Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen identitas dan akses untuk Amazon CloudWatch
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. CloudWatch IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana Amazon CloudWatch bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk Amazon CloudWatch](security_iam_id-based-policy-examples.md)
+ [Memecahkan masalah CloudWatch identitas dan akses Amazon](security_iam_troubleshoot.md)
+ [CloudWatch pembaruan izin dasbor](dashboard-permissions-update.md)
+ [AWS kebijakan terkelola (standar) untuk CloudWatch](managed-policies-cloudwatch.md)
+ [Contoh kebijakan yang dikelola pelanggan](customer-managed-policies-cw.md)
+ [Menggunakan tombol kondisi untuk membatasi akses ke CloudWatch](reference_policies_condition-keys.md)
+ [Menggunakan peran terkait layanan untuk CloudWatch](using-service-linked-roles.md)
+ [Menggunakan peran terkait layanan untuk RUM CloudWatch](using-service-linked-roles-RUM.md)
+ [Menggunakan peran terkait layanan untuk CloudWatch Application Insights](CHAP_using-service-linked-roles-appinsights.md)
+ [AWS kebijakan terkelola untuk Amazon CloudWatch Application Insights](security-iam-awsmanpol-appinsights.md)
+ [CloudWatch Referensi izin Amazon](permissions-reference-cw.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah CloudWatch identitas dan akses Amazon](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Amazon CloudWatch bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk Amazon CloudWatch](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana Amazon CloudWatch bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses CloudWatch, pelajari fitur IAM yang tersedia untuk digunakan. CloudWatch
Tabel berikut mencantumkan fitur IAM yang dapat Anda gunakan dengan Amazon CloudWatch.
| Fitur IAM | CloudWatch dukungan |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies-cw) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies-cw) | Tidak |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions-cw) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources-cw) | Ya |
| [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys-cw) | Ya |
| [ACLs](#security_iam_service-with-iam-acls-cw) | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags-cw) | Parsial |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds-cw) | Ya |
| [Izin principal](#security_iam_service-with-iam-principal-permissions-cw) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service-cw) | Ya |
| [Peran terkait layanan](security_iam_service-with-iam-cwim.md#security_iam_service-with-iam-roles-service-linked) | Tidak |
Untuk mendapatkan tampilan tingkat tinggi tentang cara CloudWatch dan AWS layanan lain bekerja dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Kebijakan berbasis identitas untuk CloudWatch
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk CloudWatch
Untuk melihat contoh kebijakan CloudWatch berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk Amazon CloudWatch](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya dalam CloudWatch
**Mendukung kebijakan berbasis sumber daya:** Tidak
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Tindakan kebijakan untuk CloudWatch
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar CloudWatch tindakan, lihat [Tindakan yang ditentukan oleh Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) di *Referensi Otorisasi Layanan*.
Tindakan kebijakan CloudWatch menggunakan awalan berikut sebelum tindakan:
```
cloudwatch
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"cloudwatch:action1",
"cloudwatch:action2"
]
```
Untuk melihat contoh kebijakan CloudWatch berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk Amazon CloudWatch](security_iam_id-based-policy-examples.md)
## Sumber daya kebijakan untuk CloudWatch
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya dan jenis CloudWatch sumber daya ARNs, lihat [Sumber daya yang ditentukan oleh Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) di *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions). CloudWatch
Untuk melihat contoh kebijakan CloudWatch berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk Amazon CloudWatch](security_iam_id-based-policy-examples.md)
## Kunci kondisi kebijakan untuk CloudWatch
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci CloudWatch kondisi, lihat [Kunci kondisi untuk Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) di *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Untuk melihat contoh kebijakan CloudWatch berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk Amazon CloudWatch](security_iam_id-based-policy-examples.md)
## ACLs di CloudWatch
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## ABAC dengan CloudWatch
**Mendukung ABAC (tag dalam kebijakan): Sebagian**
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensi sementara dengan CloudWatch
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Izin utama lintas layanan untuk CloudWatch
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk CloudWatch
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak fungsionalitas CloudWatch. Edit peran layanan hanya jika CloudWatch memberikan panduan untuk melakukannya.
# Contoh kebijakan berbasis identitas untuk Amazon CloudWatch
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya CloudWatch. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh CloudWatch, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) di *Referensi Otorisasi Layanan*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan CloudWatch konsol](#security_iam_id-based-policy-examples-console)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus CloudWatch sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan CloudWatch konsol
Untuk mengakses CloudWatch konsol Amazon, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang CloudWatch sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan CloudWatch konsol, lampirkan juga kebijakan CloudWatch `ConsoleAccess` atau `ReadOnly` AWS terkelola ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
### Izin diperlukan untuk konsol CloudWatch
Set lengkap izin yang diperlukan untuk bekerja dengan CloudWatch konsol tercantum di bawah ini. Izin ini menyediakan akses tulis dan baca lengkap ke CloudWatch konsol.
+ aplikasi-autoscaling: DescribeScalingPolicies
+ penskalaan otomatis: DescribeAutoScalingGroups
+ penskalaan otomatis: DescribePolicies
+ cloudtrail: DescribeTrails
+ jam tangan awan: DeleteAlarms
+ jam tangan awan: DescribeAlarmHistory
+ jam tangan awan: DescribeAlarms
+ jam tangan awan: GetMetricData
+ jam tangan awan: GetMetricStatistics
+ jam tangan awan: ListMetrics
+ jam tangan awan: PutMetricAlarm
+ jam tangan awan: PutMetricData
+ EC2: DescribeInstances
+ EC2: DescribeTags
+ EC2: DescribeVolumes
+ es: DescribeElasticsearchDomain
+ es: ListDomainNames
+ peristiwa: DeleteRule
+ peristiwa: DescribeRule
+ peristiwa: DisableRule
+ peristiwa: EnableRule
+ peristiwa: ListRules
+ peristiwa: PutRule
+ saya: AttachRolePolicy
+ saya: CreateRole
+ saya: GetPolicy
+ saya: GetPolicyVersion
+ saya: GetRole
+ saya: ListAttachedRolePolicies
+ saya: ListRoles
+ kinesis: DescribeStream
+ kinesis: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ log: CancelExportTask
+ log: CreateExportTask
+ log: CreateLogGroup
+ log: CreateLogStream
+ log: DeleteLogGroup
+ log: DeleteLogStream
+ log: DeleteMetricFilter
+ log: DeleteRetentionPolicy
+ log: DeleteSubscriptionFilter
+ log: DescribeExportTasks
+ log: DescribeLogGroups
+ log: DescribeLogStreams
+ log: DescribeMetricFilters
+ log: DescribeQueries
+ log: DescribeSubscriptionFilters
+ log: FilterLogEvents
+ log: GetLogGroupFields
+ log: GetLogRecord
+ log: GetLogEvents
+ log: GetQueryResults
+ log: PutMetricFilter
+ log: PutRetentionPolicy
+ log: PutSubscriptionFilter
+ log: StartQuery
+ log: StopQuery
+ log: TestMetricFilter
+ s3: CreateBucket
+ s3: ListBucket
+ SNS: CreateTopic
+ SNS: GetTopicAttributes
+ SNS: ListSubscriptions
+ SNS: ListTopics
+ SNS: SetTopicAttributes
+ sns:Subscribe
+ sns:Unsubscribe
+ persegi: GetQueueAttributes
+ persegi: GetQueueUrl
+ persegi: ListQueues
+ persegi: SetQueueAttributes
+ swf: CreateAction
+ swf: DescribeAction
+ swf: ListActionTemplates
+ swf: RegisterAction
+ swf: RegisterDomain
+ swf: UpdateAction
Selain itu, untuk melihat X-Ray Trace Map, Anda memerlukan `AWSXrayReadOnlyAccess`
# Memecahkan masalah CloudWatch identitas dan akses Amazon
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan CloudWatch dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di CloudWatch](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses CloudWatch sumber daya saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di CloudWatch
Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.
Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `cloudwatch:GetWidget` rekaan.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudwatch:GetWidget on resource: my-example-widget
```
Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-example-widget` dengan menggunakan tindakan `cloudwatch:GetWidget`.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran CloudWatch.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di CloudWatch. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses CloudWatch sumber daya saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah CloudWatch mendukung fitur ini, lihat[Bagaimana Amazon CloudWatch bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# CloudWatch pembaruan izin dasbor
Pada tanggal 1 Mei 2018, AWS mengubah izin yang diperlukan untuk mengakses CloudWatch dasbor. Akses dasbor di CloudWatch konsol sekarang memerlukan izin yang diperkenalkan pada tahun 2017 untuk mendukung operasi API dasbor:
+ **jam tangan awan: GetDashboard**
+ **jam tangan awan: ListDashboards**
+ **jam tangan awan: PutDashboard**
+ **jam tangan awan: DeleteDashboards**
Untuk mengakses CloudWatch dasbor, Anda memerlukan salah satu dari yang berikut:
+ **AdministratorAccess** Kebijakan.
+ **CloudWatchFullAccess** Kebijakan.
+ Kebijakan kustom yang mencakup satu atau beberapa izin spesifik tersebut:
+ `cloudwatch:GetDashboard` dan `cloudwatch:ListDashboards` untuk dapat menampilkan dasbor
+ `cloudwatch:PutDashboard` untuk dapat membuat atau melakukan modifikasi pada dasbor
+ `cloudwatch:DeleteDashboards` untuk dapat menghapus dasbor
Untuk informasi selengkapnya tentang penggunaan kebijakan untuk mengubah izin bagi pengguna IAM, silakan lihat [Mengubah Izin untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).
Untuk informasi selengkapnya tentang CloudWatch izin, lihat[CloudWatch Referensi izin Amazon](permissions-reference-cw.md).
Untuk informasi selengkapnya tentang operasi API dasbor, lihat [PutDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutDashboard.html)di Referensi CloudWatch API Amazon.
# AWS kebijakan terkelola (standar) untuk CloudWatch
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk CloudWatch.
