des informations sur les CloudWatch alarmes et les métriques. Il inclut certaines politiques `synthetics:` pour récupérer des informations sur les scripts canary synthétiques. Il inclut des politiques `rum:` pour gérer les clients et les tâches RUM. Il contient une politique `xray:` pour obtenir des résumés de traces.   | 7 juin 2024 | 
|  [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) : nouvelle politique  |  CloudWatch a créé une nouvelle politique nommée **CloudWatchApplicationSignalsFullAccess**. Cette politique accorde un accès complet aux ressources et aux actions disponibles dans la CloudWatch console pour Application Signals. La portée de cette politique inclut `application-signals:` afin que les utilisateurs puissent utiliser les actions et les ressources de la vigie applicative. Il inclut certaines `cloudwatch:` politiques pour récupérer des informations sur les CloudWatch alarmes et les métriques. Elle inclut certaines politiques `logs:` pour gérer les requêtes de journaux. Il inclut certaines politiques `synthetics:` pour écrire et récupérer des informations sur les scripts canary synthétiques. Il inclut des politiques `rum:` pour gérer les clients et les tâches RUM. Il contient une politique `xray:` pour obtenir des résumés de traces. Il inclut certaines `cloudwatch:` politiques pour gérer les CloudWatch alarmes. Elle contient quelques politiques `iam:` pour gérer les rôles IAM. Il inclut quelques politiques `sns:` pour gérer les notifications Amazon Simple Notification Service.  | 7 juin 2024 | 
|  [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) — Mise à jour d'une politique existante  |  CloudWatch a mis à jour la politique nommée **CloudWatchFullAccessV2**. Le champ d'application de la `CloudWatchFullAccessPermissions` politique a été mis à jour pour `application-signals:*` permettre aux utilisateurs d'utiliser les signaux d' CloudWatch application pour visualiser, étudier et diagnostiquer les problèmes liés à l'état de santé de leurs services.  | 20 mai 2024 | 
|  [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) : mise à jour d’une politique existante  |  CloudWatch a mis à jour la politique nommée **CloudWatchReadOnlyAccess**. Le champ d'application de la `CloudWatchReadOnlyAccessPermissions` politique a été mis à jour pour ajouter `application-signals:BatchGet*``application-signals:List*`, et `application-signals:Get*` afin que les utilisateurs puissent utiliser les signaux d'CloudWatch application pour visualiser, étudier et diagnostiquer les problèmes liés à l'état de santé de leurs services. Le champ d'application de `CloudWatchReadOnlyGetRolePermissions` a été mis à jour pour ajouter l'`iam:GetRole`action afin que les utilisateurs puissent vérifier si CloudWatch Application Signals est configuré.  | 20 mai 2024 | 
|  [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) : mise à jour d’une politique existante  |  CloudWatch a mis à jour la politique nommée **CloudWatchApplicationSignalsServiceRolePolicy**. La portée des `logs:GetQueryResults` autorisations `logs:StartQuery` et a été modifiée pour ajouter `arn:aws:logs:*:*:log-group:/aws/appsignals/*:*` et activer les signaux `arn:aws:logs:*:*:log-group:/aws/application-signals/data:*` ARNs d'application sur un plus grand nombre d'architectures.  | 18 avril 2024 | 
|  [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) : mise à jour d’une politique existante  |  CloudWatch a modifié le champ d'application d'une autorisation dans **CloudWatchApplicationSignalsServiceRolePolicy**. La portée de l’autorisation `cloudwatch:GetMetricData` a été modifiée en `*` afin que la vigie applicative puisse récupérer des métriques à partir de sources dans des comptes liés.  | 08 avril 2024 | 
|  [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy) : mise à jour d’une politique existante  |  CloudWatch a ajouté des autorisations à **CloudWatchAgentServerPolicy**. Les `logs:PutRetentionPolicy` autorisations`xray:PutTraceSegments`,`xray:PutTelemetryRecords`, `xray:GetSamplingRules``xray:GetSamplingTargets`, `xray:GetSamplingStatisticSummaries` et ont été ajoutées afin que l' CloudWatch agent puisse publier des traces X-Ray et modifier les périodes de conservation des groupes de journaux.  | 12 février 2024 | 
|  [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy) : mise à jour d’une politique existante  |  CloudWatch a ajouté des autorisations à **CloudWatchAgentAdminPolicy**. Les `logs:PutRetentionPolicy` autorisations`xray:PutTraceSegments`,`xray:PutTelemetryRecords`, `xray:GetSamplingRules``xray:GetSamplingTargets`, `xray:GetSamplingStatisticSummaries` et ont été ajoutées afin que l' CloudWatch agent puisse publier des traces X-Ray et modifier les périodes de conservation des groupes de journaux.  | 12 février 2024 | 
|  [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) — Mise à jour d'une politique existante  |  CloudWatch autorisations ajoutées à la **CloudWatchFullAccessV2**. Les autorisations existantes pour les actions CloudWatch Synthetics, X-Ray CloudWatch et RUM ainsi que de nouvelles CloudWatch autorisations pour les signaux d'application ont été ajoutées afin que les utilisateurs dotés de cette politique CloudWatch puissent gérer les signaux d'application. L'autorisation de créer le rôle lié au service CloudWatch Application Signals a été ajoutée pour permettre à CloudWatch Application Signals de découvrir les données de télémétrie dans les journaux, les métriques, les traces et les balises.  | 5 décembre 2023 | 
|  [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) : mise à jour d’une politique existante  |  CloudWatch a ajouté des autorisations à **CloudWatchReadOnlyAccess**. Les autorisations de lecture seule existantes pour les actions Synthetics CloudWatch , X-Ray et CloudWatch RUM ainsi que de nouvelles autorisations de lecture seule pour les signaux d' CloudWatchapplication ont été ajoutées afin que les utilisateurs soumis à cette politique puissent trier et diagnostiquer les problèmes de santé de leurs services tels que signalés par Application Signals. CloudWatch  L'`cloudwatch:GenerateQuery`autorisation a été ajoutée afin que les utilisateurs dotés de cette politique puissent générer une chaîne de requête CloudWatch Metrics Insights à partir d'une invite en langage naturel.   | 5 décembre 2023 | 
|   [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) - Mettre à jour vers une politique existante.   |   CloudWatch a ajouté une autorisation à **CloudWatchReadOnlyAccess**.   L'`cloudwatch:GenerateQuery`autorisation a été ajoutée afin que les utilisateurs dotés de cette politique puissent générer une chaîne de requête [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) à partir d'une invite en langage naturel.   |   1 décembre 2023   | 
|  [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) : nouvelle politique  |  CloudWatch a ajouté une nouvelle politique **CloudWatchApplicationSignalsServiceRolePolicy**. Il **CloudWatchApplicationSignalsServiceRolePolicy**accorde à une fonctionnalité à venir l'autorisation de collecter CloudWatch les données des journaux, les données de trace X-Ray, CloudWatch les données métriques et les données de marquage.  | 9 novembre 2023 | 
|  [AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-permissions-dbperfinsights) : nouvelle politique  |  CloudWatch a ajouté une nouvelle politique **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy**. Le **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy**autorise CloudWatch à récupérer les métriques Performance Insights à partir de bases de données en votre nom.  | 20 septembre 2023 | 
|  [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) : mise à jour d’une politique existante  |  CloudWatch a ajouté une autorisation à **CloudWatchReadOnlyAccess**. L'autorisation `application-autoscaling:DescribeScalingPolicies` a été ajoutée pour que les utilisateurs dotés de cette politique puissent accéder aux informations sur les politiques Application Auto Scaling.  | 14 septembre 2023 | 
|  [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) — Nouvelle politique  |  CloudWatch a ajouté une nouvelle politique **CloudWatchFullAccessV2**. La **CloudWatchFullAccessV2** accorde un accès complet aux CloudWatch actions et aux ressources tout en définissant mieux les autorisations accordées à d'autres services tels qu'Amazon Amazon EC2 Auto Scaling SNS et. Pour plus d'informations, reportez-vous à la section [ CloudWatchFullAccessV2](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch-CloudWatchFullAccessV2.html).  | 1er août 2023 | 
|  [AWSServiceRoleForInternetMonitor](using-service-linked-roles-CWIM.md#service-linked-role-permissions-CWIM-AWSServiceRoleForInternetMonitor) : mise à jour d’une politique existante  |  Amazon CloudWatch Internet Monitor a ajouté de nouvelles autorisations pour surveiller les ressources de Network Load Balancer. Les autorisations `elasticloadbalancing:DescribeLoadBalancers` et `ec2:DescribeNetworkInterfaces` sont requises pour que Moniteur Internet puisse surveiller le trafic Network Load Balancer des clients en analysant les journaux de flux pour détecter les ressources NLB. Pour de plus amples informations, veuillez consulter [Utilisation du Moniteur Internet](CloudWatch-InternetMonitor.md).  | 15 juillet 2023 | 
|  [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) : mise à jour d’une politique existante  |  CloudWatch a ajouté des autorisations à **CloudWatchReadOnlyAccess**. Les `logs:StopLiveTail` autorisations `logs:StartLiveTail` et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour démarrer et arrêter CloudWatch les sessions Logs Live Tail. Pour plus d'informations, veuillez consulter [Utilisation de Live Tail pour visualiser les journaux en temps quasi réel](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html).  | 6 juin 2023 | 
|  [CloudWatchCrossAccountSharingConfiguration](#managed-policies-cloudwatch-CloudWatchCrossAccountSharingConfiguration) : nouvelle politique  |  CloudWatch a ajouté une nouvelle politique pour vous permettre de gérer les liens d'observabilité CloudWatch entre comptes qui partagent CloudWatch des métriques. Pour de plus amples informations, veuillez consulter [CloudWatch observabilité entre comptes](CloudWatch-Unified-Cross-Account.md).  | 27 novembre 2022 | 
|  [OAMFullAccès](#managed-policies-cloudwatch-OAMFullAccess) — Nouvelle politique  |  CloudWatch a ajouté une nouvelle politique pour vous permettre de gérer entièrement les liens et CloudWatch les puits d'observabilité entre comptes. Pour de plus amples informations, veuillez consulter [CloudWatch observabilité entre comptes](CloudWatch-Unified-Cross-Account.md).  | 27 novembre 2022 | 
|  [OAMReadOnlyAccess](#managed-policies-cloudwatch-OAMReadOnlyAccess) : nouvelle politique  |  CloudWatch a ajouté une nouvelle politique pour vous permettre de consulter les informations sur les liens et CloudWatch les puits d'observabilité entre comptes. Pour de plus amples informations, veuillez consulter [CloudWatch observabilité entre comptes](CloudWatch-Unified-Cross-Account.md).  | 27 novembre 2022 | 
|  [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess) : mise à jour d’une politique existante  |  CloudWatch a ajouté des autorisations à **CloudWatchFullAccess**. Les `oam:ListAttachedLinks` autorisations `oam:ListSinks` et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes.  | 27 novembre 2022 | 
|  [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) : mise à jour d’une politique existante  |  CloudWatch a ajouté des autorisations à **CloudWatchReadOnlyAccess**. Les `oam:ListAttachedLinks` autorisations `oam:ListSinks` et ont été ajoutées afin que les utilisateurs soumis à cette politique puissent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes.  | 27 novembre 2022 | 
|  [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) : mise à jour d’une politique existante  |  CloudWatch RUM a mis à jour une clé de condition dans **AmazonCloudWatchRUMServiceRolePolicy**. La clé de `"Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } }` condition a été modifiée comme suit afin que CloudWatch RUM puisse envoyer des métriques personnalisées à des espaces de noms de métriques personnalisés. <pre>"Condition": {<br />    "StringLike": {<br />		"cloudwatch:namespace": [<br />			"RUM/CustomMetrics/*",<br />			"AWS/RUM"<br />		]<br />	}<br />}<br />									<br />								</pre>  | 2 février 2023 | 
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess)— Politique mise à jour  |  CloudWatch a ajouté des autorisations à la **AmazonCloudWatchRUMReadOnlyAccess**politique. Les `rum:BatchGetRumMetricsDefinitions` autorisations `rum:ListRumMetricsDestinations` et ont été ajoutées afin que CloudWatch RUM puisse envoyer des métriques étendues àCloudWatch.  | 27 octobre 2022 | 
|  [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) : mise à jour d’une politique existante  |  CloudWatch RUM a ajouté des autorisations à **AmazonCloudWatchRUMServiceRolePolicy**. L'`cloudwatch:PutMetricData`autorisation a été ajoutée afin que CloudWatch RUM puisse envoyer des métriques étendues à CloudWatch.  | 26 octobre 2022 | 
|  [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) : mise à jour d’une politique existante  |  CloudWatch Synthetics a ajouté des autorisations à. **CloudWatchSyntheticsFullAccess** Les `lambda:DeleteLayerVersion` autorisations `lambda:DeleteFunction` et ont été ajoutées afin que CloudWatch Synthetics puisse supprimer les ressources associées lorsqu'un canari est supprimé. L'autorisation `iam:ListAttachedRolePolicies` a été ajoutée afin que les clients puissent afficher les politiques attachées au rôle IAM d'un canary.  | 6 mai 2022 | 
|  [AmazonCloudWatchRUMFullAccès](#managed-policies-CloudWatchRUMFullAccess) — Nouvelle politique  |  CloudWatch a ajouté une nouvelle politique pour permettre la gestion complète du CloudWatch RUM. CloudWatch RUM vous permet d'effectuer une véritable surveillance des utilisateurs de votre application Web. Pour de plus amples informations, veuillez consulter [CloudWatch RHUM](CloudWatch-RUM.md).  | 29 novembre 2021 | 
|  [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) : nouvelle politique  |  CloudWatch a ajouté une nouvelle politique pour permettre l'accès en lecture seule au CloudWatch RUM. CloudWatch RUM vous permet d'effectuer une véritable surveillance des utilisateurs de votre application Web. Pour de plus amples informations, veuillez consulter [CloudWatch RHUM](CloudWatch-RUM.md).  | 29 novembre 2021 | 
|  [**AWSServiceRoleForCloudWatchRUM**](using-service-linked-roles-RUM.md) — Nouvelle politique gérée  |  CloudWatch a ajouté une politique pour un nouveau rôle lié au service afin de permettre au CloudWatch RUM de publier des données de surveillance à d'autres services pertinents. AWS   | 29 novembre 2021 | 
|  [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) : mise à jour d’une politique existante  |  CloudWatch Synthetics a ajouté des autorisations **CloudWatchSyntheticsFullAccess**à une autorisation et en a également modifié la portée. L'`kms:ListAliases`autorisation a été ajoutée afin que les utilisateurs puissent répertorier AWS KMS les clés disponibles pouvant être utilisées pour chiffrer les artefacts Canary. Le`kms:DescribeKey`l'autorisation a été ajoutée afin que les utilisateurs puissent voir les détails des clés qui seront utilisées pour chiffrer des artefacts Canary. Et le`kms:Decrypt`l'autorisation a été ajoutée pour permettre aux utilisateurs de déchiffrer les artefacts Canary. Cette capacité de déchiffrement est limitée à une utilisation sur les ressources des compartiments Amazon S3. Le`Resource`portée de la`s3:GetBucketLocation`l'autorisation a été modifiée à partir de`*`pour`arn:aws:s3:::*`.  | 29 septembre 2021 | 
|  [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) : mise à jour d’une politique existante  |  CloudWatch Synthetics a ajouté une autorisation pour. **CloudWatchSyntheticsFullAccess** L'autorisation `lambda:UpdateFunctionCode` a été ajoutée afin que les utilisateurs disposant de cette politique puissent modifier la version d'exécution de scripts Canary.  | 20 juillet 2021 | 
|  [AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy](#managed-policies-cloudwatch-incident-manager)— Nouvelle politique gérée  |  CloudWatch a ajouté une nouvelle politique IAM gérée pour permettre de CloudWatch créer des incidents dans AWS Systems Manager Incident Manager.  | 10 mai 2021 | 
|  [ CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess) : mise à jour d’une politique existante  |  CloudWatch a ajouté une autorisation à la politique **CloudWatchAutomaticDashboardsAccess**gérée. L'`synthetics:DescribeCanariesLastRun`autorisation a été ajoutée à cette politique pour permettre aux utilisateurs du tableau de bord multi-comptes de voir des informations sur CloudWatch Synthetics Canary Runs.  | 20 avril 2021 | 
|  CloudWatch a commencé à suivre les modifications  |  CloudWatch a commencé à suivre les modifications apportées AWS à ses politiques gérées.  | 14 avril 2021 | 

## CloudWatchFullAccessV2
<a name="managed-policies-cloudwatch-CloudWatchFullAccessV2"></a>

AWS a récemment ajouté la politique IAM gérée par la **CloudWatchFullAccessV2**. Cette politique accorde un accès complet aux CloudWatch actions et aux ressources et définit également de manière plus appropriée les autorisations accordées pour d'autres services tels qu'Amazon Amazon EC2 Auto Scaling SNS et. Nous vous recommandons de commencer à utiliser cette politique plutôt que d'utiliser **CloudWatchFullAccess**. AWS prévoit de devenir obsolète **CloudWatchFullAccess**dans un futur proche.

