Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan IAM untuk menggunakan CloudWatch RUM
Untuk dapat mengelola CloudWatch RUM sepenuhnya, Anda harus masuk sebagai pengguna IAM atau peran yang memiliki kebijakan AmazonCloudWatchRUMFullAccess IAM. Selain itu, Anda mungkin memerlukan kebijakan atau izin lain:
Untuk membuat monitor aplikasi yang membuat kumpulan identitas Amazon Cognito baru untuk otorisasi, Anda harus memiliki peran Admin IAM atau kebijakan IAM. AdministratorAccess
Untuk membuat monitor aplikasi yang mengirimkan data ke CloudWatch Log, Anda harus login ke peran atau kebijakan IAM yang memiliki izin berikut:
{ "Effect": "Allow", "Action": [ "logs:PutResourcePolicy" ], "Resource": [ "*" ] }Untuk mengaktifkan peta JavaScript sumber di monitor aplikasi, Anda harus mengunggah file peta sumber ke bucket Amazon S3. Peran atau kebijakan IAM Anda memerlukan izin Amazon S3 khusus yang memungkinkan pembuatan bucket Amazon S3, menyetel kebijakan bucket, dan mengelola file di bucket. Untuk keamanan, lingkup izin ini ke sumber daya tertentu. Kebijakan contoh di bawah ini membatasi akses ke bucket yang berisi
rumnamanya dan menggunakan kunciaws:ResourceAccountkondisi untuk membatasi izin hanya ke akun utama.{ "Sid": "AllowS3BucketCreationAndListing", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3BucketPolicyActions", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }Untuk menggunakan AWS KMS kunci Anda sendiri untuk enkripsi sisi server di bucket peta sumber, peran atau kebijakan IAM Anda akan memerlukan AWS KMS izin khusus yang memungkinkan pembuatan kunci, memperbarui kebijakan kunci, menggunakan kunci dengan AWS KMS Amazon S3, dan menyetel konfigurasi enkripsi bucket Amazon S3 Anda. Untuk keamanan, lingkup izin ini untuk tujuan tertentu. Contoh di bawah ini membatasi akses ke kunci untuk wilayah dan accountID tertentu dan memiliki batasan S3 yang serupa seperti contoh di atas.
{ "Sid": "AllowKMSKeyCreation", "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias" ], "Resource": "*" }, { "Sid": "KMSReadPermissions", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AllowUpdatingKeyPolicy", "Effect": "Allow", "Action": [ "kms:PutKeyPolicy", "kms:GetKeyPolicy", "kms:ListKeyPolicies" ], "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*" }, { "Sid": "AllowUseOfKMSKeyForS3", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*" }, { "Sid": "AllowS3EncryptionConfiguration", "Effect": "Allow", "Action": [ "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }
Pengguna lain yang perlu melihat data CloudWatch RUM tetapi tidak perlu membuat sumber daya CloudWatch RUM, dapat diberikan AmazonCloudWatchRUMReadOnlyAccesskebijakan.