**Topics**
+ [CloudWatch pembaruan kebijakan AWS terkelola](#security-iam-awsmanpol-updates)
+ [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)
+ [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess)
+ [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)
+ [CloudWatchActionsEC2Akses](#managed-policies-cloudwatch-CloudWatchActionsEC2Access)
+ [CloudWatch-CrossAccountAccess](#managed-policies-cloudwatch-CloudWatch-CrossAccountAccess)
+ [CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess)
+ [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy)
+ [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy)
+ [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)
+ [AWS kebijakan terkelola (standar) untuk observabilitas CloudWatch lintas akun](#managed-policies-cloudwatch-crossaccount)
+ [AWS kebijakan terkelola (standar) untuk investigasi CloudWatch](#managed-policies-cloudwatch-QInvestigations)
+ [AWS kebijakan terkelola (standar) untuk Sinyal CloudWatch Aplikasi](#managed-policies-cloudwatch-ApplicationSignals)
+ [AWS kebijakan terkelola (standar) untuk CloudWatch Synthetics](#managed-policies-cloudwatch-canaries)
+ [AWS kebijakan terkelola (standar) untuk Amazon CloudWatch RUM](#managed-policies-cloudwatch-RUM)
+ [AWS kebijakan terkelola untuk Manajer Insiden AWS Systems Manager](#managed-policies-cloudwatch-incident-manager)
## CloudWatch pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola CloudWatch sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat CloudWatch dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess)— Kebijakan yang diperbarui | CloudWatch memperbarui **CloudWatchSyntheticsFullAccess**kebijakan. `cloudwatch:ListMetrics`Izin ditambahkan sehingga CloudWatch Synthetics dapat mencantumkan metrik yang tersedia. Selain itu, `apigateway:GET` izin telah diubah dari mengizinkan semua sumber daya ke sumber daya API Gateway tertentu: REST APIs, tahapan REST API, ekspor Swagger tahap API REST, dan HTTP. APIs | Maret 31, 2026 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant)— Kebijakan yang diperbarui | CloudWatch memperbarui kebijakan **AIOpsAssistantPolicy**IAM. Ini menambahkan izin untuk memungkinkan CloudWatch investigasi untuk membantu dalam kueri, pemecahan masalah, dan pemetaan topologi. Izin berikut ditambahkan:`appsync:GetGraphqlApiEnvironmentVariables`,, `cloudtrail:GetEventConfiguration``kms:GetKeyPolicy`, dan `s3:GetBucketAbac` | Februari 06, 2026 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant)— Kebijakan yang diperbarui | CloudWatch memperbarui kebijakan **AIOpsAssistantPolicy**IAM. Ini menambahkan izin untuk memungkinkan CloudWatch investigasi untuk membantu dalam kueri, pemecahan masalah, dan pemetaan topologi. Izin berikut ditambahkan:`kms:GetKeyRotationStatus`,`kms:ListAliases`, dan `kms:ListKeyRotations` | Desember 17, 2025 |
| [CloudWatchNetworkMonitorServiceRolePolicy](security-iam-awsmanpol-nw.md#security-iam-CloudWatchNetworkMonitorServiceRolePolicy)— Kebijakan yang diperbarui | CloudWatch menambahkan`ec2:DescribeRouteTables`,, `ec2:DescribeTransitGatewayAttachments``ec2:DescribeTransitGatewayRouteTables`, `ec2:SearchTransitGatewayRoutes` izin ke kebijakan **CloudWatchNetworkMonitorServiceRolePolicy**terkelola untuk memberikan izin bagi Network Synthetic Monitor guna menghasilkan nilai Indikator Kesehatan Jaringan bagi pelanggan yang menggunakan Transit Gateways. | Desember 12, 2025 |
| [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)— Kebijakan yang diperbarui | CloudWatch menambahkan `ec2:DescribeVpcEndpointServiceConfigurations` izin `ec2:DescribeVpcEndpoints` dan ke kebijakan **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**terkelola untuk memberikan izin bagi Network Flow Monitor guna menghasilkan snapshot topologi titik akhir VPC dan konfigurasi layanan vpce. | Desember 10, 2025 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) - Kebijakan yang diperbarui | CloudWatch menambahkan izin ke **CloudWatchFullAccessV2**. Izin untuk tindakan administrasi observabilitas ditambahkan untuk memungkinkan akses penuh ke pipeline telemetri dan integrasi tabel S3. | Desember 02, 2025 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)— Kebijakan yang diperbarui | CloudWatch menambahkan izin ke **CloudWatchReadOnlyAccess**. Izin untuk tindakan administrasi observabilitas ditambahkan untuk memungkinkan akses hanya-baca ke pipeline telemetri dan integrasi tabel S3. | Desember 02, 2025 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) - Kebijakan yang diperbarui | CloudWatch memperbarui kebijakan **CloudWatchFullAccessV2** untuk menyertakan izin untuk mendukung melihat peristiwa perubahan untuk entitas dan rentang waktu tertentu, dan menanyakan layanan dan sumber daya yang tidak diinstrumentasi dari Sinyal Aplikasi dengan mengaktifkan penjelajah sumber daya. | November 20, 2025 |
| [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess)— Kebijakan yang diperbarui | CloudWatch memperbarui **CloudWatchApplicationSignalsFullAccess**kebijakan untuk menyertakan izin guna mendukung melihat peristiwa perubahan untuk entitas dan rentang waktu tertentu, serta menanyakan layanan dan sumber daya yang tidak diinstrumentasi dari Sinyal Aplikasi dengan mengaktifkan penjelajah sumber daya. | November 20, 2025 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)— Kebijakan yang diperbarui | CloudWatch memperbarui **CloudWatchReadOnlyAccess**kebijakan untuk menyertakan izin guna mendukung melihat peristiwa perubahan untuk entitas dan rentang waktu tertentu, serta menanyakan layanan dan sumber daya yang tidak diinstrumentasi dari Sinyal Aplikasi. | November 20, 2025 |
| [CloudWatchApplicationSignalsReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess)— Kebijakan yang diperbarui | CloudWatch memperbarui **CloudWatchApplicationSignalsReadOnlyAccess**kebijakan untuk menyertakan izin guna mendukung melihat peristiwa perubahan untuk entitas dan rentang waktu tertentu, serta menanyakan layanan dan sumber daya yang tidak diinstrumentasi dari Sinyal Aplikasi. | November 20, 2025 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – Pembaruan ke kebijakan yang ada | CloudWatch memperbarui kebijakan bernama **CloudWatchApplicationSignalsServiceRolePolicy**. Memperbarui kebijakan untuk menyertakan `resource-explorer-2:Search` dan `cloudtrail:CreateServiceLinkedChannel` mengaktifkan fitur Sinyal Aplikasi baru. | November 20, 2025 |
| [AIOpsConsoleAdminPolicy — Kebijakan yang diperbarui](https://docs.aws.amazon.com/managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) | CloudWatch memperbarui **AIOpsConsoleAdminPolicy**kebijakan untuk menyertakan izin integrasi Amazon Q, memungkinkan pengguna untuk berinteraksi dengan laporan insiden CloudWatch investigasi melalui antarmuka percakapan Amazon Q. | November 17, 2025 |
| [AIOpsOperatorAccess — Kebijakan yang diperbarui](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) | CloudWatch memperbarui **AIOpsOperatorAccess**kebijakan untuk menyertakan izin integrasi Amazon Q, memungkinkan pengguna untuk berinteraksi dengan laporan insiden CloudWatch investigasi melalui antarmuka percakapan Amazon Q. | November 7, 2025 |
| [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)— Kebijakan yang diperbarui | CloudWatch menambahkan `ec2:GetManagedPrefixListEntries` izin `ec2:DescribeManagedPrefixLists` dan ke kebijakan **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**terkelola untuk memberikan izin bagi Network Flow Monitor guna menghasilkan snapshot topologi daftar awalan terkelola. | November 06, 2025 |
| [AIOpsAssistantIncidentReportPolicy — Kebijakan baru](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html) | CloudWatch menambahkan **AIOpsAssistantIncidentReportPolicy**kebijakan untuk memungkinkan CloudWatch investigasi menghasilkan laporan insiden dari data investigasi, termasuk izin untuk mengakses investigasi, membuat laporan, dan mengelola fakta yang berasal dari AI. | Oktober 10, 2025 |
| [AIOpsOperatorAccess — Kebijakan yang diperbarui](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) | CloudWatch memperbarui **AIOpsOperatorAccess**kebijakan untuk menyertakan izin pembuatan laporan insiden, yang memungkinkan pengguna untuk membuat dan mengelola laporan insiden dan bekerja dengan fakta yang berasal dari AI dalam CloudWatch penyelidikan. | Oktober 10, 2025 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)— Perbarui ke kebijakan yang ada. | CloudWatch menambahkan izin ke **CloudWatchReadOnlyAccess**. Izin untuk tindakan administrasi observabilitas ditambahkan untuk memungkinkan akses hanya-baca ke aturan telemetri, konfigurasi sentralisasi, dan data telemetri sumber daya di seluruh. AWS Organizations | Oktober 10, 2025 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) - Pembaruan kebijakan yang ada | CloudWatch **CloudWatchFullAccessV2** yang diperbarui untuk menyertakan CloudTrail dan izin Service Quotas untuk mendukung pengamatan teratas dan mengubah fungsionalitas indikator dalam Sinyal Aplikasi. | Oktober 8, 2025 |
| [CloudWatchReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)— Pembaruan kebijakan yang ada | CloudWatch diperbarui **CloudWatchReadOnlyAccess **untuk menyertakan CloudTrail dan izin Service Quotas untuk mendukung pengamatan teratas dan mengubah fungsionalitas indikator dalam Sinyal Aplikasi. | Oktober 8, 2025 |
| [CloudWatchApplicationSignalsReadOnlyAccess — Kebijakan yang diperbarui](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html) | CloudWatch memperbarui **CloudWatchApplicationSignalsReadOnlyAccess**kebijakan untuk melihat perubahan sumber daya dan layanan di akun Anda dan melihat pengamatan teratas untuk anomali layanan di akun Anda. | September 29, 2025 |