Il inclut `application-signals:` des autorisations permettant aux utilisateurs d'accéder à toutes les fonctionnalités depuis la CloudWatch console sous Application Signals. Elle inclut certaines `autoscaling:Describe` autorisations afin que les utilisateurs soumis à cette politique puissent voir les actions Auto Scaling associées aux CloudWatch alarmes. Elle inclut certaines `sns` autorisations afin que les utilisateurs soumis à cette politique puissent récupérer, créer des rubriques Amazon SNS et les associer CloudWatch à des alarmes. Elle inclut des autorisations IAM afin que les utilisateurs soumis à cette politique puissent consulter les informations sur les rôles liés aux services associés à. CloudWatch Elle inclut les `oam:ListAttachedLinks` autorisations `oam:ListSinks` et afin que les utilisateurs soumis à cette politique puissent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes. Il inclut également CloudTrail des autorisations Service Quotas pour prendre en charge les principales observations et les fonctionnalités des indicateurs de changement dans Application Signals.

Il inclut des Amazon OpenSearch Service autorisations pour prendre en charge les tableaux de bord des journaux vendus dans CloudWatch Logs, qui sont créés à l'aide Amazon OpenSearch Service d'analyses. Il inclut des `resource-explorer-2:` politiques permettant aux utilisateurs d'utiliser la console pour consulter les services non instrumentés de leur compte. 

Il inclut `rum``synthetics`, et `xray` des autorisations permettant aux utilisateurs d'avoir un accès complet à CloudWatch Synthetics CloudWatch et RUM AWS X-Ray, qui sont tous couverts par le service. CloudWatch 

Pour consulter le contenu complet de la politique, reportez-vous à la section [CloudWatchFullAccessV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchFullAccessV2.html) du *Guide de référence des politiques AWS gérées*.

## CloudWatchFullAccess
<a name="managed-policies-cloudwatch-CloudWatchFullAccess"></a>

La **CloudWatchFullAccess**politique est sur le point de devenir obsolète. Nous vous recommandons d'arrêter de l'utiliser et d'utiliser la [CloudWatchFullAccessversion V2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) à la place.

## CloudWatchReadOnlyAccess
<a name="managed-policies-cloudwatch-CloudWatchReadOnlyAccess"></a>

 La **CloudWatchReadOnlyAccess**politique accorde un accès en lecture seule aux fonctionnalités d'observabilité associées CloudWatch et à celles qui y sont associées. 

 La politique inclut certaines `logs:` autorisations, de sorte que les utilisateurs dotés de cette politique peuvent utiliser la console pour consulter les informations CloudWatch des journaux et les requêtes de CloudWatch journaux Insights. Cela inclut`autoscaling:Describe*`, afin que les utilisateurs soumis à cette politique puissent voir les actions Auto Scaling associées aux CloudWatch alarmes. Il inclut les autorisations `application-signals:` afin que les utilisateurs puissent utiliser la vigie applicative pour surveiller l’état de leurs services. Elle inclut `application-autoscaling:DescribeScalingPolicies` afin que les utilisateurs dotés de cette politique puissent accéder aux informations sur les politiques Application Auto Scaling. Cela inclut `sns:Get*` et`sns:List*`, afin que les utilisateurs soumis à cette politique puissent récupérer des informations sur les rubriques Amazon SNS qui reçoivent des notifications concernant CloudWatch les alarmes. Elle inclut les `oam:ListAttachedLinks` autorisations `oam:ListSinks` et, de sorte que les utilisateurs soumis à cette politique peuvent utiliser la console pour consulter les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes. Il inclut les `iam:GetRole` autorisations permettant aux utilisateurs de vérifier si les signaux CloudWatch d'application ont été configurés. Il inclut également CloudTrail des autorisations Service Quotas pour prendre en charge les principales observations et les fonctionnalités des indicateurs de changement dans Application Signals. Il inclut des autorisations d'administration de l'observabilité pour consulter les règles de télémétrie, les configurations de centralisation et les données de télémétrie des ressources sur l'ensemble des ressources. AWS Organizations Cela inclut l'`cloudwatch:GenerateQuery`autorisation, afin que les utilisateurs dotés de cette politique puissent générer une chaîne de requête [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) à partir d'une invite en langage naturel. Il inclut des `resource-explorer-2:` politiques permettant aux utilisateurs d'utiliser la console pour consulter les services non instrumentés de leur compte. 

Il inclut `rum``synthetics`, et `xray` des autorisations permettant aux utilisateurs d'avoir un accès en lecture seule à Synthetics CloudWatch et CloudWatch RUM AWS X-Ray, qui sont tous couverts par le service. CloudWatch 

Pour consulter le contenu complet de la politique, consultez [CloudWatchReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*. 

## CloudWatchActionsEC2Accès
<a name="managed-policies-cloudwatch-CloudWatchActionsEC2Access"></a>

La politique **CloudWatchActionsEC2d'accès** accorde un accès en lecture seule aux CloudWatch alarmes et aux métriques en plus des métadonnées Amazon EC2. Il accorde également l'accès pour arrêter, interrompre et réinitialiser les actions d'API pour les instances EC2.

Pour consulter le contenu complet de la politique, consultez [CloudWatchActionsEC2Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchActionsEC2Access.html) dans le *Guide de référence des politiques AWS gérées*.

## CloudWatch-CrossAccountAccess
<a name="managed-policies-cloudwatch-CloudWatch-CrossAccountAccess"></a>

**La CloudWatch politique CrossAccountAccess gérée est utilisée par le rôle **CloudWatch- CrossAccountSharingRole** IAM.** Ce rôle et cette politique permettent aux utilisateurs de tableaux de bord intercomptes d'afficher des tableaux de bord automatiques dans chaque compte partageant des tableaux de bord.

Pour consulter le contenu complet de la politique, voir [CloudWatch- CrossAccountAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatch-CrossAccountAccess.html) dans le *Guide de référence des politiques AWS gérées*.

## CloudWatchAutomaticDashboardsAccess
<a name="managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess"></a>

La politique **CloudWatchAutomaticDashboardsAccess**gérée autorise l'accès à des ressources telles que CloudWatch les fonctions Lambda CloudWatch APIs, afin que les ressources telles que les fonctions Lambda puissent être affichées sur des tableaux de bord CloudWatch automatiques.

Pour consulter le contenu complet de la politique, consultez [CloudWatchAutomaticDashboardsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAutomaticDashboardsAccess.html)le *Guide de référence des politiques AWS gérées*.

## CloudWatchAgentServerPolicy
<a name="managed-policies-cloudwatch-CloudWatchAgentServerPolicy"></a>

La **CloudWatchAgentServerPolicy**politique peut être utilisée dans les rôles IAM attachés aux instances Amazon EC2 pour permettre à CloudWatch l'agent de lire les informations de l'instance et de les y écrire. CloudWatch

Pour consulter le contenu complet de la politique, consultez [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html)le *Guide de référence des politiques AWS gérées*.

## CloudWatchAgentAdminPolicy
<a name="managed-policies-cloudwatch-CloudWatchAgentAdminPolicy"></a>

La **CloudWatchAgentAdminPolicy**politique peut être utilisée dans les rôles IAM attachés aux instances Amazon EC2. Cette politique permet à l' CloudWatch agent de lire les informations de l'instance et de les écrire CloudWatch, ainsi que d'écrire des informations dans Parameter Store.

Pour consulter le contenu complet de la politique, consultez [CloudWatchAgentAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentAdminPolicy.html)le *Guide de référence des politiques AWS gérées*.

## CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
<a name="managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy"></a>

Vous ne pouvez pas joindre de ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` à vos entités IAM. Cette politique est attachée à un rôle lié à un service nommé. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** À l’aide de ces autorisations, ainsi que de la collecte interne d’informations sur les métadonnées (pour améliorer les performances), ce rôle lié à un service rassemble des métadonnées sur les configurations du réseau de ressources, telles que la description des tables de routage et des passerelles, pour les ressources dont le trafic réseau est surveillé par ce service. Ces métadonnées permettent à Network Flow Monitor de générer des instantanés de la topologie des ressources. En cas de dégradation du réseau, Network Flow Monitor utilise les topologies pour fournir des indications sur l’emplacement des problèmes dans le réseau et pour aider à déterminer l’attribution des problèmes. 

Pour voir les autorisations de cette stratégie, consultez [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.

Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).

**Note**  
Vous pouvez consulter ces politiques d'autorisations en vous connectant à la console IAM et en y recherchant des politiques spécifiques.

Vous pouvez également créer vos propres politiques IAM personnalisées afin d'accorder des autorisations pour les actions et les ressources CloudWatch . Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui nécessitent ces autorisations. 

## AWS politiques gérées (prédéfinies) pour l' CloudWatch observabilité entre comptes
<a name="managed-policies-cloudwatch-crossaccount"></a>

Les politiques décrites dans cette section accordent des autorisations liées à l' CloudWatch observabilité entre comptes. Pour de plus amples informations, veuillez consulter [CloudWatch observabilité entre comptes](CloudWatch-Unified-Cross-Account.md). 

### CloudWatchCrossAccountSharingConfiguration
<a name="managed-policies-cloudwatch-CloudWatchCrossAccountSharingConfiguration"></a>

La **CloudWatchCrossAccountSharingConfiguration**politique autorise l'accès à la création, à la gestion et à l'affichage des liens d'Observability Access Manager pour le partage de CloudWatch ressources entre comptes. Pour de plus amples informations, veuillez consulter [CloudWatch observabilité entre comptes](CloudWatch-Unified-Cross-Account.md).

Pour consulter le contenu complet de la politique, consultez [CloudWatchCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchCrossAccountSharingConfiguration.html)le *Guide de référence des politiques AWS gérées*.

### OAMFullAccès
<a name="managed-policies-cloudwatch-OAMFullAccess"></a>

La politique **OAMFulld'accès** autorise l'accès à la création, à la gestion et à l'affichage des puits et des liens d'Observability Access Manager, qui sont utilisés pour l'observabilité CloudWatch entre comptes. 

La politique **OAMFulld'accès** en elle-même ne vous permet pas de partager des données d'observabilité entre des liens. Pour créer un lien permettant de partager des CloudWatch statistiques, vous avez également besoin de l'un **CloudWatchFullAccess**ou de l'autre **CloudWatchCrossAccountSharingConfiguration**. Pour créer un lien permettant de partager CloudWatch des groupes de journaux Logs, vous avez également besoin de l'un **CloudWatchLogsFullAccess**ou de **CloudWatchLogsCrossAccountSharingConfiguration**. Pour créer un lien permettant de partager des traces de X-Ray, vous avez également besoin de l'un **AWSXRayFullAccess**ou de l'autre **AWSXRayCrossAccountSharingConfiguration**.

Pour de plus amples informations, veuillez consulter [CloudWatch observabilité entre comptes](CloudWatch-Unified-Cross-Account.md).

Pour consulter le contenu complet de la politique, consultez [OAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMFullAccess.html) dans le *Guide de référence des politiques AWS gérées*.

### OAMReadOnlyAccess
<a name="managed-policies-cloudwatch-OAMReadOnlyAccess"></a>

La **OAMReadOnlyAccess**politique accorde un accès en lecture seule aux ressources de l'Observability Access Manager, qui sont utilisées pour CloudWatch l'observabilité entre comptes. Pour de plus amples informations, veuillez consulter [CloudWatch observabilité entre comptes](CloudWatch-Unified-Cross-Account.md).

Pour consulter le contenu complet de la politique, consultez [OAMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.

## AWS politiques gérées (prédéfinies) pour les CloudWatch enquêtes
<a name="managed-policies-cloudwatch-QInvestigations"></a>

Les politiques décrites dans cette section accordent des autorisations liées aux CloudWatch enquêtes. Pour de plus amples informations, veuillez consulter [CloudWatch enquêtes](Investigations.md). 

### AIOpsConsoleAdminPolicy
<a name="managed-policies-QInvestigations-AIOpsConsoleAdminPolicy"></a>

La **AIOpsConsoleAdminPolicy**politique accorde un accès complet à toutes les actions d' CloudWatch investigation et aux autorisations requises via la AWS console. Cette politique accorde également un accès limité aux autres services APIs requis pour les fonctionnalités d' CloudWatch investigation.
+ Les `aiops` autorisations donnent accès à toutes les actions d' CloudWatch investigation.
+ Les autorisations `organizations`, `sso`, `identitystore` et `sts` autorisent les actions nécessaires à la gestion d’IAM Identity Center qui facilitent les sessions tenant compte de l’identité. 
+ Les autorisations `ssm` sont nécessaires pour l’intégration de SSM Ops Item avec la gestion des problèmes par des tiers.
+ Les `iam` autorisations sont nécessaires pour que les administrateurs puissent transmettre des rôles IAM aux `ssm.integrations` services `aiops` et, le rôle étant ensuite utilisé par l'assistant pour analyser les ressources AWS 
**Important**  
Ces autorisations permettent aux utilisateurs avec cette politique de passer n’importe quel rôle IAM aux services `aiops` et `ssm.integrations`.
+ Il permet APIs à des services extérieurs d' CloudWatch effectuer des enquêtes, qui sont nécessaires au fonctionnement des fonctionnalités d'investigation. Il s'agit notamment d'actions de configuration Amazon Q Developer in chat applications AWS KMS, CloudTrail de suivi et de gestion des problèmes par des tiers par SMS.
+ Les `q` autorisations permettent l'intégration à Amazon Q, permettant aux utilisateurs d'interagir avec les rapports d' CloudWatch enquête et de les mettre à jour via l'interface conversationnelle d'Amazon Q.