| [CloudWatchApplicationSignalsFullAccess — Kebijakan yang diperbarui](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html) | CloudWatch memperbarui **CloudWatchApplicationSignalsFullAccess**kebijakan untuk melihat perubahan sumber daya dan layanan di akun Anda dan melihat pengamatan teratas untuk anomali layanan di akun Anda. | September 29, 2025 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant)— Kebijakan yang diperbarui | CloudWatch memperbarui **AIOpsAssistantPolicy**untuk memungkinkan CloudWatch investigasi mengakses sumber daya tambahan untuk membantu dalam kueri, pemecahan masalah, dan pemetaan topologi. Kebijakan ini memberikan CloudWatch investigasi izin yang diperlukan untuk melakukan investigasi. | September 24, 2025 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy)— Kebijakan yang diperbarui | CloudWatch memperbarui **AIOpsConsoleAdminPolicy**kebijakan untuk mengizinkan validasi grup investigasi di seluruh akun. Kebijakan ini memberi pengguna akses ke tindakan CloudWatch investigasi, dan AWS tindakan tambahan yang diperlukan untuk mengakses peristiwa investigasi. | Juni 13, 2025 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess)— Kebijakan yang diperbarui | CloudWatch memperbarui **AIOpsOperatorAccess**kebijakan untuk mengizinkan validasi grup investigasi di seluruh akun. Kebijakan ini memberi pengguna akses ke tindakan CloudWatch investigasi, dan AWS tindakan tambahan yang diperlukan untuk mengakses peristiwa investigasi. | Juni 13, 2025 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant)— Pembaruan kebijakan yang ada | CloudWatch memperbarui kebijakan **AIOpsAssistantPolicy**IAM. Ini menambahkan izin untuk mengaktifkan investigasi operasional Wawasan CloudWatch Aplikasi untuk menemukan informasi dalam sumber daya Anda selama penyelidikan. Izin berikut ditambahkan:`appsync:GetGraphqlApi`,,`appsync:GetDataSource`, `iam:ListAttachedRolePolicies``iam:ListRolePolicies`, dan `iam:ListRoles` Selain itu, `elastic-inference:Describe*` izin telah dihapus dari kebijakan. | Juni 13, 2025 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess)— Kebijakan yang diperbarui | CloudWatch menambahkan izin ke **AmazonCloudWatchRUMReadOnlyAccess**kebijakan. `synthetics: describeCanaries`Dan `synthetics:describeCanariesLastRun` ditambahkan sehingga CloudWatch RUM dapat menampilkan Canary Synthetics terkait ke monitor aplikasi RUM. `cloudwatch:GetMetricData`Itu ditambahkan sehingga CloudWatch RUM dapat menampilkan CloudWatch metrik terkait ke monitor aplikasi RUM. `cloudwatch:DescribeAlarms`Itu ditambahkan sehingga CloudWatch RUM dapat menampilkan CloudWatch alarm terkait ke monitor aplikasi RUM. `logs:DescribeLogGroups`Itu ditambahkan sehingga CloudWatch RUM dapat menampilkan CloudWatch log terkait ke monitor aplikasi RUM. `xray:GetTraceSummaries`Itu ditambahkan sehingga CloudWatch RUM dapat menampilkan segmen X-Ray Trace terkait ke monitor aplikasi RUM. `rum:ListTagsForResources`Itu ditambahkan sehingga CloudWatch RUM dapat menampilkan tag terkait ke monitor aplikasi RUM. | Juni 28, 2025 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess)— Kebijakan yang diperbarui | CloudWatch memperbarui **AIOpsReadOnlyAccess**kebijakan untuk mengizinkan validasi grup investigasi di seluruh akun. Kebijakan ini memberikan izin hanya-baca pengguna untuk Operasi Amazon AI dan layanan terkait lainnya. | Juni 5, 2025 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess)— Kebijakan yang diperbarui | CloudWatch menambahkan izin ke **AmazonCloudWatchRUMReadOnlyAccess**kebijakan. `rum:GetResourcePolicy`Izin ditambahkan sehingga CloudWatch RUM dapat melihat kebijakan sumber daya yang dilampirkan ke monitor aplikasi RUM. | April 28, 2025 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – Kebijakan baru | CloudWatch membuat kebijakan baru bernama **AIOpsConsoleAdminPolicy**. Kebijakan ini memberikan pengguna akses administratif penuh untuk mengelola CloudWatch investigasi, termasuk pengelolaan propagasi identitas tepercaya, dan pengelolaan Pusat Identitas IAM dan akses organisasi. | Desember 3, 2024 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – Kebijakan baru | CloudWatch membuat kebijakan baru bernama **AIOpsOperatorAccess**. Kebijakan ini memberi pengguna akses ke tindakan CloudWatch investigasi, dan AWS tindakan tambahan yang diperlukan untuk mengakses peristiwa investigasi. | Desember 3, 2024 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – Kebijakan baru | CloudWatch membuat kebijakan baru bernama **AIOpsReadOnlyAccess**. Kebijakan ini memberikan izin hanya-baca pengguna untuk Operasi Amazon AI dan layanan terkait lainnya. | Desember 3, 2024 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – Kebijakan baru | CloudWatch membuat kebijakan baru bernama **AIOpsAssistantPolicy**. Anda tidak menetapkan kebijakan ini kepada pengguna. Anda menetapkan kebijakan ini ke asisten Operasi AI Amazon untuk memungkinkan CloudWatch investigasi menganalisis AWS sumber daya Anda selama penyelidikan peristiwa operasional. | Desember 3, 2024 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) - Pembaruan kebijakan yang ada | CloudWatch diperbarui **CloudWatchFullAccessV2** dan **CloudWatchFullAccess**. Izin untuk Amazon OpenSearch Service ditambahkan untuk mengaktifkan integrasi CloudWatch Log dengan OpenSearch Layanan untuk beberapa fitur. | Desember 1, 2024 |
| [CloudWatchNetworkFlowMonitorServiceRolePolicy](using-service-linked-roles-network-flow-monitor.md) – Kebijakan baru | CloudWatch menambahkan kebijakan baru **CloudWatchNetworkFlowMonitorServiceRolePolicy**. **CloudWatchNetworkFlowMonitorServiceRolePolicy**Memberikan izin untuk Network Flow Monitor untuk mempublikasikan metrik ke. CloudWatch Ini juga memungkinkan layanan untuk digunakan AWS Organizations untuk mendapatkan informasi untuk skenario multi-akun. | Desember 1, 2024 |
| [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – Kebijakan baru | CloudWatch menambahkan kebijakan baru **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**. **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**Memberikan izin untuk Network Flow Monitor untuk menghasilkan snapshot topologi sumber daya yang digunakan di akun Anda. | Desember 1, 2024 |
| [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) – Kebijakan baru | CloudWatch menambahkan kebijakan baru **CloudWatchNetworkFlowMonitorAgentPublishPolicy**. **CloudWatchNetworkFlowMonitorAgentPublishPolicy**Pemberian izin untuk sumber daya, seperti instans Amazon EC2 dan Amazon EKS, untuk mengirim laporan telemetri (metrik) ke titik akhir Network Flow Monitor. | Desember 1, 2024 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – Pembaruan ke kebijakan yang ada | CloudWatch memperbarui kebijakan bernama **CloudWatchSyntheticsFullAccess**. Tindakan CloudWatch Log berikut telah ditambahkan untuk memungkinkan CloudWatch Synthetics mendapatkan dan menggunakan data log kenari di grup log Lambda. `lambda:GetFunction`Izin juga telah ditambahkan untuk memungkinkan Synthetics mendapatkan informasi tentang fungsi tertentu. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch.html) Selain itu, tindakan versi layer Lambda sekarang berlaku untuk semua layer SyntheticsCloudWatch . ARNs | November 20, 2024 |
| [CloudWatchInternetMonitorReadOnlyAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorReadOnlyAccess)— Baru **CloudWatchInternetMonitorReadOnlyAccess**. Kebijakan ini hanya memberikan akses baca ke sumber daya dan tindakan yang tersedia di CloudWatch konsol untuk Internet Monitor. Ruang lingkup kebijakan ini mencakup `internetmonitor:` agar pengguna dapat menggunakan tindakan dan sumber daya Internet Monitor hanya-baca. Ini mencakup beberapa `cloudwatch:` kebijakan untuk mengambil informasi tentang CloudWatch metrik. Ini mencakup beberapa `logs:` kebijakan untuk mengelola kueri log. | November 14, 2024 |
| [CloudWatchInternetMonitorFullAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorFullAccess) – Kebijakan baru | CloudWatch membuat kebijakan baru bernama **CloudWatchInternetMonitorFullAccess**. Kebijakan ini memberikan akses penuh ke sumber daya dan tindakan yang tersedia di CloudWatch konsol untuk Internet Monitor. Ruang lingkup kebijakan ini mencakup `internetmonitor:` agar pengguna dapat menggunakan tindakan dan sumber daya Internet Monitor. Ini mencakup beberapa `cloudwatch:` kebijakan untuk mengambil informasi tentang CloudWatch alarm dan metrik. Ini mencakup beberapa `logs:` kebijakan untuk mengelola kueri log. Ini mencakup beberapa`ec2:`,`cloudfront:`,`elasticloadbalancing:`, dan `workspaces:` kebijakan untuk bekerja dengan sumber daya yang Anda tambahkan ke monitor sehingga Internet Monitor dapat membuat profil lalu lintas untuk aplikasi Anda. Ini berisi beberapa `iam:` kebijakan untuk mengelola peran IAM. | Oktober 23, 2024 |
| [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](#managed-policies-CloudWatchLambdaApplicationSignalsExecutionRolePolicy)— Baru **CloudWatchLambdaApplicationSignalsExecutionRolePolicy**. Kebijakan ini digunakan saat Sinyal CloudWatch Aplikasi diaktifkan untuk beban kerja Lambda. Ini memungkinkan akses tulis ke X-Ray dan grup log yang digunakan oleh Sinyal CloudWatch Aplikasi. | Oktober 16, 2024 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – Pembaruan ke kebijakan yang ada | CloudWatch memperbarui kebijakan bernama **CloudWatchSyntheticsFullAccess**. `lambda:UntagResource`Izin `lambda:ListTags``lambda:TagResource`,, dan ditambahkan sehingga ketika Anda menerapkan atau mengubah tag pada kenari, Anda dapat memilih agar Synthetics juga menerapkan tag atau perubahan yang sama pada fungsi Lambda yang digunakan kenari. | Oktober 11, 2024 |
| [CloudWatchApplicationSignalsReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – Kebijakan baru | CloudWatch membuat kebijakan baru bernama **CloudWatchApplicationSignalsReadOnlyAccess**. Kebijakan ini hanya memberikan akses baca ke sumber daya dan tindakan yang tersedia di CloudWatch konsol untuk Sinyal Aplikasi. Ruang lingkup kebijakan ini mencakup `application-signals:` kebijakan sehingga pengguna dapat menggunakan tindakan dan sumber daya baca saja yang tersedia di CloudWatch konsol di bawah Sinyal Aplikasi. Ini berisi `iam:` kebijakan untuk mengelola peran IAM. Ini mencakup beberapa `logs:` kebijakan untuk mengelola kueri dan filter log. Ini termasuk `cloudwatch:` kebijakan untuk mengambil informasi tentang CloudWatch alarm dan metrik. Ini mencakup beberapa `synthetics:` kebijakan untuk mengambil informasi tentang kenari sintetis. Ini termasuk `rum:` kebijakan untuk mengelola klien dan pekerjaan RUM. Ini berisi `xray:` kebijakan untuk mendapatkan ringkasan jejak. | Juni 7, 2024 |
| [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – Kebijakan baru | CloudWatch membuat kebijakan baru bernama **CloudWatchApplicationSignalsFullAccess**. Kebijakan ini memberikan akses penuh ke sumber daya dan tindakan yang tersedia di CloudWatch konsol untuk Sinyal Aplikasi. Ruang lingkup kebijakan ini mencakup `application-signals:` agar pengguna dapat menggunakan tindakan dan sumber daya Sinyal Aplikasi. Ini mencakup beberapa `cloudwatch:` kebijakan untuk mengambil informasi tentang CloudWatch alarm dan metrik. Ini mencakup beberapa `logs:` kebijakan untuk mengelola kueri log. Ini mencakup beberapa `synthetics:` kebijakan untuk menulis dan mengambil informasi tentang kenari sintetis. Ini termasuk `rum:` kebijakan untuk mengelola klien dan pekerjaan RUM. Ini berisi `xray:` kebijakan untuk mendapatkan ringkasan jejak. Ini mencakup beberapa `cloudwatch:` kebijakan untuk mengelola CloudWatch alarm. Ini berisi beberapa `iam:` kebijakan untuk mengelola peran IAM. Ini mencakup beberapa `sns:` kebijakan untuk mengelola pemberitahuan Amazon Simple Notification Service. | Juni 7, 2024 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) - Perbarui ke kebijakan yang ada | CloudWatch memperbarui kebijakan bernama **CloudWatchFullAccessV2**. Ruang lingkup `CloudWatchFullAccessPermissions` kebijakan diperbarui untuk ditambahkan `application-signals:*` sehingga pengguna dapat menggunakan Sinyal CloudWatch Aplikasi untuk melihat, menyelidiki, dan mendiagnosis masalah dengan kesehatan layanan mereka. | Mei 20, 2024 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch memperbarui kebijakan bernama **CloudWatchReadOnlyAccess**. Ruang lingkup `CloudWatchReadOnlyAccessPermissions` kebijakan diperbarui untuk menambahkan`application-signals:BatchGet*`,`application-signals:List*`, dan `application-signals:Get*` agar pengguna dapat menggunakan Sinyal CloudWatch Aplikasi untuk melihat, menyelidiki, dan mendiagnosis masalah dengan kesehatan layanan mereka. Ruang lingkup `CloudWatchReadOnlyGetRolePermissions` telah diperbarui untuk menambahkan `iam:GetRole` tindakan sehingga pengguna dapat memeriksa apakah Sinyal CloudWatch Aplikasi sudah diatur. | Mei 20, 2024 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – Pembaruan ke kebijakan yang ada | CloudWatch memperbarui kebijakan bernama **CloudWatchApplicationSignalsServiceRolePolicy**. Pelingkupan `logs:StartQuery` dan `logs:GetQueryResults` izin diubah untuk menambahkan `arn:aws:logs:*:*:log-group:/aws/appsignals/*:*` dan mengaktifkan Sinyal Aplikasi pada `arn:aws:logs:*:*:log-group:/aws/application-signals/data:*` ARNs lebih banyak arsitektur. | April 18, 2024 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – Pembaruan ke kebijakan yang ada | CloudWatch mengubah ruang lingkup izin di **CloudWatchApplicationSignalsServiceRolePolicy**. Ruang lingkup `cloudwatch:GetMetricData` izin diubah menjadi `*` sehingga Sinyal Aplikasi dapat mengambil metrik dari sumber di akun tertaut. | April 08, 2024 |
| [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy) – Pembaruan ke kebijakan yang ada | CloudWatch menambahkan izin ke **CloudWatchAgentServerPolicy**. `logs:PutRetentionPolicy`Izin `xray:PutTraceSegments``xray:PutTelemetryRecords`,`xray:GetSamplingRules`,`xray:GetSamplingTargets`,, `xray:GetSamplingStatisticSummaries` dan ditambahkan sehingga CloudWatch agen dapat mempublikasikan jejak X-Ray dan memodifikasi periode retensi grup log. | Februari 12, 2024 |
| [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy) – Pembaruan ke kebijakan yang ada | CloudWatch menambahkan izin ke **CloudWatchAgentAdminPolicy**. `logs:PutRetentionPolicy`Izin `xray:PutTraceSegments``xray:PutTelemetryRecords`,`xray:GetSamplingRules`,`xray:GetSamplingTargets`,, `xray:GetSamplingStatisticSummaries` dan ditambahkan sehingga CloudWatch agen dapat mempublikasikan jejak X-Ray dan memodifikasi periode retensi grup log. | Februari 12, 2024 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) - Perbarui ke kebijakan yang ada | CloudWatch menambahkan izin ke **CloudWatchFullAccessV2**. Izin yang ada untuk tindakan CloudWatch Synthetics, X-Ray, CloudWatch dan RUM serta izin baru CloudWatch untuk Sinyal Aplikasi ditambahkan sehingga pengguna dengan kebijakan ini dapat CloudWatch mengelola Sinyal Aplikasi. Izin untuk membuat peran terkait layanan Sinyal CloudWatch Aplikasi ditambahkan untuk memungkinkan Sinyal CloudWatch Aplikasi menemukan data telemetri dalam log, metrik, jejak, dan tag. | 5 Desember 2023 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch menambahkan izin ke **CloudWatchReadOnlyAccess**. Izin hanya-baca yang ada untuk tindakan Synthetics CloudWatch , X-Ray, dan CloudWatch RUM serta izin hanya-baca baru untuk Sinyal CloudWatch Aplikasi ditambahkan sehingga pengguna dengan kebijakan ini dapat melakukan triase dan mencerna masalah kesehatan layanan mereka seperti yang dilaporkan oleh Sinyal Aplikasi. CloudWatch `cloudwatch:GenerateQuery`Izin ditambahkan agar pengguna dengan kebijakan ini dapat menghasilkan string kueri CloudWatch Metrics Insights dari prompt bahasa alami. | 5 Desember 2023 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)— Perbarui ke kebijakan yang ada. | CloudWatch menambahkan izin untuk **CloudWatchReadOnlyAccess**. `cloudwatch:GenerateQuery`Izin ditambahkan, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) dari prompt bahasa alami. | Desember 01, 2023 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – Kebijakan baru | CloudWatch menambahkan kebijakan baru **CloudWatchApplicationSignalsServiceRolePolicy**. Ini **CloudWatchApplicationSignalsServiceRolePolicy**memberikan izin fitur yang akan datang untuk mengumpulkan data CloudWatch Log, data jejak X-Ray, data CloudWatch metrik, dan data penandaan. | 9 November 2023 |
| [AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-permissions-dbperfinsights) – Kebijakan baru | CloudWatch menambahkan kebijakan baru **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy**. Ini **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy**memberikan izin CloudWatch untuk mengambil metrik Performance Insights dari database atas nama Anda. | 20 September 2023 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch menambahkan izin untuk **CloudWatchReadOnlyAccess**. Izin `application-autoscaling:DescribeScalingPolicies` ditambahkan sehingga pengguna yang memiliki kebijakan ini akan dapat mengakses informasi tentang kebijakan penskalaan otomatis Application Auto Scaling. | 14 September 2023 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) - Kebijakan baru | CloudWatch menambahkan kebijakan baru **CloudWatchFullAccessV2**. **CloudWatchFullAccessV2** memberikan akses penuh ke CloudWatch tindakan dan sumber daya sambil lebih baik melingkupi izin yang diberikan ke layanan lain seperti Amazon SNS dan. Amazon EC2 Auto Scaling Untuk informasi lebih lanjut, lihat [ CloudWatchFullAccessV2](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch-CloudWatchFullAccessV2.html). | 1 Agustus 2023 |
| [AWSServiceRoleForInternetMonitor](using-service-linked-roles-CWIM.md#service-linked-role-permissions-CWIM-AWSServiceRoleForInternetMonitor) – Pembaruan ke kebijakan yang ada | Amazon CloudWatch Internet Monitor menambahkan izin baru untuk memantau sumber daya Network Load Balancer. Izin `elasticloadbalancing:DescribeLoadBalancers` dan `ec2:DescribeNetworkInterfaces` diperlukan agar Internet Monitor dapat memantau lalu lintas Penyeimbang Beban Jaringan pelanggan dengan menganalisis log aliran pada sumber daya NLB. Untuk informasi selengkapnya, lihat [Menggunakan Monitor Internet](CloudWatch-InternetMonitor.md). | 15 Juli 2023 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch menambahkan izin ke **CloudWatchReadOnlyAccess**. Izin `logs:StartLiveTail` dan `logs:StopLiveTail` izin ditambahkan sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk memulai dan menghentikan sesi ekor langsung CloudWatch Log. Untuk informasi selengkapnya, silakan lihat [ Menggunakan live tail untuk melihat log mendekati waktu nyata](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 Juni 2023 |
| [CloudWatchCrossAccountSharingConfiguration](#managed-policies-cloudwatch-CloudWatchCrossAccountSharingConfiguration) – Kebijakan baru | CloudWatch menambahkan kebijakan baru untuk memungkinkan Anda mengelola tautan observabilitas CloudWatch lintas akun yang berbagi CloudWatch metrik. Untuk informasi selengkapnya, lihat [CloudWatch observabilitas lintas akun](CloudWatch-Unified-Cross-Account.md). | 27 November 2022 |
| [OAMFullAkses](#managed-policies-cloudwatch-OAMFullAccess) — Kebijakan baru | CloudWatch menambahkan kebijakan baru untuk memungkinkan Anda mengelola tautan dan sink observabilitas CloudWatch lintas akun sepenuhnya. Untuk informasi selengkapnya, lihat [CloudWatch observabilitas lintas akun](CloudWatch-Unified-Cross-Account.md). | 27 November 2022 |
| [OAMReadOnlyAccess](#managed-policies-cloudwatch-OAMReadOnlyAccess) – Kebijakan baru | CloudWatch menambahkan kebijakan baru untuk memungkinkan Anda melihat informasi tentang tautan dan sink observabilitas CloudWatch lintas akun. Untuk informasi selengkapnya, lihat [CloudWatch observabilitas lintas akun](CloudWatch-Unified-Cross-Account.md). | 27 November 2022 |