Pour consulter le contenu complet de la politique, consultez [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsConsoleAdminPolicy.html)le *Guide de référence des politiques AWS gérées*.

### AIOpsOperatorAccess
<a name="managed-policies-QInvestigations-AIOpsOperatorAccess"></a>

La **AIOpsOperatorAccess**politique donne accès à un ensemble limité d' CloudWatch enquêtes APIs , notamment la création, la mise à jour et la suppression d'enquêtes, les événements d'enquête et les ressources d'enquête.

Cette politique ne donne accès qu’aux enquêtes. Vous devez vous assurer que les responsables IAM dotés de cette politique sont également autorisés à lire les données d' CloudWatchobservabilité telles que les métriques et les résultats des SLOs requêtes CloudWatch Logs.
+ Les `aiops` autorisations permettent d'accéder aux CloudWatch enquêtes APIs pour créer, mettre à jour et supprimer des enquêtes. 
+ Les autorisations `sso-directory`, `sso`, `identitystore` et `sts` autorisent les actions nécessaires à la gestion d’IAM Identity Center qui facilitent les sessions tenant compte de l’identité. 
+ Les autorisations `ssm` sont nécessaires pour l’intégration de SSM Ops Item avec la gestion des problèmes par des tiers.
+ Les `q` autorisations permettent l'intégration à Amazon Q, permettant aux utilisateurs d'interagir avec les rapports d' CloudWatch enquête et de les mettre à jour via l'interface conversationnelle d'Amazon Q.

Pour consulter le contenu complet de la politique, consultez [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)le *Guide de référence des politiques AWS gérées*.

### AIOpsReadOnlyAccess
<a name="managed-policies-QInvestigations-AIOpsReadOnlyAccess"></a>

La **AIOpsReadOnlyAccess**politique accorde des autorisations de lecture seule pour les CloudWatch enquêtes et autres services connexes.
+ Les `aiops` autorisations permettent d'accéder aux CloudWatch enquêtes APIs pour obtenir, répertorier et valider les groupes d'enquête. 
+ Les autorisations `sso` autorisent les actions nécessaires à la gestion d’IAM Identity Center qui facilitent les sessions tenant compte de l’identité. 
+ Les autorisations `ssm` sont nécessaires pour l’intégration de SSM Ops Item avec la gestion des problèmes par des tiers.

Pour consulter le contenu complet de la politique, consultez [AIOpsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.

### AIOpsAssistantPolicy
<a name="managed-policies-QInvestigations-AIOpsAssistant"></a>

Il s'agit de la politique par défaut recommandée AWS pour attribuer au rôle Amazon AI Operations (AIOps) utilisé par votre groupe de recherche afin de lui permettre d'analyser vos AWS ressources lors d'enquêtes sur des événements opérationnels. **AIOpsAssistantPolicy** Cette politique n'est pas destinée à être utilisée par des utilisateurs humains.

Vous pouvez choisir d'attribuer la politique automatiquement lorsque vous créez une enquête, ou vous pouvez attribuer la politique manuellement au rôle utilisé par l'enquête. Cette politique est définie en fonction des ressources analysées lors des CloudWatch enquêtes et sera mise à jour au fur et à mesure que de nouvelles ressources seront prises en charge. Pour une liste complète des services liés aux CloudWatch enquêtes, voir,[AWS services où les enquêtes sont soutenues](Investigations-Services.md).

Vous pouvez également choisir d'attribuer le général AWS [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)à l'assistant en plus de l'assigner **AIOpsAssistantPolicy**. La raison en est que cela **ReadOnlyAccess**sera mis à jour plus fréquemment AWS avec des autorisations pour les nouveaux AWS services et actions publiés. Ils **AIOpsAssistantPolicy**seront également mis à jour pour les nouvelles actions, mais pas aussi fréquemment.

Pour consulter le contenu complet de la politique, consultez [AIOpsAssistantPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)le *Guide de référence des politiques AWS gérées*.

### AIOpsAssistantIncidentReportPolicy
<a name="managed-policies-QInvestigations-AIOpsAssistantIncidentReportPolicy"></a>

La **AIOpsAssistantIncidentReportPolicy**politique accorde les autorisations requises par les CloudWatch enquêtes pour générer des rapports d'incidents à partir des données d'enquête.

Cette politique est destinée aux CloudWatch enquêtes afin de permettre la génération automatisée de rapports d'incident à partir des résultats des enquêtes.
+ Les `aiops` autorisations permettent d'accéder APIs aux CloudWatch enquêtes pour lire les données et les événements d'enquête, créer et mettre à jour des rapports d'incidents et gérer les faits dérivés de l'IA qui constituent la base de la génération de rapports.

Pour consulter le contenu complet de la politique, consultez [AIOpsAssistantIncidentReportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html)le *Guide de référence des politiques AWS gérées*.

## AWS politiques gérées (prédéfinies) pour les signaux CloudWatch d'application
<a name="managed-policies-cloudwatch-ApplicationSignals"></a>

Les politiques de cette section accordent des autorisations relatives aux signaux CloudWatch d'application. Pour de plus amples informations, veuillez consulter [Application Signals](CloudWatch-Application-Monitoring-Sections.md). 

### CloudWatchApplicationSignalsReadOnlyAccess
<a name="managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess"></a>

AWS a ajouté la politique IAM **CloudWatchApplicationSignalsReadOnlyAccess**gérée. Cette politique accorde un accès en lecture seule aux actions et aux ressources disponibles pour les utilisateurs dans la CloudWatch console sous Application Signals. Il inclut des `application-signals:` politiques permettant aux utilisateurs d'utiliser les signaux des CloudWatch applications pour consulter, étudier et surveiller l'état de leurs services. Il inclut une politique `iam:GetRole` pour permettre aux utilisateurs de récupérer des informations sur un rôle IAM. Il inclut des politiques `logs:` pour démarrer et arrêter les requêtes, récupérer la configuration d’un filtre métruc et obtenir les résultats des requêtes. Il inclut des `cloudwatch:` politiques permettant aux utilisateurs d'obtenir des informations sur une CloudWatch alarme ou des métriques. Il inclut des politiques `synthetics:` pour que les utilisateurs puissent récupérer des informations sur les exécutions de scripts canary synthétiques. Il inclut des politiques `rum:` pour que les utilisateurs puissent exécuter des opérations par lots, récupérer des données et mettre à jour des définitions de métriques pour les clients RUM. Il inclut une politique `xray:` pour récupérer des résumés de traces. Il inclut des `oam:` politiques permettant aux utilisateurs d'utiliser la console pour afficher les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes. Il inclut des `resource-explorer-2:` politiques permettant aux utilisateurs d'utiliser la console pour consulter les services non instrumentés de leur compte. 

Pour consulter le contenu complet de la politique, consultez [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.

### CloudWatchApplicationSignalsFullAccess
<a name="managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess"></a>

AWS a ajouté la politique IAM **CloudWatchApplicationSignalsFullAccess**gérée. Cette politique donne accès à toutes les actions et ressources disponibles pour les utilisateurs dans la CloudWatch console. Il inclut des `application-signals:` politiques permettant aux utilisateurs d'utiliser les signaux des CloudWatch applications pour consulter, étudier et surveiller l'état de leurs services. Il utilise les politiques `cloudwatch:` pour récupérer les données des métriques et des alarmes. Il utilise les politiques `logs:` pour gérer les requêtes et les filtres. Il utilise des politiques `synthetics:` pour que les utilisateurs puissent récupérer des informations sur les exécutions de scripts canary synthétiques. Il inclut des politiques `rum:` pour exécuter des opérations par lots, récupérer des données et mettre à jour les définitions de métriques pour les clients RUM. Il inclut une politique `xray:` pour récupérer des résumés de traces. Il inclut des règles `arn:aws:cloudwatch:*:*:alarm:` pour que les utilisateurs puissent récupérer des informations sur une alarme d’objectif de niveau de service (SLO). Il inclut des politiques `iam:` pour gérer les rôles IAM. Il utilise des politiques `sns:` pour créer, répertorier et s’abonner à une rubrique Amazon SNS. Il inclut des `oam:` politiques permettant aux utilisateurs d'utiliser la console pour afficher les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes. Il inclut des `resource-explorer-2:` politiques permettant aux utilisateurs d'utiliser la console pour consulter les services non instrumentés de leur compte

Pour consulter le contenu complet de la politique, consultez [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html)le *Guide de référence des politiques AWS gérées*.

### CloudWatchLambdaApplicationSignalsExecutionRolePolicy
<a name="managed-policies-CloudWatchLambdaApplicationSignalsExecutionRolePolicy"></a>

Cette politique est utilisée lorsque CloudWatch Application Signals est activé pour les charges de travail Lambda. Il permet d'accéder en écriture à X-Ray et au groupe de journaux utilisé par CloudWatch Application Signals.

Pour consulter le contenu complet de la politique, consultez [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLambdaApplicationSignalsExecutionRolePolicy.html)le *Guide de référence des politiques AWS gérées*.

## AWS politiques gérées (prédéfinies) pour CloudWatch Synthetics
<a name="managed-policies-cloudwatch-canaries"></a>

Les politiques **CloudWatchSyntheticsReadOnlyAccess** AWS gérées **CloudWatchSyntheticsFullAccess**et les politiques gérées sont disponibles pour que vous puissiez les attribuer aux utilisateurs qui géreront ou utiliseront CloudWatch Synthetics. Les politiques supplémentaires suivantes sont également pertinentes :
+ **AmazonS3 ReadOnlyAccess** et **CloudWatchReadOnlyAccess**— Ils sont nécessaires pour lire toutes les données Synthetics dans la console. CloudWatch 
+ **AWSLambdaReadOnlyAccess**— Obligatoire pour consulter le code source utilisé par les canaris.
+ **CloudWatchSyntheticsFullAccess**— Permet de créer des canaris. En outre, pour créer et supprimer des scripts canary pour lesquels un nouveau rôle IAM a été créé, vous avez besoin d’autorisations de politique IAM spécifiques en ligne.
**Important**  
Le fait d'accorder à un utilisateur `iam:DetachRolePolicy` les autorisations `iam:CreateRole` `iam:DeleteRole` `iam:CreatePolicy` `iam:DeletePolicy``iam:AttachRolePolicy`,,,, et lui donne un accès administratif complet pour créer, associer et supprimer des rôles et des politiques ARNs correspondant `arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*` à`arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*`. Par exemple, un utilisateur disposant de ces autorisations peut créer une politique disposant d'autorisations complètes pour toutes les ressources et attacher cette politique à n'importe quel rôle. Faites attention aux personnes à qui vous accordez ces autorisations.

  Pour plus d'informations sur l'association des politiques et l'octroi d'autorisations aux utilisateurs, consultez [Modification des autorisations pour un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) et [Pour intégrer une politique en ligne pour un utilisateur ou un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console).

### CloudWatchSyntheticsFullAccess
<a name="managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess"></a>

Pour consulter le contenu complet de la politique, consultez [CloudWatchSyntheticsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsFullAccess.html)le *Guide de référence des politiques AWS gérées*.

### CloudWatchSyntheticsReadOnlyAccess
<a name="managed-policies-cloudwatch-CloudWatchSyntheticsReadOnlyAccess"></a>

Pour consulter le contenu complet de la politique, consultez [CloudWatchSyntheticsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.

## AWS politiques gérées (prédéfinies) pour Amazon CloudWatch RUM
<a name="managed-policies-cloudwatch-RUM"></a>

Les politiques **AmazonCloudWatchRUMFulld'accès** et **AmazonCloudWatchRUMReadOnlyAccess** AWS gérées sont disponibles pour que vous puissiez les attribuer aux utilisateurs qui géreront ou utiliseront CloudWatch RUM.

### AmazonCloudWatchRUMFullAccès
<a name="managed-policies-CloudWatchRUMFullAccess"></a>

Pour consulter le contenu complet de la politique, consultez [AmazonCloudWatchRUMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMFullAccess.html) dans le *Guide de référence des politiques AWS gérées*.

### AmazonCloudWatchRUMReadOnlyAccess
<a name="managed-policies-CloudWatchRUMReadOnlyAccess"></a>

**AmazonCloudWatchRUMReadOnlyAccess**Permet un accès administratif en lecture seule au RUM. CloudWatch 
+ L’autorisation `synthetics` permet d’afficher les scripts canary associés au moniteur de l’application RUM
+ L'`cloudwatch`autorisation permet d'afficher les CloudWatch métriques associées sur le moniteur de l'application RUM
+ L'`cloudwatch alarms`autorisation permet d'afficher les CloudWatch alarmes associées sur le moniteur de l'application RUM 
+ L'`cloudwatch logs`autorisation permet d'afficher les CloudWatch journaux associés sur le moniteur de l'application RUM 
+ L’autorisation `x-ray` permet d’afficher les traces X-Ray Trace associées au moniteur de l’application RUM 
+ L’autorisation `rum` permet d’afficher les balises associées au moniteur de l’app RUM 

Pour consulter le contenu complet de la politique, consultez [AmazonCloudWatchRUMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.

### AmazonCloudWatchRUMServiceRolePolicy
<a name="managed-policies-AmazonCloudWatchRUMServiceRolePolicy"></a>

Vous ne pouvez pas joindre de **AmazonCloudWatchRUMServiceRolePolicy** à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à CloudWatch RUM de publier des données de surveillance pour d'autres services pertinents AWS . Pour plus d'informations sur ce rôle lié à un service, consultez [Utilisation de rôles liés à un service pour RUM CloudWatch](using-service-linked-roles-RUM.md).

Pour consulter le contenu complet de la politique, consultez [AmazonCloudWatchRUMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.

## AWS politique gérée pour AWS Systems Manager Incident Manager
<a name="managed-policies-cloudwatch-incident-manager"></a>

La **AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy**politique est associée à un rôle lié au service qui permet CloudWatch de déclencher des incidents dans AWS Systems Manager Incident Manager en votre nom. Pour de plus amples informations, veuillez consulter [Autorisations de rôle liées au service pour les CloudWatch alarmes (actions de Systems Manager Incident Manager)](using-service-linked-roles.md#service-linked-role-permissions-incident-manager).

La politique a l'autorisation suivante :
+ Incidents SMS : StartIncident

# Exemples de politiques gérées par le client
<a name="customer-managed-policies-cw"></a>

Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions CloudWatch . Ces politiques fonctionnent lorsque vous utilisez l' CloudWatch API AWS SDKs, ou le AWS CLI.

**Topics**
+ [Exemple 1 : Autoriser l'accès complet de l'utilisateur à CloudWatch](#full-access-example-cw)
+ [Exemple 2 : Autoriser l'accès en lecture seule à CloudWatch](#read-only-access-example-cw)
+ [Exemple 3 : Arrêter une instance Amazon EC2 ou y mettre fin](#stop-terminate-example-cw)

## Exemple 1 : Autoriser l'accès complet de l'utilisateur à CloudWatch
<a name="full-access-example-cw"></a>

Pour accorder un accès complet à un utilisateur CloudWatch, vous pouvez lui accorder la politique **CloudWatchFullAccess**gérée au lieu de créer une politique gérée par le client. Le contenu du est **CloudWatchFullAccess**répertorié dans[CloudWatchFullAccess](managed-policies-cloudwatch.md#managed-policies-cloudwatch-CloudWatchFullAccess).

## Exemple 2 : Autoriser l'accès en lecture seule à CloudWatch
<a name="read-only-access-example-cw"></a>

La politique suivante permet à un utilisateur d'accéder en lecture seule aux actions, aux CloudWatch métriques, aux données des CloudWatch journaux CloudWatch et aux données Amazon SNS relatives aux alarmes d'Amazon EC2 Auto Scaling et de les consulter.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "logs:Get*",
        "logs:Describe*",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:TestMetricFilter",
        "logs:FilterLogEvents",
        "logs:StartLiveTail",
        "logs:StopLiveTail",
        "sns:Get*",
        "sns:List*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

## Exemple 3 : Arrêter une instance Amazon EC2 ou y mettre fin
<a name="stop-terminate-example-cw"></a>

La politique suivante autorise une action CloudWatch d'alarme pour arrêter ou mettre fin à une instance EC2. Dans l'exemple ci-dessous, les DescribeAlarms actions GetMetricData ListMetrics, et sont facultatives. Il est recommandé d'inclure ces actions pour vous assurer que vous avez correctement arrêté l'instance ou que vous y avez mis fin.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:GetMetricData",
        "cloudwatch:ListMetrics",
        "cloudwatch:DescribeAlarms"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Utilisation des touches de condition pour limiter l'accès à CloudWatch
<a name="reference_policies_condition-keys"></a>

Consultez les rubriques suivantes pour en savoir plus sur les clés de condition spécifiques aux services qui peuvent être utilisées dans l’élément `Condition` d’une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique.
+ [Utilisation de clés de condition pour limiter l'accès aux espaces de CloudWatch noms](iam-cw-condition-keys-namespace.md)
+ [Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux](iam-cw-condition-keys-contributor.md)
+ [Utilisation des clés de condition pour limiter les actions d'alarme](iam-cw-condition-keys-alarm-actions.md)
+ [Clés de condition pour CloudWatch Observability Admin](condition-keys-observabilityadmin.md)

Pour voir les clés de condition globales qui sont disponibles pour tous les services, consultez [Clés de condition globales disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

# Utilisation de clés de condition pour limiter l'accès aux espaces de CloudWatch noms
<a name="iam-cw-condition-keys-namespace"></a>

 Utilisez les clés de condition IAM pour limiter les utilisateurs à publier des métriques uniquement dans les CloudWatch espaces de noms que vous spécifiez. Cette section fournit des exemples qui décrivent comment autoriser et exclure des utilisateurs de la publication de métriques dans un espace de noms. 

**Autorisation de publication dans un seul espace de noms**

La politique suivante contraint l'utilisateur à publier des métriques uniquement dans l'espace de noms appelé `MyCustomNamespace`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "MyCustomNamespace"
            }
        }
    }
}
```

------

**Exclusion de publication dans un espace de noms**

La politique suivante permet à l'utilisateur de publier des métriques dans n'importe quel espace de noms, à l'exception de `CustomNamespace2`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        },
        {
            "Effect": "Deny",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "CustomNamespace2"
                }
            }
        }
    ]
}
```

------

**Contrôle de l'ingestion OTLP**

La politique suivante permet à l'utilisateur de publier des métriques à l'aide de l'API OTLP :

------
#### [ JSON ]

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        }
    ]
}
```

------

Pour désactiver la double ingestion, c'est-à-dire utiliser PutMetricData et refuser uniquement une ingestion OTLP, vous pouvez utiliser la politique suivante. Cela limite l'utilisateur à publier des métriques PutMetricData en utilisant l'espace de noms `MyCustomNamespace` tout en refusant implicitement toute ingestion OTLP en raison de la condition suivante : `StringEquals`

------
#### [ JSON ]

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}
```

------

Pour activer la double ingestion, c'est-à-dire autoriser à la fois l'ingestion OTLP PutMetricData et l'ingestion OTLP, vous pouvez utiliser la politique suivante. Cela limite l'utilisateur à publier des métriques PutMetricData en utilisant l'espace de noms nommé `MyCustomNamespace` et autorise en même temps l'ingestion OTLP en raison de la condition suivante : `StringEqualsIfExists`

------
#### [ JSON ]

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}
```

------

# Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux
<a name="iam-cw-condition-keys-contributor"></a>

Pour créer une règle dans Contributor Insights et voir ses résultats, un utilisateur doit disposer de l'option autorisation `cloudwatch:PutInsightRule`. Par défaut, un utilisateur disposant de cette autorisation peut créer une règle Contributor Insights qui évalue n'importe quel groupe de CloudWatch journaux dans Logs, puis en voit les résultats. Les résultats peuvent contenir des données de contributeur pour ces groupes de journaux.

Vous pouvez créer des politiques IAM avec des clés de condition pour accorder aux utilisateurs l'autorisation d'écrire des règles Contributor Insights pour certains groupes de journaux, tout en les empêchant d'écrire des règles pour et d'afficher ces données à partir d'autres groupes de journaux.

 Pour plus d'informations sur l'élément `Condition` dans les politiques IAM, consultez [Éléments de politique JSON IAM : condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).

**Autoriser l'accès aux règles d'écriture et afficher les résultats pour certains groupes de journaux uniquement**

La politique suivante permet à l'utilisateur d'écrire des règles et d'afficher les résultats pour le groupe de journaux nommé `AllowedLogGroup` et tous les groupes de journaux dont le nom commence par `AllowedWildCard`. Il n'accorde pas l'accès aux règles d'écriture ou à l'affichage des résultats des règles pour les autres groupes de journaux.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}
```

------

**Interdire les règles d'écriture pour des groupes de journaux spécifiques, mais autoriser l'écriture de règles pour tous les autres groupes de journaux**

La politique suivante refuse explicitement à l'utilisateur l'accès pour écrire des règles et afficher les résultats des règles pour le groupe de journaux nommé `ExplicitlyDeniedLogGroup`, mais permet d'écrire des règles et d'afficher les résultats des règles pour tous les autres groupes de journaux.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}
```

------

# Utilisation des clés de condition pour limiter les actions d'alarme
<a name="iam-cw-condition-keys-alarm-actions"></a>

Lorsque les CloudWatch alarmes changent d'état, elles peuvent effectuer différentes actions, telles que l'arrêt et la mise hors service des instances EC2 et les actions de Systems Manager. Ces actions peuvent être lancées lorsque l'alarme change à n'importe quel état, y compris ALARM, OK ou INSUFFICIENT\$1DATA.

Utilisation de la clé de condition `cloudwatch:AlarmActions` pour permettre à un utilisateur de créer des alarmes qui ne peuvent effectuer que les actions que vous spécifiez lorsque l'état de l'alarme change. Par exemple, vous pouvez autoriser un utilisateur à créer des alarmes qui ne peuvent effectuer que des actions qui ne sont pas des actions EC2.

**Autoriser un utilisateur à créer des alarmes qui peuvent uniquement envoyer des notifications Amazon SNS ou effectuer des actions du Systems Manager**

La politique suivante limite l'utilisateur à créer des alarmes qui peuvent uniquement envoyer des notifications Amazon SNS et à effectuer des actions du Systems Manager. L'utilisateur ne peut créer aucune alarme qui exécute les actions EC2.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricAlarm",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "cloudwatch:AlarmActions": [
                        "arn:aws:sns:*",
                        "arn:aws:ssm:*"
                    ]
                }
            }
        }
    ]
}
```

------

# Clés de condition pour CloudWatch Observability Admin
<a name="condition-keys-observabilityadmin"></a>

Vous pouvez utiliser les politiques IAM pour contrôler l'accès aux ressources et aux actions CloudWatch d'Amazon Observability Admin à l'aide de clés de condition.

L’administrateur d’observabilité dispose des clés de condition suivantes :


| Clé de condition | Description | Type | 
| --- | --- | --- | 
|  CentralizationSourceRegions  |  ArrayOfString  |  Filtre l’accès par les régions sources qui sont transmises dans la requête  | 
|  CentralizationDestinationRegion  |  String  |  Filtre l’accès par la région de destination qui est transmise dans la requête  | 
|  CentralizationBackupRegion  |  String  |  Filtre l’accès par la région de secours qui est transmise dans la requête  | 

## CentralizationSourceRegions
<a name="condition-keys-centralizationsourceregions"></a>

Filtre l’accès par la région de secours spécifiée pour les règles de centralisation.
+ *Disponibilité* — Cette clé est disponible pour les types de ressources suivants : organization-centralization-rule
+ *Type de valeur* : chaîne

**Example Exemple de politique JSON avec observabilityadmin : CentralizationBackupRegion**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudwatch:PutMetricData",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
        "aws:RequestedRegion": "us-east-1"
        }
      }
    }
  ]
}
```

## CentralizationDestinationRegion
<a name="condition-keys-centralizationdestinationregion"></a>

Filtre l’accès par la région de destination spécifiée pour les règles de centralisation.
+ *Disponibilité* — Cette clé est disponible pour les types de ressources suivants : organization-centralization-rule
+ *Type de valeur* : chaîne

**Example Exemple de politique JSON avec observabilityadmin : CentralizationDestinationRegion**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudwatch:PutMetricData",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
        "aws:RequestedRegion": "us-east-1"
        }
      }
    }
  ]
}
```

## CentralizationBackupRegion
<a name="condition-keys-centralizationbackupregion"></a>

Filtre l’accès par les régions sources spécifiées pour les règles de centralisation.
+ *Disponibilité* — Cette clé est disponible pour les types de ressources suivants : organization-centralization-rule
+ *Type de valeur* : liste de chaînes

**Example Exemple de politique JSON avec observabilityadmin : CentralizationSourceRegions**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudwatch:PutMetricData",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
        "aws:RequestedRegion": ["us-east-1", "us-east-1"]
        }
      }
    }
  ]
}
```

# Utilisation de rôles liés à un service pour CloudWatch
<a name="using-service-linked-roles"></a>

Amazon CloudWatch utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. CloudWatch Les rôles liés à un service sont prédéfinis par CloudWatch et comprennent toutes les autorisations nécessaires au service pour appeler d’autres services AWS en votre nom. 

Un rôle lié au service CloudWatch permet de configurer des CloudWatch alarmes qui peuvent mettre fin à, arrêter ou redémarrer une instance Amazon EC2 sans que vous ayez à ajouter manuellement les autorisations nécessaires. Un autre rôle lié au service permet à un compte de surveillance d'accéder aux données CloudWatch d'autres comptes que vous spécifiez et de créer des tableaux de bord entre régions et comptes.

CloudWatch définit les autorisations de ces rôles liés aux services et, sauf indication contraire, seul CloudWatch peut assumer le rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer les rôles uniquement après la suppression préalable de leurs ressources connexes. Cette restriction protège vos CloudWatch ressources car vous ne pouvez pas supprimer par inadvertance les autorisations d'accès aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

## Autorisations de rôle liées au service pour les actions EC2 relatives aux CloudWatch alarmes
<a name="service-linked-role-permissions"></a>

CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchEvents**— CloudWatch utilise ce rôle lié au service pour effectuer des actions d'alarme Amazon EC2.

Le rôle AWSService RoleForCloudWatchEvents lié au service fait confiance au service CloudWatch Events pour assumer ce rôle. CloudWatch Les événements invoquent les actions de fin, d'arrêt ou de redémarrage de l'instance lorsque l'alarme l'appelle.

La politique d'autorisation des rôles AWSServiceRoleForCloudWatchEvents liés au service permet à CloudWatch Events d'effectuer les actions suivantes sur les instances Amazon EC2 :
+ `ec2:StopInstances`
+  `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+  `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+  `ec2:DescribeInstanceStatus`

La politique d'autorisation des rôles **AWSServiceRoleForCloudWatchCrossAccount**liés au service permet d' CloudWatch effectuer les actions suivantes :
+ `sts:AssumeRole`

## Autorisations de rôle liées au service pour CloudWatch la configuration de la télémétrie
<a name="service-linked-role-telemetry-config"></a>

CloudWatch l'administrateur de l'observabilité crée et utilise un rôle lié à un service nommé **AWSServiceRoleForObservabilityAdmin**— CloudWatch utilise ce rôle lié à un service pour faciliter la découverte de ressources et de configurations de télémétrie pour les Organisations. AWS Le rôle est créé dans tous les comptes membres de l’organisation.

Le rôle **AWSServiceRoleForObservabilityAdmin**lié au service fait confiance à Observability Admin pour assumer le rôle. L’administrateur d’observabilité gère les enregistreurs de configuration liés au service AWS Config et l’agrégateur de configuration lié au service dans les comptes de vos Organisations.

Le rôle **AWSServiceRoleForObservabilityAdmin**lié au service possède une politique, appelée, jointe AWSObservabilityAdminServiceRolePolicy, et cette politique autorise CloudWatch Observability Admin à effectuer les actions suivantes :
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`

Le contenu complet de la AWSObservability AdminServiceRolePolicy politique est le suivant :

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListAccounts",
				"organizations:ListAccountsForParent",
				"organizations:ListChildren",
				"organizations:ListParents",
				"organizations:DescribeOrganization",
				"organizations:DescribeOrganizationalUnit"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutServiceLinkedConfigurationRecorder",
				"config:DeleteServiceLinkedConfigurationRecorder"
			],
			"Resource": [
				"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutConfigurationAggregator",
				"config:DeleteConfigurationAggregator",
				"config:SelectAggregateResourceConfig"
			],
			"Resource": [
				"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceLinkedRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"observabilityadmin.amazonaws.com",
						"config.amazonaws.com"
					]
				}
			}
		}
	]
}
```

------

## Autorisations de rôle liées à un service pour CloudWatch l'activation de la télémétrie
<a name="service-linked-role-telemetry-enablement"></a>

La `AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` accorde les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les ressources AWS en fonction des règles de télémétrie.

Cette politique accorde des autorisations pour :
+ Opérations de télémétrie de base, notamment la description des VPC, des journaux de flux et des groupes de journaux. Il inclut également des autorisations permettant d'activer la configuration de journalisation pour la journalisation du cluster EKS, la configuration de journalisation WAF, l'activation des journaux NLB, la journalisation des requêtes Route53 Resolver, la surveillance détaillée d'Amazon EC2, Security Hub, Bedrock Agentcore Gateway, Bedrock Agentcore Memory et Distribution. CloudFront 
+ Opérations de balisage des ressources avec la balise `CloudWatchTelemetryRuleManaged` pour le suivi des ressources gérées
+ Configuration de livraison de journaux pour des services tels que AWS Bedrock et VPC Flow Logs
+ Gestion de l’enregistreur de configuration pour le suivi de l’activation de la télémétrie

La politique renforce les limites de sécurité par le biais de conditions qui :
+ Limitent les opérations aux ressources du même compte en utilisant `aws:ResourceAccount`
+ Exigent le balisage `CloudWatchTelemetryRuleManaged` pour les modifications de ressources
+ Limitent l’accès à l’enregistreur de configuration à ceux qui sont associés à l’activation de la télémétrie

 Le contenu complet de la AWSObservability AdminTelemetryEnablementServiceRolePolicy politique se trouve ici : [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html).