| [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess) – Pembaruan ke kebijakan yang ada | CloudWatch menambahkan izin ke **CloudWatchFullAccess**. Izin `oam:ListSinks` dan `oam:ListAttachedLinks` izin ditambahkan sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. | 27 November 2022 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – Pembaruan ke kebijakan yang ada | CloudWatch menambahkan izin ke **CloudWatchReadOnlyAccess**. Izin `oam:ListSinks` dan `oam:ListAttachedLinks` izin ditambahkan sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. | 27 November 2022 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – Pembaruan ke kebijakan yang ada | CloudWatch RUM memperbarui kunci kondisi di **AmazonCloudWatchRUMServiceRolePolicy**. Kunci `"Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } }` kondisi diubah menjadi berikut sehingga CloudWatch RUM dapat mengirim metrik khusus ke ruang nama metrik khusus. "Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
| 2 Februari 2023 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess)— Kebijakan yang diperbarui | CloudWatch menambahkan izin **AmazonCloudWatchRUMReadOnlyAccess**kebijakan. `rum:BatchGetRumMetricsDefinitions`Izin `rum:ListRumMetricsDestinations` dan ditambahkan sehingga CloudWatch RUM dapat mengirim metrik yang diperluas ke. CloudWatch | 27 Oktober 2022 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – Pembaruan ke kebijakan yang ada | CloudWatch RUM menambahkan izin ke **AmazonCloudWatchRUMServiceRolePolicy**. `cloudwatch:PutMetricData`Izin ditambahkan sehingga CloudWatch RUM dapat mengirim metrik yang diperluas ke CloudWatch. | 26 Oktober 2022 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – Pembaruan ke kebijakan yang ada | CloudWatch Synthetics menambahkan izin ke. **CloudWatchSyntheticsFullAccess** `lambda:DeleteLayerVersion`Izin `lambda:DeleteFunction` dan ditambahkan sehingga CloudWatch Synthetics dapat menghapus sumber daya terkait saat kenari dihapus. `iam:ListAttachedRolePolicies` ditambahkan sehingga pelanggan dapat melihat kebijakan yang melekat pada peran IAM canary. | 6 Mei 2022 |
| [AmazonCloudWatchRUMFullAkses](#managed-policies-CloudWatchRUMFullAccess) — Kebijakan baru | CloudWatch menambahkan kebijakan baru untuk mengaktifkan manajemen penuh CloudWatch RUM. CloudWatch RUM memungkinkan Anda untuk melakukan pemantauan pengguna nyata dari aplikasi web Anda. Untuk informasi selengkapnya, lihat [CloudWatch RUM](CloudWatch-RUM.md). | 29 November 2021 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – Kebijakan baru | CloudWatch menambahkan kebijakan baru untuk mengaktifkan akses hanya-baca ke CloudWatch RUM. CloudWatch RUM memungkinkan Anda untuk melakukan pemantauan pengguna nyata dari aplikasi web Anda. Untuk informasi selengkapnya, lihat [CloudWatch RUM](CloudWatch-RUM.md). | 29 November 2021 |
| [**AWSServiceRoleForCloudWatchRUM**](using-service-linked-roles-RUM.md) — Kebijakan terkelola baru | CloudWatch menambahkan kebijakan untuk peran terkait layanan baru untuk memungkinkan CloudWatch RUM memonitor data ke layanan terkait lainnya. AWS | 29 November 2021 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – Pembaruan ke kebijakan yang ada | CloudWatch Synthetics menambahkan izin ke **CloudWatchSyntheticsFullAccess**, dan juga mengubah ruang lingkup satu izin. `kms:ListAliases`Izin ditambahkan sehingga pengguna dapat membuat daftar AWS KMS kunci yang tersedia yang dapat digunakan untuk mengenkripsi artefak kenari. Izin `kms:DescribeKey` ditambahkan sehingga pengguna dapat melihat detail kunci yang akan digunakan untuk mengenkripsi artefak canary. Dan izin `kms:Decrypt` ditambahkan untuk memungkinkan pengguna mendekripsi artefak canary. Kemampuan dekripsi ini terbatas untuk digunakan pada sumber daya yang ada dalam bucket Amazon S3. Lingkup `Resource` dari izin `s3:GetBucketLocation` diubah dari `*` menjadi `arn:aws:s3:::*`. | 29 September 2021 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – Pembaruan ke kebijakan yang ada | CloudWatch Synthetics menambahkan izin untuk. **CloudWatchSyntheticsFullAccess** Izin `lambda:UpdateFunctionCode` ditambahkan agar pengguna dengan kebijakan ini dapat mengubah versi runtime canary. | 20 Juli 2021 |
| [AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy](#managed-policies-cloudwatch-incident-manager)— Kebijakan terkelola baru | CloudWatch menambahkan kebijakan IAM terkelola baru untuk memungkinkan CloudWatch untuk membuat insiden di Manajer AWS Systems Manager Insiden. | 10 Mei 2021 |
| [ CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess) – Pembaruan ke kebijakan yang ada | CloudWatch menambahkan izin ke kebijakan **CloudWatchAutomaticDashboardsAccess**terkelola. `synthetics:DescribeCanariesLastRun`Izin ditambahkan ke kebijakan ini untuk memungkinkan pengguna dasbor lintas akun melihat detail tentang proses kenari CloudWatch Synthetics. | 20 April 2021 |
| CloudWatch mulai melacak perubahan | CloudWatch mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 14 April 2021 |
## CloudWatchFullAccessV2
AWS baru-baru ini menambahkan kebijakan IAM terkelola **CloudWatchFullAccessV2**. Kebijakan ini memberikan akses penuh ke CloudWatch tindakan dan sumber daya dan juga lebih tepat mencakup izin yang diberikan untuk layanan lain seperti Amazon SNS dan. Amazon EC2 Auto Scaling Kami menyarankan Anda mulai menggunakan kebijakan ini daripada menggunakan **CloudWatchFullAccess**. AWS berencana untuk mencela **CloudWatchFullAccess**dalam waktu dekat.
Ini termasuk `application-signals:` izin sehingga pengguna dapat mengakses semua fungsi dari CloudWatch konsol di bawah Sinyal Aplikasi. Ini mencakup beberapa `autoscaling:Describe` izin sehingga pengguna dengan kebijakan ini dapat melihat tindakan Auto Scaling yang terkait dengan CloudWatch alarm. Ini mencakup beberapa `sns` izin sehingga pengguna dengan kebijakan ini dapat mengambil topik buat Amazon SNS dan mengaitkannya dengan alarm. CloudWatch Ini mencakup izin IAM sehingga pengguna dengan kebijakan ini dapat melihat informasi tentang peran terkait layanan yang terkait dengannya. CloudWatch Ini mencakup `oam:ListSinks` dan `oam:ListAttachedLinks` izin sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. Ini juga mencakup CloudTrail dan izin Service Quotas untuk mendukung pengamatan teratas dan mengubah fungsionalitas indikator dalam Sinyal Aplikasi.
Ini termasuk Amazon OpenSearch Service izin untuk mendukung dasbor log vended di CloudWatch Log, yang dibuat dengan analitik. Amazon OpenSearch Service Ini mencakup `resource-explorer-2:` kebijakan sehingga pengguna dapat menggunakan konsol untuk melihat layanan yang tidak didukung di akun mereka.
Ini termasuk`rum`,`synthetics`, dan `xray` izin sehingga pengguna dapat memiliki akses penuh ke CloudWatch Synthetics AWS X-Ray,, CloudWatch dan RUM, yang semuanya berada di bawah CloudWatch layanan.
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchFullAccessV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchFullAccessV2.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
## CloudWatchFullAccess
**CloudWatchFullAccess**Kebijakan ini berada di jalur menuju penghentian. Kami menyarankan Anda berhenti menggunakannya, dan gunakan [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) sebagai gantinya.
## CloudWatchReadOnlyAccess
**CloudWatchReadOnlyAccess**Kebijakan ini memberikan akses hanya-baca ke CloudWatch dan fitur observabilitas terkait.
Kebijakan ini mencakup beberapa `logs:` izin, sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat informasi CloudWatch Log dan kueri Wawasan CloudWatch Log. Ini termasuk`autoscaling:Describe*`, sehingga pengguna dengan kebijakan ini dapat melihat tindakan Auto Scaling yang terkait dengan CloudWatch alarm. Ini termasuk `application-signals:` izin sehingga pengguna dapat menggunakan Sinyal Aplikasi untuk memantau kesehatan layanan mereka. Kebijakan ini mencakup `application-autoscaling:DescribeScalingPolicies`, sehingga pengguna dengan kebijakan ini dapat mengakses informasi tentang kebijakan penskalaan otomatis Application Auto Scaling. Ini termasuk `sns:Get*` dan`sns:List*`, sehingga pengguna dengan kebijakan ini dapat mengambil informasi tentang topik Amazon SNS yang menerima pemberitahuan CloudWatch tentang alarm. Ini mencakup `oam:ListSinks` dan `oam:ListAttachedLinks` izin, sehingga pengguna dengan kebijakan ini dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. Ini termasuk `iam:GetRole` izin sehingga pengguna dapat memeriksa apakah Sinyal CloudWatch Aplikasi telah diatur. Ini juga mencakup CloudTrail dan izin Service Quotas untuk mendukung pengamatan teratas dan mengubah fungsionalitas indikator dalam Sinyal Aplikasi. Ini mencakup izin administrasi observabilitas untuk melihat aturan telemetri, konfigurasi sentralisasi, dan data telemetri sumber daya di seluruh. AWS Organizations Ini menyertakan `cloudwatch:GenerateQuery` izin, sehingga pengguna dengan kebijakan ini dapat menghasilkan string kueri [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) dari prompt bahasa alami. Ini mencakup `resource-explorer-2:` kebijakan sehingga pengguna dapat menggunakan konsol untuk melihat layanan yang tidak didukung di akun mereka.
Ini mencakup`rum`,`synthetics`, dan `xray` izin sehingga pengguna dapat memiliki akses hanya-baca ke CloudWatch Synthetics,, dan CloudWatch RUM AWS X-Ray, yang semuanya berada di bawah layanan. CloudWatch
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## CloudWatchActionsEC2Akses
Kebijakan **CloudWatchActionsEC2Access** memberikan akses hanya-baca ke CloudWatch alarm dan metrik selain metadata Amazon EC2. Kebijakan ini juga memberi akses untuk Menghentikan, Memutus, dan Reboot tindakan API pada instans EC2.
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchActionsEC2Akses](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchActionsEC2Access.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
## CloudWatch-CrossAccountAccess
Kebijakan **CloudWatch- CrossAccountAccess** dikelola digunakan oleh peran **CloudWatch- CrossAccountSharingRole** IAM. Peran dan kebijakan ini memungkinkan pengguna dasbor lintas akun untuk melihat dasbor otomatis di setiap akun yang merupakan dasbor berbagi.
Untuk melihat isi lengkap kebijakan, lihat [CloudWatch- CrossAccountAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatch-CrossAccountAccess.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
## CloudWatchAutomaticDashboardsAccess
Kebijakan **CloudWatchAutomaticDashboardsAccess**terkelola memberikan akses ke CloudWatch CloudWatch APIs non-, sehingga sumber daya seperti fungsi Lambda dapat ditampilkan CloudWatch di dasbor otomatis.
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchAutomaticDashboardsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAutomaticDashboardsAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## CloudWatchAgentServerPolicy
**CloudWatchAgentServerPolicy**Kebijakan ini dapat digunakan dalam peran IAM yang dilampirkan ke instans Amazon EC2 untuk memungkinkan CloudWatch agen membaca informasi dari instans dan menuliskannya. CloudWatch
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## CloudWatchAgentAdminPolicy
**CloudWatchAgentAdminPolicy**Kebijakan ini dapat digunakan dalam peran IAM yang dilampirkan ke instans Amazon EC2. Kebijakan ini memungkinkan CloudWatch agen untuk membaca informasi dari instance dan menuliskannya CloudWatch, dan juga untuk menulis informasi ke Parameter Store.
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchAgentAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentAdminPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
Anda tidak dapat melampirkan ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan bernama. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** Dengan menggunakan izin ini, serta pengumpulan informasi meta data internal (untuk efisiensi kinerja), peran terkait layanan ini mengumpulkan data meta tentang konfigurasi jaringan sumber daya, seperti menjelaskan tabel rute dan gateway, untuk sumber daya yang dipantau oleh layanan ini lalu lintas jaringan. Data meta ini memungkinkan Network Flow Monitor untuk menghasilkan snapshot topologi sumber daya. Ketika terjadi degradasi jaringan, Network Flow Monitor menggunakan topologi untuk memberikan wawasan tentang lokasi masalah dalam jaringan dan untuk membantu menentukan atribusi untuk masalah.
Untuk melihat izin kebijakan ini, lihat [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
Untuk informasi selengkapnya, lihat [Peran tertaut layanan untuk Monitor Aliran Jaringan](using-service-linked-roles-network-flow-monitor.md).
**catatan**
Anda dapat meninjau kebijakan-kebijakan izin ini dengan masuk ke konsol IAM dan mencari kebijakan-kebijakan tertentu di sana.
Anda juga dapat membuat kebijakan IAM khusus Anda sendiri untuk memberikan izin untuk CloudWatch tindakan dan sumber daya. Anda dapat melampirkan kebijakan-kebijakan kustom ini ke pengguna IAM atau grup yang memerlukan izin-izin tersebut.
## AWS kebijakan terkelola (standar) untuk observabilitas CloudWatch lintas akun
Kebijakan di bagian ini memberikan izin yang terkait dengan pengamatan CloudWatch lintas akun. Untuk informasi selengkapnya, lihat [CloudWatch observabilitas lintas akun](CloudWatch-Unified-Cross-Account.md).
### CloudWatchCrossAccountSharingConfiguration
**CloudWatchCrossAccountSharingConfiguration**Kebijakan ini memberikan akses untuk membuat, mengelola, dan melihat tautan Pengelola Akses Observabilitas untuk berbagi CloudWatch sumber daya antar akun. Untuk informasi selengkapnya, lihat [CloudWatch observabilitas lintas akun](CloudWatch-Unified-Cross-Account.md).
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchCrossAccountSharingConfiguration.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### OAMFullAkses
Kebijakan **OAMFullAccess** memberikan akses untuk membuat, mengelola, dan melihat sink dan tautan Pengelola Akses Observabilitas, yang digunakan untuk CloudWatch pengamatan lintas akun.
Kebijakan **OAMFullAccess** dengan sendirinya tidak mengizinkan Anda untuk berbagi data observabilitas di seluruh tautan. Untuk membuat tautan untuk berbagi CloudWatch metrik, Anda juga memerlukan salah satu **CloudWatchFullAccess**atau **CloudWatchCrossAccountSharingConfiguration**. Untuk membuat tautan untuk berbagi grup CloudWatch log Log, Anda juga memerlukan salah satu **CloudWatchLogsFullAccess**atau **CloudWatchLogsCrossAccountSharingConfiguration**. Untuk membuat tautan untuk berbagi jejak X-Ray, Anda juga memerlukan salah satu **AWSXRayFullAccess**atau **AWSXRayCrossAccountSharingConfiguration**.
Untuk informasi selengkapnya, lihat [CloudWatch observabilitas lintas akun](CloudWatch-Unified-Cross-Account.md).
Untuk melihat isi lengkap kebijakan, lihat [OAMFullAkses](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMFullAccess.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
### OAMReadOnlyAccess
**OAMReadOnlyAccess**Kebijakan ini memberikan akses hanya-baca ke sumber daya Manajer Akses Observabilitas, yang digunakan untuk observabilitas lintas akun. CloudWatch Untuk informasi selengkapnya, lihat [CloudWatch observabilitas lintas akun](CloudWatch-Unified-Cross-Account.md).
Untuk melihat isi lengkap kebijakan, lihat [OAMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola (standar) untuk investigasi CloudWatch
Kebijakan di bagian ini memberikan izin terkait CloudWatch investigasi. Untuk informasi selengkapnya, lihat [CloudWatch investigasi](Investigations.md).
### AIOpsConsoleAdminPolicy
**AIOpsConsoleAdminPolicy**Kebijakan ini memberikan akses penuh ke semua tindakan CloudWatch investigasi dan izin yang diperlukan melalui konsol. AWS Kebijakan ini juga memberikan akses terbatas ke layanan lain yang APIs diperlukan untuk fungsionalitas CloudWatch investigasi.
+ `aiops`Izin memberikan akses ke semua tindakan CloudWatch investigasi.
+ Izin `organizations``sso`,`identitystore`, dan `sts` izin memungkinkan tindakan yang diperlukan untuk manajemen Pusat Identitas IAM yang memfasilitasi sesi sadar identitas.
+ `ssm`Izin diperlukan untuk integrasi Item Operasi SSM dengan manajemen masalah pihak ketiga.
+ `iam`Izin diperlukan agar administrator dapat meneruskan peran IAM ke `aiops` dan `ssm.integrations` layanan, dan peran tersebut kemudian digunakan oleh asisten untuk menganalisis sumber daya AWS
**penting**
Izin ini memungkinkan pengguna dengan kebijakan ini untuk meneruskan peran IAM apa pun ke `aiops` dan `ssm.integrations` layanan.
+ Ini memungkinkan APIs dari layanan CloudWatch investigasi luar, yang diperlukan untuk fungsionalitas fitur investigasi. Ini termasuk tindakan untuk mengonfigurasi Amazon Q Developer dalam aplikasi obrolan, AWS KMS, CloudTrail jejak, dan manajemen masalah pihak ketiga SSM.
+ `q`Izin memungkinkan integrasi dengan Amazon Q, memungkinkan pengguna untuk berinteraksi dan memperbarui laporan CloudWatch investigasi melalui antarmuka percakapan Amazon Q.
Untuk melihat isi lengkap kebijakan, lihat [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsConsoleAdminPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AIOpsOperatorAccess
**AIOpsOperatorAccess**Kebijakan ini memberikan akses ke serangkaian CloudWatch investigasi terbatas APIs yang mencakup pembuatan, pembaruan, dan penghapusan investigasi, peristiwa investigasi, dan sumber daya investigasi.
Kebijakan ini hanya menyediakan akses ke investigasi. Anda harus yakin bahwa prinsipal IAM dengan kebijakan ini juga memiliki izin untuk membaca data CloudWatch observabilitas seperti metrik, dan hasil kueri Log. SLOs CloudWatch
+ `aiops`Izin memungkinkan akses ke CloudWatch investigasi APIs untuk membuat, memperbarui, dan menghapus investigasi.
+ Izin `sso-directory``sso`,`identitystore`, dan `sts` izin memungkinkan tindakan yang diperlukan untuk manajemen Pusat Identitas IAM yang memfasilitasi sesi sadar identitas.
+ `ssm`Izin diperlukan untuk integrasi Item Operasi SSM dengan manajemen masalah pihak ketiga.
+ `q`Izin memungkinkan integrasi dengan Amazon Q, memungkinkan pengguna untuk berinteraksi dan memperbarui laporan CloudWatch investigasi melalui antarmuka percakapan Amazon Q.
Untuk melihat isi lengkap kebijakan, lihat [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AIOpsReadOnlyAccess
**AIOpsReadOnlyAccess**Kebijakan ini memberikan izin hanya-baca untuk CloudWatch investigasi dan layanan terkait lainnya.
+ `aiops`Izin memungkinkan akses ke CloudWatch investigasi APIs untuk mendapatkan, membuat daftar, dan memvalidasi grup investigasi.
+ `sso`Izin memungkinkan tindakan yang diperlukan untuk manajemen Pusat Identitas IAM yang memfasilitasi sesi sadar identitas.
+ `ssm`Izin diperlukan untuk integrasi Item Operasi SSM dengan manajemen masalah pihak ketiga.
Untuk melihat isi lengkap kebijakan, lihat [AIOpsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AIOpsAssistantPolicy
**AIOpsAssistantPolicy**Kebijakan ini adalah kebijakan default yang direkomendasikan oleh AWS untuk menetapkan peran Amazon AI Operations (AIOps) yang digunakan oleh grup investigasi Anda untuk memungkinkannya menganalisis AWS sumber daya Anda selama investigasi peristiwa operasional. Kebijakan ini tidak dimaksudkan untuk digunakan oleh pengguna manusia.
Anda dapat memilih agar kebijakan ditetapkan secara otomatis saat Anda membuat investigasi, atau Anda dapat menetapkan kebijakan secara manual ke peran yang digunakan oleh investigasi. Kebijakan ini dicakup berdasarkan sumber daya yang dianalisis investigasi saat melakukan CloudWatch investigasi, dan akan diperbarui karena semakin banyak sumber daya yang didukung. Untuk daftar lengkap layanan yang bekerja dengan CloudWatch investigasi lihat,[AWS layanan di mana investigasi didukung](Investigations-Services.md).