## Autorisations de rôle liées au service pour les signaux d'application CloudWatch
<a name="service-linked-role-signals"></a>

CloudWatch Application Signals utilise le rôle lié à un service nommé **AWSServiceRoleForCloudWatchApplicationSignals**: CloudWatch utilise ce rôle lié à un service pour collecter les données des journaux, les CloudWatch données de suivi X-Ray, les données CloudWatch métriques et les données de balisage à partir des applications que vous avez activées pour Application Signals. CloudWatch 

Le rôle **AWSServiceRoleForCloudWatchApplicationSignals**lié au service fait confiance à CloudWatch Application Signals pour assumer le rôle. Application Signals collecte les données des journaux, des suivis, des métriques et des balises de votre compte.

Une politique IAM y est attachée, et cette politique est nommée **CloudWatchApplicationSignalsServiceRolePolicy**. **AWSServiceRoleForCloudWatchApplicationSignals** Cette politique autorise CloudWatch Application Signals à collecter des données de surveillance et de marquage auprès d'autres AWS services pertinents. Elle inclut les autorisations qui permettent à Application Signals d’effectuer les actions suivantes :
+ `xray` : récupérer les traces X-Ray.
+ `logs`— Récupère les informations CloudWatch des journaux actuels.
+ `cloudwatch`— Récupère les informations CloudWatch métriques actuelles.
+ `tags` : récupérer les balises actuelles.
+ `application-signals`— Récupère des informations sur les fenêtres d'exclusion temporelle associées SLOs et les fenêtres d'exclusion qui leur sont associées.
+ `autoscaling` : récupérer les balises d’application du groupe Amazon EC2 Autoscaling.
+ `resource-explorer-2`— Récupère les informations actuelles sur AWS les ressources à partir de l'explorateur de AWS ressources.
+ `cloudtrail`— Activez la création de canaux liés aux services pour récupérer CloudTrail les événements.

Le contenu complet de **CloudWatchApplicationSignalsServiceRolePolicy**est le suivant :

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "XRayPermission",
			"Effect": "Allow",
			"Action": [
				"xray:GetServiceGraph"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWLogsPermission",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery",
				"logs:GetQueryResults"
			],
			"Resource": [
				"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
				"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWListMetricsPermission",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:ListMetrics"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWGetMetricDataPermission",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricData"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "TagsPermission",
			"Effect": "Allow",
			"Action": [
				"tag:GetResources"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "ApplicationSignalsPermission",
			"Effect": "Allow",
			"Action": [
				"application-signals:ListServiceLevelObjectiveExclusionWindows",
			    "application-signals:GetServiceLevelObjective"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "EC2AutoScalingPermission",
			"Effect": "Allow",
			"Action": [
				"autoscaling:DescribeAutoScalingGroups"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}
```

------

## Autorisations de rôle liées au service pour les actions d' CloudWatch alarmes Systems Manager OpsCenter
<a name="service-linked-role-permissions-opsitem"></a>

CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**— CloudWatch utilise ce rôle lié au service pour exécuter les OpsCenter actions de Systems Manager lorsqu'une CloudWatch alarme passe à l'état ALARM.

Le rôle AWSServiceRoleForCloudWatchAlarms\$1ActionSSM lié au service fait confiance au CloudWatch service pour assumer le rôle. CloudWatch les alarmes invoquent les OpsCenter actions de Systems Manager lorsqu'elles sont déclenchées par l'alarme.

La politique d'autorisation des rôles **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**liés au service permet à Systems Manager d'effectuer les actions suivantes :
+ `ssm:CreateOpsItem`

## Autorisations de rôle liées au service pour les CloudWatch alarmes (actions de Systems Manager Incident Manager)
<a name="service-linked-role-permissions-incident-manager"></a>

CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**: CloudWatch utilise ce rôle lié au service pour déclencher des incidents Incident Manager lorsqu'une CloudWatch alarme passe à l'état ALARM.

Le rôle **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**lié au service fait confiance au CloudWatch service pour assumer le rôle. CloudWatch les alarmes appellent l'action Systems Manager Incident Manager lorsqu'elles sont déclenchées par l'alarme.

La politique d'autorisation des rôles **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**liés au service permet à Systems Manager d'effectuer les actions suivantes :
+ `ssm-incidents:StartIncident`

## Autorisations de rôle liées à un service pour CloudWatch plusieurs comptes et entre régions
<a name="service-linked-role-permissions"></a>

CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchCrossAccount**: CloudWatch utilise ce rôle pour accéder aux CloudWatch données des autres AWS comptes que vous spécifiez. Le SLR fournit uniquement l'autorisation d'assumer le rôle pour permettre au CloudWatch service d'assumer le rôle dans le compte de partage. C'est le rôle de partage qui fournit l'accès aux données. 

La politique d'autorisation des rôles **AWSServiceRoleForCloudWatchCrossAccount**liés au service permet d' CloudWatch effectuer les actions suivantes :
+ `sts:AssumeRole`

Le rôle **AWSServiceRoleForCloudWatchCrossAccount**lié au service fait confiance au CloudWatch service pour assumer le rôle.

## Autorisations de rôle liées à un service pour la base de CloudWatch données Performance Insights
<a name="service-linked-role-permissions-dbperfinsights"></a>

CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**: CloudWatch utilise ce rôle pour récupérer les métriques Performance Insights afin de créer des alarmes et de créer des instantanés. 

La politique `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` IAM est **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**attachée au rôle lié au service. Le contenu de cette politique est le suivant :

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"pi:GetResourceMetrics"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}
```

------

Le rôle **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**lié au service fait confiance au CloudWatch service pour assumer le rôle.

## Autorisations de rôle liées au service pour CloudWatch la centralisation des journaux
<a name="service-linked-role-logscentralization"></a>

Les **AWSObservabilityAdminLogsCentralizationServiceRolePolicy**pièces jointes à l'entité IAM appropriée de votre compte de gestion central, telle que le rôle de CloudWatch service, pour accorder les autorisations nécessaires à la configuration et à la gestion de la collecte centralisée des journaux. CloudWatch utilise ce rôle pour accéder aux données de télémétrie provenant d'autres AWS comptes que vous spécifiez pour créer des groupes de CloudWatch journaux, des flux de journaux et des événements dans le compte de surveillance de votre organisation. Le SLR fournit uniquement l'autorisation d'assumer le rôle pour permettre au CloudWatch service d'assumer le rôle dans le compte de surveillance. Cette politique est automatiquement attachée si vous configurez une collecte de journaux centralisée à l'aide du AWS Management Console. Si vous utilisez l'API AWS CLI or pour configurer la centralisation des journaux, vous devez associer cette politique manuellement au rôle IAM qui sera utilisé pour les tâches d'administration de l'observabilité.

La politique d'autorisation des rôles **AWSObservabilityAdminLogsCentralizationServiceRolePolicy**liés au service permet d' CloudWatch effectuer les actions suivantes :
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`

Le rôle lié à un service **AWSObservabilityAdminLogsCentralizationServiceRolePolicy** fait confiance au service `logs-centralization.observabilityadmin.amazonaws.com` pour endosser le rôle.

## Création d'un rôle lié à un service pour CloudWatch
<a name="create-service-linked-role-cwassm"></a>

Vous n'avez pas besoin de créer manuellement l'un ou l'autre de ces rôles liés à un service. La première fois que vous créez une alarme dans le AWS Management Console, l'IAM CLI, ou l'API IAM, CloudWatch crée AWSService RoleForCloudWatchEvents et **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**pour vous.

La première fois que vous activez la découverte de services et de topologies, Application Signals crée **AWSServiceRoleForCloudWatchApplicationSignals**pour vous.

Lorsque vous activez pour la première fois un compte comme compte de surveillance pour la fonctionnalité inter-comptes interrégionaux, il CloudWatch crée **AWSServiceRoleForCloudWatchCrossAccount**pour vous. 

Lorsque vous créez pour la première fois une alarme qui utilise la fonction mathématique `DB_PERF_INSIGHTS` métrique, CloudWatch elle le fait **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**pour vous.

Pour plus d'informations, consultez [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.

## Modification d'un rôle lié à un service pour CloudWatch
<a name="edit-service-linked-role-cw"></a>

CloudWatch ne vous permet pas de modifier les **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**rôles **AWSServiceRoleForCloudWatchEvents**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**AWSServiceRoleForCloudWatchCrossAccount******,, ou. Après avoir créé ces rôles, vous ne pouvez pas modifier leurs noms, car diverses entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. 

### Modification de la description d'un rôle lié à un service (console IAM)
<a name="edit-service-linked-role-iam-console-cw"></a>

Vous pouvez utiliser la console IAM, pour modifier la description d'un rôle lié à un service.

**Pour modifier la description d'un rôle lié à un service (console)**

1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.

1. Choisissez le nom du rôle à modifier.

1. A l'extrême droite de **Description du rôle**, choisissez **Edit (Modifier)**. 

1. Saisissez une nouvelle description dans la zone et choisissez **Save (Enregistrer)**.

### Modification de la description d'un rôle lié à un service (AWS CLI)
<a name="edit-service-linked-role-iam-cli-cw"></a>

Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour modifier la description d'un rôle lié à un service.

**Pour changer la description d'un rôle lié à un service (AWS CLI)**

1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez les commandes suivantes :

   ```
   $ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
   ```

   Utilisez le nom du rôle, pas l'ARN, pour faire référence aux rôles avec les commandes AWS CLI . Par exemple, si un rôle a l'ARN : `arn:aws:iam::123456789012:role/myrole`, vous faites référence au rôle en tant que **myrole**.

1. Pour mettre à jour la description d'un rôle lié à un service, utilisez la commande suivante :

   ```
   $ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
   ```

### Modification de la description d'un rôle lié à un service (API IAM)
<a name="edit-service-linked-role-iam-api-cw"></a>

Vous pouvez utiliser l'API IAM pour modifier la description d'un rôle lié à un service.

**Pour changer la description d'un rôle lié à un service (API)**

1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez la commande suivante :

   [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) 

1. Pour mettre à jour la description d'un rôle, utilisez la commande suivante : 

   [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)

## Supprimer un rôle lié à un service pour CloudWatch
<a name="delete-service-linked-role-cwe"></a>

Si vous n'avez plus d'alarmes qui arrêtent, mettent fin ou redémarrent automatiquement les instances EC2, nous vous recommandons de supprimer le AWSService RoleForCloudWatchEvents rôle.

Si vous n'avez plus d'alarmes qui exécutent des OpsCenter actions de Systems Manager, nous vous recommandons de supprimer le AWSServiceRoleForCloudWatchAlarms\$1ActionSSM rôle.

Si vous supprimez toutes les alarmes qui utilisent la fonction mathématique `DB_PERF_INSIGHTS` métrique, nous vous recommandons de supprimer le rôle **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**lié au service.

De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.

### Nettoyage d’un rôle lié à un service
<a name="service-linked-role-review-before-delete"></a>

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d’abord vérifier qu’aucune session n’est active pour le rôle et supprimer toutes les ressources utilisées par le rôle.

**Pour vérifier si une session est active pour le rôle lié à un service dans la console IAM**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. Choisissez le nom (et non la case à cocher) du AWSService RoleForCloudWatchEvents rôle.

1. Sur la page **Summary** (Résumé) du rôle sélectionné, choisissez **Access Advisor** et consultez l'activité récente du rôle lié au service.
**Note**  
Si vous ne savez pas si le AWSService RoleForCloudWatchEvents rôle CloudWatch est utilisé, essayez de le supprimer. Si le service utilise le rôle, la suppression échoue et vous avez accès aux régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d’un rôle lié à un service. 

### Suppression d'un rôle lié à un service (console IAM)
<a name="delete-service-linked-role-iam-console-cwe"></a>

Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.

**Pour supprimer un rôle lié à un service (console)**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. Cochez la case en regard du nom du rôle que vous souhaitez supprimer, sans sélectionner le nom ou la ligne. 

1. Pour **Role actions** (Actions du rôle), choisissez **Delete role** (Supprimer le rôle).

1. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service AWS . Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, choisissez **Oui, supprimer**.

1. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, la suppression peut réussir ou échouer après que vous soumettez le rôle afin qu'il soit supprimé. Si la tâche échoue, choisissez **View details** (Afficher les détails) ou **View Resources** (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue parce que certaines ressources du service sont actuellement utilisées par le rôle, la raison de l'échec comprend une liste de ressources.

### Suppression d'un rôle lié à un service (AWS CLI)
<a name="delete-service-linked-role-iam-cli-cwe"></a>

Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour supprimer un rôle lié à un service.

**Pour supprimer un rôle lié à un service (AWS CLI)**

1. Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `deletion-task-id` de la réponse afin de vérifier l'état de la tâche de suppression. Tapez la commande suivante pour envoyer une demande de suppression d'un rôle lié à un service :

   ```
   $ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
   ```

1. Tapez la commande suivante pour vérifier l'état de la tâche de suppression :

   ```
   $ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
   ```

   L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

### Suppression d'un rôle lié à un service (API IAM)
<a name="delete-service-linked-role-iam-api-cwe"></a>

Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.

**Pour supprimer un rôle lié à un service (API)**

1. Pour soumettre une demande de suppression pour un rôle lié à un service, appelez. [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) Dans la demande, spécifiez le nom de rôle que vous souhaitez supprimer.

   Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `DeletionTaskId` de la réponse afin de vérifier l'état de la tâche de suppression.

1. Pour vérifier l'état de la suppression, appelez [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Dans la demande, spécifiez le `DeletionTaskId`.