Anda juga dapat memilih untuk menetapkan jenderal AWS [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)ke asisten selain menugaskannya. **AIOpsAssistantPolicy** Alasan untuk melakukan ini adalah bahwa **ReadOnlyAccess**akan diperbarui lebih sering AWS dengan izin untuk AWS layanan dan tindakan baru yang dirilis. Ini juga **AIOpsAssistantPolicy**akan diperbarui untuk tindakan baru, tetapi tidak sesering itu.
Untuk melihat isi lengkap kebijakan, lihat [AIOpsAssistantPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AIOpsAssistantIncidentReportPolicy
**AIOpsAssistantIncidentReportPolicy**Kebijakan ini memberikan izin yang diperlukan oleh CloudWatch investigasi untuk menghasilkan laporan insiden dari data investigasi.
Kebijakan ini dimaksudkan untuk digunakan oleh CloudWatch investigasi untuk memungkinkan pembuatan laporan insiden otomatis dari temuan investigasi.
+ `aiops`Izin memungkinkan akses ke CloudWatch investigasi APIs untuk membaca data investigasi dan peristiwa, membuat dan memperbarui laporan insiden, dan mengelola fakta turunan AI yang membentuk dasar pembuatan laporan.
Untuk melihat isi lengkap kebijakan, lihat [AIOpsAssistantIncidentReportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola (standar) untuk Sinyal CloudWatch Aplikasi
Kebijakan di bagian ini memberikan izin yang terkait dengan Sinyal CloudWatch Aplikasi. Untuk informasi selengkapnya, lihat [Sinyal Aplikasi](CloudWatch-Application-Monitoring-Sections.md).
### CloudWatchApplicationSignalsReadOnlyAccess
AWS telah menambahkan kebijakan IAM **CloudWatchApplicationSignalsReadOnlyAccess**terkelola. Kebijakan ini hanya memberikan akses baca ke tindakan dan sumber daya yang tersedia bagi pengguna di CloudWatch konsol di bawah Sinyal Aplikasi. Ini mencakup `application-signals:` kebijakan sehingga pengguna dapat menggunakan sinyal CloudWatch Aplikasi untuk melihat, menyelidiki, dan memantau kesehatan layanan mereka. Ini mencakup `iam:GetRole` kebijakan untuk memungkinkan pengguna mengambil informasi tentang peran IAM. Ini mencakup `logs:` kebijakan untuk memulai dan menghentikan kueri, mengambil konfigurasi untuk filter metruc, dan mendapatkan hasil kueri. Ini termasuk `cloudwatch:` kebijakan sehingga pengguna dapat memperoleh informasi tentang CloudWatch alarm atau metrik. Ini mencakup `synthetics:` kebijakan sehingga pengguna dapat mengambil informasi tentang proses kenari sintetis. Ini mencakup `rum:` kebijakan untuk menjalankan operasi batch, mengambil data, dan memperbarui definisi metrik untuk klien RUM. Ini termasuk `xray:` kebijakan untuk mengambil ringkasan jejak. Ini mencakup `oam:` kebijakan sehingga pengguna dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. Ini mencakup `resource-explorer-2:` kebijakan sehingga pengguna dapat menggunakan konsol untuk melihat layanan yang tidak didukung di akun mereka.
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchApplicationSignalsFullAccess
AWS telah menambahkan kebijakan IAM **CloudWatchApplicationSignalsFullAccess**terkelola. Kebijakan ini memberikan akses ke semua tindakan dan sumber daya yang tersedia bagi pengguna di CloudWatch konsol. Ini mencakup `application-signals:` kebijakan sehingga pengguna dapat menggunakan sinyal CloudWatch Aplikasi untuk melihat, menyelidiki, dan memantau kesehatan layanan mereka. Ini menggunakan `cloudwatch:` kebijakan untuk mengambil data dari metrik dan alarm. Ini menggunakan `logs:` kebijakan untuk mengelola kueri dan filter. Ini menggunakan `synthetics:` kebijakan sehingga pengguna dapat mengambil informasi tentang proses kenari sintetis. Ini mencakup `rum:` kebijakan untuk menjalankan operasi batch, mengambil data dan memperbarui definisi metrik untuk klien RUM. Ini termasuk `xray:` kebijakan untuk mengambil ringkasan jejak. Ini mencakup `arn:aws:cloudwatch:*:*:alarm:` kebijakan sehingga pengguna dapat mengambil informasi tentang alarm tujuan tingkat layanan (SLO). Ini termasuk `iam:` kebijakan untuk mengelola peran IAM. Ini menggunakan `sns:` kebijakan untuk membuat, mendaftar, dan berlangganan topik Amazon SNS. Ini mencakup `oam:` kebijakan sehingga pengguna dapat menggunakan konsol untuk melihat data yang dibagikan dari akun sumber dalam pengamatan CloudWatch lintas akun. Ini mencakup `resource-explorer-2:` kebijakan sehingga pengguna dapat menggunakan konsol untuk melihat layanan yang tidak didukung di akun mereka
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchLambdaApplicationSignalsExecutionRolePolicy
Kebijakan ini digunakan saat Sinyal CloudWatch Aplikasi diaktifkan untuk beban kerja Lambda. Ini memungkinkan akses tulis ke X-Ray dan grup log yang digunakan oleh Sinyal CloudWatch Aplikasi.
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLambdaApplicationSignalsExecutionRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola (standar) untuk CloudWatch Synthetics
Kebijakan **CloudWatchSyntheticsFullAccess**dan **CloudWatchSyntheticsReadOnlyAccess** AWS terkelola tersedia untuk Anda tetapkan kepada pengguna yang akan mengelola atau menggunakan CloudWatch Synthetics. Kebijakan-kebijakan tambahan berikut juga relevan:
+ **AmazonS3 ReadOnlyAccess** dan **CloudWatchReadOnlyAccess**— Ini diperlukan untuk membaca semua data Synthetics di konsol. CloudWatch
+ **AWSLambdaReadOnlyAccess**— Diperlukan untuk melihat kode sumber yang digunakan oleh burung kenari.
+ **CloudWatchSyntheticsFullAccess**— Memungkinkan Anda membuat kenari. Selain itu, untuk membuat dan menghapus kenari yang memiliki peran IAM baru yang dibuat untuknya, Anda memerlukan izin kebijakan sebaris tertentu.
**penting**
Memberikan pengguna`iam:CreateRole`,,,`iam:DeleteRole`, `iam:CreatePolicy` `iam:DeletePolicy``iam:AttachRolePolicy`, dan `iam:DetachRolePolicy` izin memberi pengguna akses administratif penuh untuk membuat, melampirkan, dan menghapus peran dan kebijakan ARNs yang memiliki kecocokan `arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*` dan. `arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*` Sebagai contoh, pengguna dengan izin ini dapat membuat kebijakan yang memiliki izin penuh untuk semua sumber daya, dan melampirkan kebijakan tersebut ke peran apa pun yang cocok dengan pola ARN tersebut. Hati-hati dengan siapa Anda memberikan izin ini.
Untuk informasi tentang cara melampirkan kebijakan dan memberikan izin kepada pengguna, silakan lihat [Mengubah Izin untuk Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dan [Cara menyematkan kebijakan yang selaras bagi pengguna atau peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console).
### CloudWatchSyntheticsFullAccess
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchSyntheticsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### CloudWatchSyntheticsReadOnlyAccess
Untuk melihat isi lengkap kebijakan, lihat [CloudWatchSyntheticsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola (standar) untuk Amazon CloudWatch RUM
Kebijakan **AmazonCloudWatchRUMFullAkses** dan **AmazonCloudWatchRUMReadOnlyAccess** AWS terkelola tersedia untuk Anda tetapkan kepada pengguna yang akan mengelola atau menggunakan CloudWatch RUM.
### AmazonCloudWatchRUMFullAkses
Untuk melihat isi lengkap kebijakan, lihat [AmazonCloudWatchRUMFullAkses](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMFullAccess.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
### AmazonCloudWatchRUMReadOnlyAccess
**AmazonCloudWatchRUMReadOnlyAccess**Ini memungkinkan akses administratif hanya-baca ke CloudWatch RUM.
+ `synthetics`Izin ini memungkinkan menampilkan Synthetics Canaries terkait ke monitor aplikasi RUM
+ `cloudwatch`Izin memungkinkan menampilkan CloudWatch metrik terkait ke monitor aplikasi RUM
+ `cloudwatch alarms`Izin memungkinkan menampilkan CloudWatch alarm terkait ke monitor aplikasi RUM
+ `cloudwatch logs`Izin memungkinkan menampilkan CloudWatch log terkait ke monitor aplikasi RUM
+ `x-ray`Izin memungkinkan menampilkan segmen X-Ray Trace terkait ke monitor aplikasi RUM
+ `rum`Izin memungkinkan menampilkan tag terkait ke monitor aplikasi RUM
Untuk melihat isi lengkap kebijakan, lihat [AmazonCloudWatchRUMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AmazonCloudWatchRUMServiceRolePolicy
Anda tidak dapat melampirkan **AmazonCloudWatchRUMServiceRolePolicy** ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CloudWatch RUM mempublikasikan data pemantauan ke layanan terkait AWS lainnya. Untuk informasi selengkapnya tentang peran terkait layanan, silakan lihat [Menggunakan peran terkait layanan untuk RUM CloudWatch](using-service-linked-roles-RUM.md).
Untuk melihat isi lengkap kebijakan, lihat [AmazonCloudWatchRUMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola untuk Manajer Insiden AWS Systems Manager
**AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy**Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CloudWatch untuk memulai insiden di Manajer Insiden AWS Systems Manager atas nama Anda. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan untuk alarm tindakan CloudWatch Systems Manager Incident Manager](using-service-linked-roles.md#service-linked-role-permissions-incident-manager).
Kebijakan ini memiliki izin-izin berikut:
+ insiden ssm-: StartIncident
# Contoh kebijakan yang dikelola pelanggan
Dalam bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan CloudWatch . Kebijakan ini berfungsi saat Anda menggunakan CloudWatch API, AWS SDKs, atau AWS CLI.