   L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

## CloudWatch mises à jour des rôles AWS liés aux services
<a name="service-linked-role-updates"></a>



Consultez les détails des mises à jour des politiques AWS gérées CloudWatch depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du CloudWatch document.




| Modifier | Description | Date | 
| --- | --- | --- | 
|  [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Mise à jour de la politique relative aux rôles liés aux services.  |  Informations mises à jour sur le [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)qui octroie CloudWatch les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources supplémentaires en fonction des règles de télémétrie.  | 31 mars 2026 | 
|  [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Mise à jour de la politique relative aux rôles liés aux services.  |  Informations mises à jour sur le [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)qui octroie CloudWatch les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources supplémentaires en fonction des règles de télémétrie.  | 10 mars 2026 | 
|  [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Mise à jour de la politique relative aux rôles liés aux services.  |  Informations mises à jour sur le [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)qui octroie CloudWatch les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources supplémentaires en fonction des règles de télémétrie.  | 2 décembre 2025 | 
|  [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Mise à jour des autorisations de la politique des rôles liés aux services  |  Mise à jour du [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals)pour inclure `resource-explorer-2:Search` et `cloudtrail:CreateServiceLinkedChannel` activer les nouvelles fonctionnalités des signaux d'application.   | 12 novembre 2025 | 
|  [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization)— Nouvelle politique de rôles liés aux services.  |  Ajout d'informations concernant CloudWatch l'octroi [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization)des autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources en fonction des règles de télémétrie.  | 5 septembre 2025 | 
|  [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Nouvelle politique de rôles liés aux services.  |  Ajout d'informations concernant CloudWatch l'octroi [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)des autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources en fonction des règles de télémétrie.  | 17 juillet 2025 | 
|  [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Mise à jour des autorisations de la politique des rôles liés aux services  |  Mise à jour du [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals)pour empêcher les fenêtres temporelles d'avoir un impact sur le taux d'atteinte du SLO, le budget d'erreurs et les indicateurs de taux de combustion. CloudWatch peut récupérer des fenêtres d'exclusion en votre nom.  | 13 mars 2025 | 
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config)— Nouveau rôle lié au service | CloudWatch a ajouté ce nouveau rôle lié au service et la politique gérée correspondante AWSObservabilityAdminServiceRolePolicy, afin de faciliter la découverte des ressources et des configurations de télémétrie pour les Organisations. AWS  | 26 novembre 2024 | 
|  [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Mise à jour des autorisations de la politique des rôles liés aux services  |  CloudWatch ajoutez d'autres groupes de journaux à la portée `logs:StartQuery` des `logs:GetQueryResults` autorisations accordées par ce rôle.  | 24 avril 2024 | 
|  [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Nouveau rôle lié au service  |  CloudWatch a ajouté ce nouveau rôle lié à un service pour permettre à CloudWatch Application Signals de collecter les données des CloudWatch journaux, les données de suivi X-Ray, CloudWatch les données métriques et les données de balisage à partir des applications que vous avez activées pour CloudWatch Application Signals.  | 9 novembre 2023 | 
|  [ AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights](#service-linked-role-permissions-dbperfinsights)— Nouveau rôle lié au service  |  CloudWatch a ajouté ce nouveau rôle lié au service pour permettre de récupérer les métriques de Performance Insights CloudWatch à des fins d'alarme et de capture instantanée. Une politique IAM est associée à ce rôle, et cette politique autorise l'extraction des métriques CloudWatch de Performance Insights en votre nom.  | 13 septembre 2023 | 
|  [AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents](#service-linked-role-permissions-incident-manager)— Nouveau rôle lié au service  |  CloudWatch a ajouté un nouveau rôle lié au service pour permettre de CloudWatch créer des incidents dans AWS Systems Manager Incident Manager.  | 26 avril 2021 | 
|  CloudWatch a commencé à suivre les modifications  |  CloudWatch a commencé à suivre les modifications apportées à ses rôles liés aux services.  | 26 avril 2021 | 

# Utilisation de rôles liés à un service pour RUM CloudWatch
<a name="using-service-linked-roles-RUM"></a>

CloudWatch RUM utilise un rôle Gestion des identités et des accès AWS lié à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à RUM. Le rôle lié au service est prédéfini par RUM et inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

RUM définit les autorisations du rôle lié à un service et, sauf définition contraire, seul RUM peut endosser ce rôle. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous ne pouvez supprimer le rôle qu'après avoir d'abord supprimé ses ressources liées. Cette restriction protège vos ressources RUM, car vous ne pouvez pas involontairement supprimer d'autorisations pour accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

## Autorisations de rôles liés à des services pour RUM
<a name="service-linked-role-permissions-RUM"></a>

RUM utilise le rôle lié à un service nommé **AWSServiceRoleForCloudWatchRUM**. Ce rôle permet à RUM d'envoyer des données de AWS X-Ray suivi vers votre compte, pour les moniteurs d'applications pour lesquels vous activez le suivi X-Ray.

Le rôle lié au service **AWSServiceRoleForCloudWatchRUM** fait confiance au service X-Ray pour assumer ce rôle. X-Ray envoie les données de suivi à votre compte.

Le rôle lié au service **AWSServiceRoleForCloudWatchRUM** est associé à une politique IAM nommée. **AmazonCloudWatchRUMServiceRolePolicy** Cette politique autorise CloudWatch RUM à publier des données de surveillance auprès d'autres AWS services concernés. Il inclut les autorisations qui permettent à RUM d'effectuer les actions suivantes :
+ `xray:PutTraceSegments`
+ `cloudwatch:PutMetricData`

Le contenu complet de **AmazonCloudWatchRUMServiceRolePolicy**est le suivant.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"xray:PutTraceSegments"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"cloudwatch:namespace": [
						"RUM/CustomMetrics/*",
						"AWS/RUM"
					]
				}
			}
		}
	]
}
```

------

## Création d'un rôle lié à un service pour
<a name="create-service-linked-role-RUM"></a>

Il n'est pas nécessaire de créer manuellement le rôle lié à un service pour CloudWatch RUM. La première fois que vous créez un moniteur d'application avec le suivi X-Ray activé, ou que vous mettez à jour un moniteur d'application pour utiliser le suivi X-Ray, RUM crée du **AWSServiceRoleForCloudWatchRUM** pour vous. 

Pour plus d'informations, consultez [Création d'un rôle lié à un servie](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.

## Modification d'un rôle lié à un service pour RUM
<a name="edit-service-linked-role-RUM"></a>

CloudWatch RUM ne vous permet pas de modifier le rôle **AWSServiceRoleForCloudWatchRUM**. Après avoir créé ces rôles, vous ne pouvez pas modifier leurs noms, car diverses entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. 

### Modification de la description d'un rôle lié à un service (console IAM)
<a name="edit-service-linked-role-iam-console-RUM"></a>

Vous pouvez utiliser la console IAM, pour modifier la description d'un rôle lié à un service.

**Pour modifier la description d'un rôle lié à un service (console)**

1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.

1. Choisissez le nom du rôle à modifier.

1. A l'extrême droite de **Description du rôle**, choisissez **Edit (Modifier)**. 

1. Saisissez une nouvelle description dans la zone et choisissez **Save (Enregistrer)**.

### Modification de la description d'un rôle lié à un service (AWS CLI)
<a name="edit-service-linked-role-iam-cli-RUM"></a>

Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour modifier la description d'un rôle lié à un service.

**Pour changer la description d'un rôle lié à un service (AWS CLI)**

1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez les commandes suivantes :

   ```
   $ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
   ```

   Utilisez le nom du rôle, pas l'ARN, pour faire référence aux rôles avec les commandes AWS CLI . Par exemple, si un rôle a l'ARN : `arn:aws:iam::123456789012:role/myrole`, vous faites référence au rôle en tant que **myrole**.

1. Pour mettre à jour la description d'un rôle lié à un service, utilisez la commande suivante :

   ```
   $ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
   ```

### Modification de la description d'un rôle lié à un service (API IAM)
<a name="edit-service-linked-role-iam-api-RUM"></a>

Vous pouvez utiliser l'API IAM pour modifier la description d'un rôle lié à un service.

**Pour changer la description d'un rôle lié à un service (API)**

1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez la commande suivante :

   [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) 

1. Pour mettre à jour la description d'un rôle, utilisez la commande suivante : 

   [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)

## Suppression d'un rôle lié à un service pour RUM
<a name="delete-service-linked-role-RUM"></a>

Si vous n'avez plus de moniteur d'applications sur lequel X-Ray est activé, nous vous recommandons de supprimer le rôle **AWSServiceRoleForCloudWatchRUM**.

De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.

### Nettoyage d’un rôle lié à un service
<a name="service-linked-role-review-before-delete"></a>

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d’abord vérifier qu’aucune session n’est active pour le rôle et supprimer toutes les ressources utilisées par le rôle.

**Pour vérifier si une session est active pour le rôle lié à un service dans la console IAM**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. Choisissez le nom (et non la case à cocher) du rôle **AWSServiceRoleForCloudWatchRUM**.

1. Sur la page **Summary** (Résumé) du rôle sélectionné, choisissez **Access Advisor** et consultez l'activité récente du rôle lié au service.
**Note**  
Si vous ne savez pas si RUM utilise le rôle **AWSServiceRoleForCloudWatchRUM**, essayez de le supprimer. Si le service utilise le rôle, la suppression échoue et vous avez accès aux régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d’un rôle lié à un service. 

### Suppression d'un rôle lié à un service (console IAM)
<a name="delete-service-linked-role-iam-console-RUM"></a>

Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.

**Pour supprimer un rôle lié à un service (console)**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. Cochez la case en regard du nom du rôle que vous souhaitez supprimer, sans sélectionner le nom ou la ligne. 

1. Pour **Role actions** (Actions du rôle), choisissez **Delete role** (Supprimer le rôle).

1. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service AWS . Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, choisissez **Oui, supprimer**.

1. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, la suppression peut réussir ou échouer après que vous soumettez le rôle afin qu'il soit supprimé. Si la tâche échoue, choisissez **View details** (Afficher les détails) ou **View Resources** (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue parce que certaines ressources du service sont actuellement utilisées par le rôle, la raison de l'échec comprend une liste de ressources.

### Suppression d'un rôle lié à un service (AWS CLI)
<a name="delete-service-linked-role-iam-cli-RUM"></a>

Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour supprimer un rôle lié à un service.

**Pour supprimer un rôle lié à un service (AWS CLI)**

1. Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `deletion-task-id` de la réponse afin de vérifier l'état de la tâche de suppression. Tapez la commande suivante pour envoyer une demande de suppression d'un rôle lié à un service :

   ```
   $ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
   ```

1. Tapez la commande suivante pour vérifier l'état de la tâche de suppression :

   ```
   $ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
   ```

   L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

### Suppression d'un rôle lié à un service (API IAM)
<a name="delete-service-linked-role-iam-api-RUM"></a>

Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.

**Pour supprimer un rôle lié à un service (API)**

1. Pour soumettre une demande de suppression pour un rôle lié à un service, appelez. [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) Dans la demande, spécifiez le nom de rôle que vous souhaitez supprimer.

   Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `DeletionTaskId` de la réponse afin de vérifier l'état de la tâche de suppression.

1. Pour vérifier l'état de la suppression, appelez [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Dans la demande, spécifiez le `DeletionTaskId`.

   L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

## Régions prises en charge pour les CloudWatch rôles liés au service RUM
<a name="RUM-SLR-Regions"></a>

CloudWatch RUM prend en charge l'utilisation de rôles liés au service dans toutes les AWS régions où le service est disponible. Pour plus d'informations, consultez la section [Points de terminaison du service CloudWatch RUM](https://docs.aws.amazon.com/general/latest/gr/cw_rum_region.html).

# Utilisation de rôles liés à un service pour Application Insights CloudWatch
<a name="CHAP_using-service-linked-roles-appinsights"></a>

CloudWatch Application Insights utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à CloudWatch Application Insights. Les rôles liés à un service sont prédéfinis par CloudWatch Application Insights et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Un rôle lié à un service facilite la configuration CloudWatch d'Application Insights, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. CloudWatch Application Insights définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seule CloudWatch Application Insights peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés aux services, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services pour lesquels la colonne **Service-Linked Role** (Rôle lié aux services) indique **Yes** (Oui). Choisissez un lien **Yes (Oui)** pour consulter la documentation du rôle lié à ce service.

## Autorisations de rôle liées au service pour Application Insights CloudWatch
<a name="service-linked-role-permissions"></a>

CloudWatch Application Insights utilise le rôle lié au service nommé. **AWSServiceRoleForApplicationInsights** Application Insights utilise ce rôle pour effectuer des opérations telles que l'analyse des groupes de ressources du client, la création de CloudFormation piles pour créer des alarmes sur les métriques et la configuration de l' CloudWatch agent sur les instances EC2. Une politique IAM, nommée `CloudwatchApplicationInsightsServiceLinkedRolePolicy`, est associée à ce rôle lié à un service. Pour connaître les mises à jour de cette politique, consultez [Mises à jour des politiques AWS gérées par Application Insights](security-iam-awsmanpol-appinsights.md#security-iam-awsmanpol-appinsights-updates).

La politique d'autorisation des rôles permet à CloudWatch Application Insights d'effectuer les actions suivantes sur les ressources.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CloudWatch",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:DeleteAlarms",
        "cloudwatch:PutAnomalyDetector",
        "cloudwatch:DeleteAnomalyDetector",
        "cloudwatch:DescribeAnomalyDetectors"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "CloudWatchLogs",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents",
        "logs:DescribeLogStreams",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "EventBridge",
      "Effect": "Allow",
      "Action": [
        "events:DescribeRule"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "CloudFormation",
      "Effect": "Allow",
      "Action": [
        "cloudFormation:CreateStack",
        "cloudFormation:UpdateStack",
        "cloudFormation:DeleteStack",
        "cloudFormation:DescribeStackResources",
        "cloudFormation:UpdateTerminationProtection"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/ApplicationInsights-*"
      ]
    },
    {
      "Sid": "CloudFormationStacks",
      "Effect": "Allow",
      "Action": [
        "cloudFormation:DescribeStacks",
        "cloudFormation:ListStackResources",
        "cloudFormation:ListStacks"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "Tag",
      "Effect": "Allow",
      "Action": [
        "tag:GetResources"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ResourceGroups",
      "Effect": "Allow",
      "Action": [
        "resource-groups:ListGroupResources",
        "resource-groups:GetGroupQuery",
        "resource-groups:GetGroup"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ApplicationInsightsResourceGroup",
      "Effect": "Allow",
      "Action": [
        "resource-groups:CreateGroup",
        "resource-groups:DeleteGroup"
      ],
      "Resource": [
        "arn:aws:resource-groups:*:*:group/ApplicationInsights-*"
      ]
    },
    {
      "Sid": "ElasticLoadBalancing",
      "Effect": "Allow",
      "Action": [
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetHealth"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AutoScaling",
      "Effect": "Allow",
      "Action": [
        "autoscaling:DescribeAutoScalingGroups"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SSMParameter",
      "Effect": "Allow",
      "Action": [
        "ssm:PutParameter",
        "ssm:DeleteParameter",
        "ssm:AddTagsToResource",
        "ssm:RemoveTagsFromResource",
        "ssm:GetParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-ApplicationInsights-*"
    },
    {
      "Sid": "SSMAssociation",
      "Effect": "Allow",
      "Action": [
        "ssm:CreateAssociation",
        "ssm:UpdateAssociation",
        "ssm:DeleteAssociation",
        "ssm:DescribeAssociation"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/*",
        "arn:aws:ssm:*:*:association/*",
        "arn:aws:ssm:*:*:managed-instance/*",
        "arn:aws:ssm:*:*:document/AWSEC2-ApplicationInsightsCloudwatchAgentInstallAndConfigure",
        "arn:aws:ssm:*:*:document/AWS-ConfigureAWSPackage",
        "arn:aws:ssm:*:*:document/AmazonCloudWatch-ManageAgent"
      ]
    },
    {
      "Sid": "SSMOpsItem",
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:CreateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:UpdateOpsItem",
        "ssm:DescribeInstanceInformation"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SSMTags",
      "Effect": "Allow",
      "Action": [
        "ssm:AddTagsToResource"
      ],
      "Resource": "arn:aws:ssm:*:*:opsitem/*"
    },
    {
      "Sid": "SSMGetCommandInvocation",
      "Effect": "Allow",
      "Action": [
        "ssm:ListCommandInvocations",
        "ssm:GetCommandInvocation"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SSMSendCommand",
      "Effect": "Allow",
      "Action": "ssm:SendCommand",
      "Resource": [
        "arn:aws:ec2:*:*:instance/*",
        "arn:aws:ssm:*:*:document/AWSEC2-CheckPerformanceCounterSets",
        "arn:aws:ssm:*:*:document/AWS-ConfigureAWSPackage",
        "arn:aws:ssm:*:*:document/AWSEC2-DetectWorkload",
        "arn:aws:ssm:*:*:document/AmazonCloudWatch-ManageAgent"
      ]
    },
    {
      "Sid": "EC2",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeVolumes",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVpcs",
        "ec2:DescribeVpcAttribute",
        "ec2:DescribeNatGateways"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "RDS",
      "Effect": "Allow",
      "Action": [
        "rds:DescribeDBInstances",
        "rds:DescribeDBClusters"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "Lambda",
      "Effect": "Allow",
      "Action": [
        "lambda:ListFunctions",
        "lambda:GetFunctionConfiguration",
        "lambda:ListEventSourceMappings"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "EventBridgeManagedRule",
      "Effect": "Allow",
      "Action": [
        "events:PutRule",
        "events:PutTargets",
        "events:RemoveTargets",
        "events:DeleteRule"
      ],
      "Resource": [
        "arn:aws:events:*:*:rule/AmazonCloudWatch-ApplicationInsights-*"
      ]
    },
    {
      "Sid": "XRay",
      "Effect": "Allow",
      "Action": [
        "xray:GetServiceGraph",
        "xray:GetTraceSummaries",
        "xray:GetTimeSeriesServiceStatistics",
        "xray:GetTraceGraph"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "DynamoDB",
      "Effect": "Allow",
      "Action": [
        "dynamodb:ListTables",
        "dynamodb:DescribeTable",
        "dynamodb:DescribeContributorInsights",
        "dynamodb:DescribeTimeToLive"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ApplicationAutoscaling",
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DescribeScalableTargets"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "S3",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetMetricsConfiguration",
        "s3:GetReplicationConfiguration"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "States",
      "Effect": "Allow",
      "Action": [
        "states:ListStateMachines",
        "states:DescribeExecution",
        "states:DescribeStateMachine",
        "states:GetExecutionHistory"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "APIGateway",
      "Effect": "Allow",
      "Action": [
        "apigateway:GET"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ECS",
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeClusters",
        "ecs:DescribeContainerInstances",
        "ecs:DescribeServices",
        "ecs:DescribeTaskDefinition",
        "ecs:DescribeTasks",
        "ecs:DescribeTaskSets",
        "ecs:ListClusters",
        "ecs:ListContainerInstances",
        "ecs:ListServices",
        "ecs:ListTasks"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ECSCluster",
      "Effect": "Allow",
      "Action": [
        "ecs:UpdateClusterSettings"
      ],
      "Resource": [
        "arn:aws:ecs:*:*:cluster/*"
      ]
    },
    {
      "Sid": "EKS",
      "Effect": "Allow",
      "Action": [
        "eks:DescribeCluster",
        "eks:DescribeFargateProfile",
        "eks:DescribeNodegroup",
        "eks:ListClusters",
        "eks:ListFargateProfiles",
        "eks:ListNodegroups",
        "fsx:DescribeFileSystems",
        "fsx:DescribeVolumes"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SNS",
      "Effect": "Allow",
      "Action": [
        "sns:GetSubscriptionAttributes",
        "sns:GetTopicAttributes",
        "sns:GetSMSAttributes",
        "sns:ListSubscriptionsByTopic",
        "sns:ListTopics"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SQS",
      "Effect": "Allow",
      "Action": [
        "sqs:ListQueues"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchLogsDeleteSubscriptionFilter",
      "Effect": "Allow",
      "Action": [
        "logs:DeleteSubscriptionFilter"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "CloudWatchLogsCreateSubscriptionFilter",
      "Effect": "Allow",
      "Action": [
        "logs:PutSubscriptionFilter"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*",
        "arn:aws:logs:*:*:destination:AmazonCloudWatch-ApplicationInsights-LogIngestionDestination*"
      ]
    },
    {
      "Sid": "EFS",
      "Effect": "Allow",
      "Action": [
        "elasticfilesystem:DescribeFileSystems"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "Route53",
      "Effect": "Allow",
      "Action": [
        "route53:GetHostedZone",
        "route53:GetHealthCheck",
        "route53:ListHostedZones",
        "route53:ListHealthChecks",
        "route53:ListQueryLoggingConfigs"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "Route53Resolver",
      "Effect": "Allow",
      "Action": [
        "route53resolver:ListFirewallRuleGroupAssociations",
        "route53resolver:GetFirewallRuleGroup",
        "route53resolver:ListFirewallRuleGroups",
        "route53resolver:ListResolverEndpoints",
        "route53resolver:GetResolverQueryLogConfig",
        "route53resolver:ListResolverQueryLogConfigs",
        "route53resolver:ListResolverQueryLogConfigAssociations",
        "route53resolver:GetResolverEndpoint",
        "route53resolver:GetFirewallRuleGroupAssociation"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d'un rôle lié à un service pour Application Insights CloudWatch
<a name="create-service-linked-role"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une nouvelle application Application Insights dans le AWS Management Console, CloudWatch Application Insights crée pour vous le rôle lié au service. 

Si vous supprimez ce rôle lié à un service et que vous souhaitez ensuite le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une nouvelle application Application Insights, CloudWatch Application Insights crée à nouveau le rôle lié au service pour vous. 

## Modification d'un rôle lié à un service pour Application Insights CloudWatch
<a name="edit-slr"></a>

CloudWatch Application Insights ne vous permet pas de modifier le rôle AWSService RoleForApplicationInsights lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Supprimer un rôle lié à un service pour Application Insights CloudWatch
<a name="delete-service-linked-role"></a>

Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous évitez d'avoir une entité inutilisée non surveillée ou non gérée activement. Vous devez cependant supprimer toutes les applications dans Application Insights avant de pouvoir supprimer le rôle manuellement.

**Note**  
Si le service CloudWatch Application Insights utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer les ressources CloudWatch Application Insights utilisées par le AWSService RoleForApplicationInsights**
+ Supprimez toutes vos applications CloudWatch Application Insights. Pour plus d'informations, consultez la section « Supprimer vos applications » dans le guide de l'utilisateur d' CloudWatch Application Insights. 

**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**

Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au AWSService RoleForApplicationInsights service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Régions prises en charge pour les CloudWatch rôles liés au service Application Insights
<a name="slr-regions"></a>

CloudWatch Application Insights prend en charge l'utilisation de rôles liés à un service dans toutes les AWS régions où le service est disponible. Pour plus d'informations, consultez la section [Régions et points de terminaison d'CloudWatch Application Insights](https://docs.aws.amazon.com/general/latest/gr/applicationinsights.html).

# AWS politiques gérées pour Amazon CloudWatch Application Insights
<a name="security-iam-awsmanpol-appinsights"></a>







Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.









## AWS politique gérée : CloudWatchApplicationInsightsFullAccess
<a name="security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess"></a>





Vous pouvez associer la politique `CloudWatchApplicationInsightsFullAccess` à vos identités IAM.







Cette politique accorde des autorisations administratives qui permettent un accès complet à la fonctionnalité Application Insights.



**Détails de l’autorisation**

Cette politique inclut les autorisations suivantes.




+ `applicationinsights` – Permet un accès complet à la fonctionnalité Application Insights.
+ `iam`— Permet à Application Insights de créer le rôle lié au service,. AWSServiceRoleForApplicationInsights Cela est nécessaire pour qu'Application Insights puisse effectuer des opérations telles que l'analyse des groupes de ressources d'un client, la création de CloudFormation piles pour créer des alarmes sur les métriques et la configuration de l' CloudWatchagent sur les instances EC2. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Application Insights CloudWatch](CHAP_using-service-linked-roles-appinsights.md).



------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "applicationinsights:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeVolumes",
        "rds:DescribeDBInstances",
        "rds:DescribeDBClusters",
        "sqs:ListQueues",
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetHealth",
        "autoscaling:DescribeAutoScalingGroups",
        "lambda:ListFunctions",
        "dynamodb:ListTables",
        "s3:ListAllMyBuckets",
        "sns:ListTopics",
        "states:ListStateMachines",
        "apigateway:GET",
        "ecs:ListClusters",
        "ecs:DescribeTaskDefinition",
        "ecs:ListServices",
        "ecs:ListTasks",
        "eks:ListClusters",
        "eks:ListNodegroups",
        "fsx:DescribeFileSystems",
        "logs:DescribeLogGroups",
        "elasticfilesystem:DescribeFileSystems"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/aws-service-role/application-insights.amazonaws.com/AWSServiceRoleForApplicationInsights"
      ],
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "application-insights.amazonaws.com"
        }
      }
    }
  ]
}
```

------

## AWS politique gérée : CloudWatchApplicationInsightsReadOnlyAccess
<a name="security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsReadOnlyAccess"></a>





Vous pouvez associer la politique `CloudWatchApplicationInsightsReadOnlyAccess` à vos identités IAM.



Cette politique accorde des autorisations administratives qui permettent un accès en lecture seule à toutes les fonctionnalités d'Application Insights.



**Détails de l’autorisation**

Cette politique inclut les autorisations suivantes.




+ `applicationinsights` – Autorise l'accès en lecture seule à la fonctionnalité Application Insights.



------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "applicationinsights:Describe*",
                "applicationinsights:List*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## AWS politique gérée : CloudwatchApplicationInsightsServiceLinkedRolePolicy
<a name="security-iam-awsmanpol-appinsights-CloudwatchApplicationInsightsServiceLinkedRolePolicy"></a>







Vous ne pouvez pas vous associer CloudwatchApplicationInsightsServiceLinkedRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié au service qui permet à Application Insights de surveiller les ressources du client. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Application Insights CloudWatch](CHAP_using-service-linked-roles-appinsights.md).





## Mises à jour des politiques AWS gérées par Application Insights
<a name="security-iam-awsmanpol-appinsights-updates"></a>



Consultez les détails des mises à jour apportées aux politiques AWS gérées pour Application Insights depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS de la page [Historique du document](DocumentHistory.md) d'Application Insights.




| Modifier | Description | Date | 
| --- | --- | --- | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Mise à jour d’une stratégie existante  |  Application Insights a ajouté une nouvelle autorisation.  Le changement de politique permet à Amazon CloudWatch Application Insights d'activer et de désactiver la protection contre la résiliation sur les CloudFormation piles afin de gérer les ressources SSM utilisées pour installer et configurer CloudWatch les agents.  | 25 juillet 2024 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour répertorier les CloudFormation piles.  Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse analyser et surveiller les AWS ressources imbriquées dans la CloudFormation pile.  | 24 avril 2023 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour obtenir la liste des ressources Amazon VPC et Route 53.  Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse configurer automatiquement la surveillance du réseau selon les meilleures pratiques Amazon CloudWatch.  | 23 janvier 2023 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour obtenir les résultats d'invocation de commandes SSM. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights détecte et surveille automatiquement les charges de travail exécutées sur les instances Amazon EC2.  | 19 décembre 2022 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour décrire les ressources Amazon VPC et Route 53. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse lire les configurations de ressources Amazon VPC et Route 53 des clients, et pour aider les clients à configurer automatiquement les meilleures pratiques de surveillance du réseau avec. Amazon CloudWatch  | 19 décembre 2022 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour décrire les ressources EFS. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse lire les configurations des ressources client Amazon EFS et pour aider les clients à définir automatiquement les meilleures pratiques en matière de surveillance EFS avec CloudWatch.  | 3 octobre 2022 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour décrire le système de fichiers EFS. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse créer des applications basées sur des comptes en interrogeant toutes les ressources prises en charge dans un compte.   | 3 octobre 2022 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour récupérer des informations sur FSx les ressources. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse surveiller les charges de travail en récupérant suffisamment d'informations sur les volumes sous-jacents FSx .  | 12 septembre 2022 | 
|   [AWS politique gérée : CloudWatchApplicationInsightsFullAccess](#security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour décrire les groupes de journaux. Ces autorisations sont requises pour Amazon CloudWatch Application Insights afin de garantir que les autorisations appropriées pour surveiller les groupes de journaux figurent dans un compte lors de la création d'une nouvelle application.  | 24 janvier 2022 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour créer et supprimer des filtres d'abonnement aux CloudWatch journaux. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse créer des filtres d'abonnement afin de faciliter la surveillance des journaux des ressources au sein des applications configurées.   | 24 janvier 2022 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour décrire les groupes cibles et l'état de santé des cibles pour Elastic Load Balancers. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse créer des applications basées sur des comptes en interrogeant toutes les ressources prises en charge dans un compte.  | 4 novembre 2021 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour exécuter le`AmazonCloudWatch-ManageAgent`Document SSM sur les instances Amazon EC2. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse nettoyer les fichiers de configuration des CloudWatch agents créés par Application Insights.  | 30 septembre 2021 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour prendre en charge la surveillance des applications basée sur un compte à bord et surveiller toutes les ressources prises en charge dans votre compte. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse interroger, étiqueter des ressources et créer des groupes pour ces ressources. Application Insights a ajouté de nouvelles autorisations pour prendre en charge la surveillance des rubriques SNS.  Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights collecte des métadonnées à partir des ressources SNS afin de configurer la surveillance des sujets SNS.  | 15 septembre 2021 | 
|   [AWS politique gérée : CloudWatchApplicationInsightsFullAccess](#security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour décrire et répertorier les ressources de service ECS et EKS. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse créer des applications basées sur des comptes en interrogeant toutes les ressources prises en charge dans un compte.  | 15 septembre 2021 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour décrire FSx les ressources. Ces autorisations sont requises pour qu'Amazon CloudWatch Application Insights puisse lire les configurations FSx des ressources des clients et pour aider les clients à configurer automatiquement le FSx suivi des meilleures pratiques avec CloudWatch.  | 31 août 2021 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations pour décrire et répertorier les ressources de service ECS et EKS. Cette autorisation est requise pour qu'Amazon CloudWatch Application Insights puisse lire la configuration des ressources des conteneurs des clients et pour aider les clients à configurer automatiquement les meilleures pratiques de surveillance des conteneurs avec CloudWatch.  | 18 mai 2021 | 
|   [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) : mise à jour d’une politique existante  |  Application Insights a ajouté de nouvelles autorisations permettant OpsCenter de baliser le type de ressource à l' OpsItemsaide de l'`ssm:AddTagsToResource`action sur les `opsitem` ressources. Cette autorisation est requise par OpsCenter. Amazon CloudWatch Application Insights crée OpsItems pour que le client puisse résoudre les problèmes à l'aide du [AWS SSM OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html).  | 13 avril 2021 | 
|  Application Insights a commencé à suivre les modifications  |  Application Insights a commencé à suivre les modifications apportées AWS à ses politiques gérées.  | 13 avril 2021 | 

# Référence CloudWatch des autorisations Amazon
<a name="permissions-reference-cw"></a>

Le tableau suivant répertorie chaque opération CloudWatch d'API et les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action. Vous spécifiez les actions dans le champ `Action` de la politique, et ajoutez un caractère générique (\$1) comme valeur de ressource dans le champ `Resource`.

Vous pouvez utiliser des AWS clés de condition larges dans vos CloudWatch polices pour exprimer des conditions. Pour obtenir la liste complète des clés «  AWS wide », reportez-vous à la section [Clés contextuelles AWS globales et IAM Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) du guide de l'*utilisateur IAM*.

**Note**  
Pour spécifier une action, utilisez le préfixe `cloudwatch:` suivi du nom de l'opération d'API. Par exemple : `cloudwatch:GetMetricData`, `cloudwatch:ListMetrics` ou `cloudwatch:*` (pour toutes les actions CloudWatch).

**Topics**
+ [CloudWatch Opérations d'API et autorisations requises pour les actions](#cw-permissions-table)
+ [CloudWatch L'application signale les opérations de l'API et les autorisations requises pour les actions](#cw-application-signals-permissions-table)
+ [CloudWatch Opérations de l'API Contributor Insights et autorisations requises pour les actions](#cw-contributor-insights-permissions-table)
+ [CloudWatch Opérations de l'API d'événements et autorisations requises pour les actions](#cwe-permissions-table)
+ [CloudWatch Enregistre les opérations de l'API et les autorisations requises pour les actions](#cwl-permissions-table)
+ [Opérations d'API Amazon EC2 et autorisations requises pour les actions](#cw-ec2-permissions-table)
+ [Opérations d'API Amazon EC2 Auto Scaling et autorisations requises pour les actions](#cw-as-permissions-table)

## CloudWatch Opérations d'API et autorisations requises pour les actions
<a name="cw-permissions-table"></a>


| CloudWatch Opérations d'API | Autorisations requises (actions d'API) | 
| --- | --- | 
|  [DeleteAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteAlarms.html)  |  `cloudwatch:DeleteAlarms` Exigé pour supprimer une alarme.  | 
|  [DeleteDashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteDashboards.html)  |  `cloudwatch:DeleteDashboards` Exigé pour supprimer un tableau de bord.  | 
|  [DeleteMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteMetricStream.html)  |  `cloudwatch:DeleteMetricStream` Exigé pour supprimer un flux de métriques.  | 
|  [DescribeAlarmHistory](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarmHistory.html)  |  `cloudwatch:DescribeAlarmHistory` Exigé pour afficher l'historique de l'alarme. Pour récupérer des informations sur les alarmes composites, votre autorisation `cloudwatch:DescribeAlarmHistory` doit avoir une portée `*`. Vous ne pouvez pas renvoyer d'informations sur les alarmes composites si votre autorisation `cloudwatch:DescribeAlarmHistory` a une portée plus étroite.  | 
|  [DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html)  |  `cloudwatch:DescribeAlarms` Exigé pour récupérer des informations sur des alarmes. Pour récupérer des informations sur les alarmes composites, votre autorisation `cloudwatch:DescribeAlarms` doit avoir une portée `*`. Vous ne pouvez pas renvoyer d'informations sur les alarmes composites si votre autorisation `cloudwatch:DescribeAlarms` a une portée plus étroite.  | 
|  [DescribeAlarmsForMetric](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarmsForMetric.html)  |  `cloudwatch:DescribeAlarmsForMetric` Exigé pour afficher les alarmes relatives à une métrique.  | 
|  [DisableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DisableAlarmActions.html)  |  `cloudwatch:DisableAlarmActions` Exigé pour désactiver une action d'alarme.  | 
|  [EnableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableAlarmActions.html)  |  `cloudwatch:EnableAlarmActions` Exigé pour activer une action d'alarme.  | 
|  [GetDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetDashboard.html)  |  `cloudwatch:GetDashboard` Exigé pour afficher les données sur les tableaux de bord existants.  | 
|  [GetMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricData.html)  |  `cloudwatch:GetMetricData` Nécessaire pour représenter graphiquement les données métriques dans la CloudWatch console, pour récupérer de gros lots de données métriques et pour effectuer des calculs métriques sur ces données.  | 
|  [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)  |  `cloudwatch:GetMetricStatistics` Nécessaire pour afficher des graphiques dans d'autres parties de la CloudWatch console et dans les widgets du tableau de bord.  | 
|  [GetMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStream.html)  |  `cloudwatch:GetMetricStream` Requise pour afficher les informations sur un flux de métriques.  | 
|  [GetMetricWidgetImage](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricWidgetImage.html)  |  `cloudwatch:GetMetricWidgetImage` Nécessaire pour récupérer un instantané graphique d'une ou plusieurs métriques CloudWatch sous la forme d'une image bitmap.  | 
|  [ListDashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListDashboards.html)  |  `cloudwatch:ListDashboards` Nécessaire pour consulter la liste des CloudWatch tableaux de bord de votre compte.  | 
|  ListEntitiesForMetric (autorisation CloudWatch réservée à la console)  |  `cloudwatch:ListEntitiesForMetric` Requis pour trouver les entités associées à une métrique. Nécessaire pour explorer la télémétrie associée dans la CloudWatch console.  | 
|  [ListMetrics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListMetrics.html)  |  `cloudwatch:ListMetrics` Exigé pour afficher ou rechercher des noms de métriques dans la console CloudWatch et dans l'interface de ligne de commande. Exigé pour sélectionner les métriques sur les widgets de tableau de bord.  | 
|  [ListMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListMetricStreams.html)  |  `cloudwatch:ListMetricStreams` Exigé pour afficher ou rechercher la liste des flux de métriques dans le compte.  | 
|  [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)  |  `cloudwatch:PutCompositeAlarm` Exigé pour créer une alarme composite. Pour créer une alarme composite, votre autorisation `cloudwatch:PutCompositeAlarm` doit avoir une portée `*`. Vous ne pouvez pas renvoyer d'informations sur les alarmes composites si votre autorisation `cloudwatch:PutCompositeAlarm` a une portée plus étroite.  | 
|  [PutDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutDashboard.html)  |  `cloudwatch:PutDashboard` Exigé pour créer un tableau de bord ou mettre à jour un tableau de bord existant.  | 
|  [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)  |  `cloudwatch:PutMetricAlarm` Exigé pour créer ou mettre à jour une alarme.  | 
|  [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html)  |  `cloudwatch:PutMetricData` Exigé pour créer des métriques.  | 
|  [PutMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricStream.html)  |  `cloudwatch:PutMetricStream` Exigé pour créer un flux de métriques.  | 
|  [SetAlarmState](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_SetAlarmState.html)  |  `cloudwatch:SetAlarmState` Exigé pour définir manuellement un état d'alarme.  | 
|  [StartMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_StartMetricStreams.html)  |  `cloudwatch:StartMetricStreams` Exigé pour démarrer le flux de métriques dans un flux de métriques.  | 
|  [StopMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_StartMetricStreams.html)  |  `cloudwatch:StopMetricStreams` Exigé pour arrêter temporairement le flux de métriques dans un flux de métriques.  | 
|  [TagResource](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_TagResource.html)  |  `cloudwatch:TagResource` Nécessaire pour ajouter ou mettre à jour des balises sur CloudWatch des ressources telles que les alarmes et les règles Contributor Insights.  | 
|  [UntagResource](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_UntagResource.html)  |  `cloudwatch:UntagResource` Nécessaire pour supprimer les balises des CloudWatch ressources.  | 

## CloudWatch L'application signale les opérations de l'API et les autorisations requises pour les actions
<a name="cw-application-signals-permissions-table"></a>


| CloudWatch Opérations de l'API Application Signals | Autorisations requises (actions d'API) | 
| --- | --- | 
|  [ BatchGetServiceLevelObjectiveBudgetReport](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_BatchGetServiceLevelObjectiveBudgetReport.html)  |  `application-signals:BatchGetServiceLevelObjectiveBudgetReport` Requis pour récupérer les rapports sur le budget des objectifs de niveau de service.  | 
|  [ CreateServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_CreateServiceLevelObjective.html)  |  `application-signals:CreateServiceLevelObjective` Requis pour créer un objectif de niveau de service (SLO).  | 
|  [ DeleteServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_DeleteServiceLevelObjective.html)  |  `application-signals:DeleteServiceLevelObjective` Requis pour supprimer un objectif de niveau de service (SLO).  | 
|  [ GetService](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_GetService.html)  |  `application-signals:GetService` Requis pour récupérer des informations sur un service découvert par la vigie applicative.  | 
|  [ GetServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_GetServiceLevelObjective.html)  |  `application-signals:GetServiceLevelObjective` Requis pour récupérer des informations sur un objectif de niveau de service (SLO).  | 
|  ListObservedEntities  |  `application-signals:ListObservedEntities` Accorde l’autorisation de dresser la liste des entités associées à d’autres entités.  | 
|  [ ListServiceDependencies](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceDependencies.html)  |  `application-signals:ListServiceDependencies` Requis pour récupérer la liste des dépendances d’un service que vous spécifiez. Ce service et ses dépendances ont été découverts par la vigie applicative.  | 
|  [ ListServiceDependents](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceDependents.html)  |  `application-signals:ListServiceDependents` Requis pour récupérer la liste des dépendances qui ont invoqué un service que vous spécifiez. Ce service et ses dépendances ont été découverts par la vigie applicative.  | 
|  [ ListServiceLevelObjectives](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceLevelObjectives.html)  |  `application-signals:ListServiceLevelObjectives` Nécessaire pour récupérer la liste des objectifs de niveau de service (SLOs) dans le compte.  | 
|  [ ListServiceOperations](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceOperations.html)  |  `application-signals:ListServiceOperations` Requis pour récupérer la liste des opérations d’un service que vous spécifiez. Ce service et ses dépendances ont été découverts par la vigie applicative.  | 
|  [ ListServices](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServices.html)  |  `application-signals:ListServices` Requis pour récupérer la liste des services découverts par la vigie applicative.  | 
|  [ ListTagsForResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListTagsForResource.html)  |  `application-signals:ListTagsForResource` Requis pour récupérer la liste des balises associées à une ressource.  | 
|  [ StartDiscovery](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_StartDiscovery.html)  |  `application-signals:StartDiscovery` Requis pour pouvoir activer la vigie applicative dans le compte et créer le rôle lié à un service exigé.  | 
|  [ TagResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_TagResource.html)  |  `application-signals:TagResource` Requis pour pouvoir ajouter des balises aux ressources.  | 
|  [ UntagResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_UntagResource.html)  |  `application-signals:UntagResource` Requis pour pouvoir supprimer des balises d’une ressource.  | 
|  [ UpdateServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_UpdateServiceLevelObjective.html)  |  `application-signals:UpdateServiceLevelObjective` Requis pour mettre à jour un objectif de niveau de service existant  | 

## CloudWatch Opérations de l'API Contributor Insights et autorisations requises pour les actions
<a name="cw-contributor-insights-permissions-table"></a>

**Important**  
Lorsque vous accordez l'`cloudwatch:PutInsightRule`autorisation à un utilisateur, celui-ci peut par défaut créer une règle qui évalue n'importe quel groupe de CloudWatch journaux dans Logs. Vous pouvez ajouter des conditions de politique IAM qui limitent ces autorisations pour qu'un utilisateur inclue et exclue des groupes de journaux spécifiques. Pour de plus amples informations, veuillez consulter [Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux](iam-cw-condition-keys-contributor.md).


| CloudWatch Opérations de l'API Contributor Insights | Autorisations requises (actions d'API) | 
| --- | --- | 
|  [DeleteInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteInsightRules.html)  |  `cloudwatch:DeleteInsightRules` Exigé pour supprimer les règles Contributor Insights.  | 
|  [DescribeInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeInsightRules.html)  |  `cloudwatch:DescribeInsightRules` Exigé pour afficher les règles de Contributor Insights dans votre compte.  | 
|  [EnableInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableInsightRules.html)  |  `cloudwatch:EnableInsightRules` Exigé pour activer les règles Contributor Insights.  | 
|  [GetInsightRuleReport](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetInsightRuleReport.html)  |  `cloudwatch:GetInsightRuleReport` Exigé pour récupérer des données de séries chronologiques et d'autres statistiques collectées par les règles Contributor Insights.  | 
|  [PutInsightRule](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutInsightRule.html)  |  `cloudwatch:PutInsightRule` Exigé pour créer les règles Contributor Insights. Consultez la remarque **importante** au début de ce tableau.  | 

## CloudWatch Opérations de l'API d'événements et autorisations requises pour les actions
<a name="cwe-permissions-table"></a>


| CloudWatch Opérations de l'API Events | Autorisations requises (actions d'API) | 
| --- | --- | 
|  [DeleteRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DeleteRule.html)  |  `events:DeleteRule` Requise pour supprimer une règle.  | 
|  [DescribeRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DescribeRule.html)  |  `events:DescribeRule` Requise pour répertorier les détails relatifs à une règle.  | 
|  [DisableRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DisableRule.html)  |  `events:DisableRule` Requise pour désactiver une règle.  | 
|  [EnableRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_EnableRule.html)  |  `events:EnableRule` Requise pour activer une règle.  | 
|  [ListRuleNamesByTarget](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRuleNamesByTarget.html)  |  `events:ListRuleNamesByTarget` Requise pour répertorier les règles associées à une cible.  | 
|  [ListRules](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRules.html)  |  `events:ListRules` Requise pour répertorier toutes les règles de votre compte.  | 
|  [ListTargetsByRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListTargetsByRule.html)  |  `events:ListTargetsByRule` Requise pour afficher toutes les cibles associées à une règle.  | 
|  [PutEvents](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutEvents.html)  |  `events:PutEvents` Requise pour ajouter des événements personnalisés qui peuvent être associés à des règles.  | 
|  [PutRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutRule.html)  |  `events:PutRule` Requise pour créer ou mettre à jour une règle.  | 
|  [PutTargets](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutTargets.html)  |  `events:PutTargets` Requise pour ajouter des cibles à une règle.  | 
|  [RemoveTargets](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_RemoveTargets.html)  |  `events:RemoveTargets` Requise pour supprimer une cible d'une règle.  | 
|  [TestEventPattern](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_TestEventPattern.html)  |  `events:TestEventPattern` Requise pour tester un modèle d'événement par rapport à un événement donné.  | 

## CloudWatch Enregistre les opérations de l'API et les autorisations requises pour les actions
<a name="cwl-permissions-table"></a>

**Note**  
CloudWatch Les autorisations relatives aux journaux se trouvent dans le [guide de l'utilisateur CloudWatch des journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/permissions-reference-cwl.html).

## Opérations d'API Amazon EC2 et autorisations requises pour les actions
<a name="cw-ec2-permissions-table"></a>


| Opérations d'API Amazon EC2 | Autorisations requises (actions d'API) | 
| --- | --- | 
|  [DescribeInstanceStatus](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstanceStatus.html)  |  `ec2:DescribeInstanceStatus` Exigé pour afficher les détails sur l'état d'une instance EC2.  | 
|  [DescribeInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstances.html)  |  `ec2:DescribeInstances` Exigé pour afficher les détails sur une instance EC2.  | 
|  [RebootInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RebootInstances.html)  |  `ec2:RebootInstances` Exigé pour redémarrer une instance EC2.  | 
|  [StopInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StopInstances.html)  |  `ec2:StopInstances` Exigé pour arrêter une instance EC2.  | 
|  [TerminateInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_TerminateInstances.html)  |  `ec2:TerminateInstances` Exigé pour mettre fin à une instance EC2.  | 

## Opérations d'API Amazon EC2 Auto Scaling et autorisations requises pour les actions
<a name="cw-as-permissions-table"></a>


| Opérations d'API Amazon EC2 Auto Scaling | Autorisations requises (actions d'API) | 
| --- | --- | 
|  Mise à l’échelle  |  `autoscaling:Scaling` Exigé pour dimensionner un groupe Auto Scaling.  | 
|  Déclencheur  |  `autoscaling:Trigger` Exigé pour déclencher une action Auto Scaling.  |