**Topics**
+ [Contoh 1: Izinkan pengguna akses penuh CloudWatch](#full-access-example-cw)
+ [Contoh 2: Izinkan akses hanya-baca CloudWatch](#read-only-access-example-cw)
+ [Contoh 3: Menghentikan atau Mengakhiri instans Amazon EC2](#stop-terminate-example-cw)
## Contoh 1: Izinkan pengguna akses penuh CloudWatch
Untuk memberi pengguna akses penuh CloudWatch, Anda dapat menggunakan beri mereka kebijakan **CloudWatchFullAccess**terkelola alih-alih membuat kebijakan yang dikelola pelanggan. Isi **CloudWatchFullAccess**tercantum dalam[CloudWatchFullAccess](managed-policies-cloudwatch.md#managed-policies-cloudwatch-CloudWatchFullAccess).
## Contoh 2: Izinkan akses hanya-baca CloudWatch
Kebijakan berikut memungkinkan pengguna mengakses hanya-baca ke CloudWatch dan melihat tindakan Penskalaan Otomatis Amazon EC2 CloudWatch , metrik, data Log CloudWatch , dan data Amazon SNS terkait alarm.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"logs:Get*",
"logs:Describe*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"sns:Get*",
"sns:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Contoh 3: Menghentikan atau Mengakhiri instans Amazon EC2
Kebijakan berikut memungkinkan tindakan CloudWatch alarm untuk menghentikan atau menghentikan instans EC2. Dalam contoh di bawah ini, GetMetricData ListMetrics, dan DescribeAlarms tindakan adalah opsional. Anda disarankan untuk menyertakan tindakan ini untuk memastikan bahwa Anda telah menghentikan atau mengakhiri instans tersebut dengan benar.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
# Menggunakan tombol kondisi untuk membatasi akses ke CloudWatch
Lihat topik berikut untuk mempelajari kunci kondisi khusus layanan yang dapat digunakan dalam `Condition` elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku.
+ [Menggunakan tombol kondisi untuk membatasi akses ke ruang CloudWatch nama](iam-cw-condition-keys-namespace.md)
+ [Menggunakan kunci syarat untuk membatasi akses pengguna Wawasan Kontributor ke grup log](iam-cw-condition-keys-contributor.md)
+ [Menggunakan kunci syarat untuk membatasi tindakan-tindakan alarm](iam-cw-condition-keys-alarm-actions.md)
+ [Kunci kondisi untuk Admin CloudWatch Observabilitas](condition-keys-observabilityadmin.md)
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat [Kunci kondisi global yang tersedia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
# Menggunakan tombol kondisi untuk membatasi akses ke ruang CloudWatch nama
Gunakan kunci ketentuan IAM untuk membatasi pengguna hanya untuk memublikasikan metrik di CloudWatch ruangnama yang Anda tentukan. Bagian ini memberikan contoh yang menjelaskan cara mengizinkan dan mengecualikan pengguna dari penerbitan metrik di namespace.
**Mengizinkan penerbitan hanya dalam satu namespace**
Kebijakan berikut membatasi pengguna untuk menerbitkan metrik hanya di namespace yang disebut `MyCustomNamespace`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
}
```
------
**Tidak termasuk menerbitkan dari suatu namespace**
Kebijakan berikut memungkinkan pengguna menerbitkan metrik di namespace apa pun kecuali `CustomNamespace2`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData"
},
{
"Effect": "Deny",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "CustomNamespace2"
}
}
}
]
}
```
------
**Mengontrol konsumsi OTLP**
Kebijakan berikut memungkinkan pengguna untuk mempublikasikan metrik menggunakan OTLP API:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData"
}
]
}
```
------
Untuk menonaktifkan dual ingest, yaitu hanya menggunakan PutMetricData dan menolak konsumsi OTLP apa pun, Anda dapat menggunakan kebijakan berikut. Ini membatasi pengguna untuk menerbitkan metrik menggunakan PutMetricData di namespace `MyCustomNamespace` dan pada saat yang sama secara implisit menolak konsumsi OTLP apa pun karena kondisi: `StringEquals`
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
]
}
```
------
Untuk mengaktifkan dual ingest, yaitu mengizinkan keduanya PutMetricData dan konsumsi OTLP, Anda dapat menggunakan kebijakan berikut. Ini membatasi pengguna untuk menerbitkan metrik menggunakan PutMetricData di namespace bernama `MyCustomNamespace` dan pada saat yang sama memungkinkan konsumsi OTLP karena kondisi: `StringEqualsIfExists`
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
]
}
```
------
# Menggunakan kunci syarat untuk membatasi akses pengguna Wawasan Kontributor ke grup log
Untuk membuat aturan di Wawasan Kontributor dan melihat hasilnya, pengguna harus memiliki izin `cloudwatch:PutInsightRule`. Secara default, pengguna dengan izin ini dapat membuat aturan Contributor Insights yang mengevaluasi grup log apa pun di CloudWatch Log dan kemudian melihat hasilnya. Hasil dapat memuat data kontributor untuk grup log tersebut.
Anda dapat membuat kebijakan IAM dengan kunci syarat untuk memberikan izin kepada pengguna untuk menulis aturan Wawasan Kontributor pada beberapa grup log sambil mencegah mereka menulis aturan untuk dan melihat data ini dari grup log lainnya.
Untuk informasi selengkapnya tentang elemen `Condition` dalam kebijakan IAM, silakan lihat [Elemen kebijakan JSON IAM: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).
**Izinkan akses untuk menulis aturan dan melihat hasil hanya untuk grup log tertentu**
Kebijakan berikut memungkinkan akses pengguna untuk menulis aturan dan melihat hasil untuk grup log yang diberi nama `AllowedLogGroup` dan semua grup log yang memiliki nama yang dimulai dengan `AllowedWildCard`. Ini tidak memberikan akses untuk menulis aturan atau melihat aturan hasil untuk setiap grup log lainnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCertainLogGroups",
"Effect": "Allow",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
"Condition": {
"ForAllValues:StringEqualsIgnoreCase": {
"cloudwatch:requestInsightRuleLogGroups": [
"AllowedLogGroup",
"AllowedWildcard*"
]
}
}
}
]
}
```
------
**Tolak aturan penulisan untuk grup log tertentu, tetapi izinkan penulisan aturan untuk semua grup log lainnya**
Kebijakan berikut secara eksplisit menolak akses pengguna untuk menulis aturan dan melihat hasil aturan untuk grup log yang diberi nama `ExplicitlyDeniedLogGroup`, tetapi memungkinkan untuk menulis aturan dan melihat hasil aturan untuk semua grup log lainnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowInsightRulesOnLogGroupsByDefault",
"Effect": "Allow",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
},
{
"Sid": "ExplicitDenySomeLogGroups",
"Effect": "Deny",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
"Condition": {
"ForAllValues:StringEqualsIgnoreCase": {
"cloudwatch:requestInsightRuleLogGroups": [
"/test/alpine/ExplicitlyDeniedLogGroup"
]
}
}
}
]
}
```
------
# Menggunakan kunci syarat untuk membatasi tindakan-tindakan alarm
Ketika CloudWatch alarm berubah status, mereka dapat melakukan tindakan yang berbeda seperti menghentikan dan menghentikan instans EC2 dan melakukan tindakan Systems Manager. Tindakan ini dapat dimulai ketika alarm berubah ke keadaan apa pun, termasuk ALARM, OK, atau INSUFFICIENT\$1DATA.
Gunakan kunci syarat `cloudwatch:AlarmActions` untuk memungkinkan pengguna untuk membuat alarm yang hanya dapat melakukan tindakan yang Anda tentukan ketika status alarm berubah. Misalnya, Anda dapat mengizinkan pengguna untuk membuat alarm yang hanya dapat melakukan tindakan yang bukan tindakan EC2.
**Izinkan pengguna untuk membuat alarm yang hanya dapat mengirim notifikasi Amazon SNS atau melakukan tindakan Systems Manager**
Kebijakan berikut membatasi pengguna untuk membuat alarm yang hanya dapat mengirim notifikasi Amazon SNS dan melakukan tindakan Systems Manager. Pengguna tidak dapat membuat alarm yang melakukan tindakan EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricAlarm",
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"cloudwatch:AlarmActions": [
"arn:aws:sns:*",
"arn:aws:ssm:*"
]
}
}
}
]
}
```
------
# Kunci kondisi untuk Admin CloudWatch Observabilitas
Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke sumber daya dan tindakan Admin CloudWatch Observabilitas Amazon dengan menggunakan tombol kondisi.
Admin Observability memiliki kunci kondisi berikut:
| Kunci Syarat | Deskripsi | Tipe |
| --- | --- | --- |
| CentralizationSourceRegions | ArrayOfString | Memfilter akses berdasarkan sumber Wilayah yang diteruskan dalam permintaan |
| CentralizationDestinationRegion | String | Memfilter akses berdasarkan Wilayah tujuan yang diteruskan dalam permintaan |
| CentralizationBackupRegion | String | Memfilter akses oleh Wilayah cadangan yang diteruskan dalam permintaan |
## CentralizationSourceRegions
Memfilter akses oleh wilayah cadangan yang ditentukan untuk aturan sentralisasi.
+ *Ketersediaan* - Kunci ini tersedia untuk jenis sumber daya berikut: organization-centralization-rule
+ *Jenis nilai* - String
**Example Contoh kebijakan JSON dengan observabilityadmin: CentralizationBackupRegion**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
```
## CentralizationDestinationRegion
Memfilter akses menurut wilayah tujuan yang ditentukan untuk aturan sentralisasi.
+ *Ketersediaan* - Kunci ini tersedia untuk jenis sumber daya berikut: organization-centralization-rule
+ *Jenis nilai* - String
**Example Contoh kebijakan JSON dengan observabilityadmin: CentralizationDestinationRegion**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
```
## CentralizationBackupRegion
Memfilter akses menurut wilayah sumber yang ditentukan untuk aturan sentralisasi.
+ *Ketersediaan* - Kunci ini tersedia untuk jenis sumber daya berikut: organization-centralization-rule
+ *Jenis nilai* - Daftar string
**Example Contoh kebijakan JSON dengan observabilityadmin: CentralizationSourceRegions**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
# Menggunakan peran terkait layanan untuk CloudWatch
Amazon CloudWatch menggunakan peran AWS Identity and Access Management [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. CloudWatch Peran yang terkait dengan layanan ditentukan sebelumnya oleh CloudWatch dan meliputi semua izin yang diperlukan layanan untuk menghubungi layanan AWS lainnya atas nama Anda.
Satu peran terkait layanan dalam CloudWatch membuat pengaturan CloudWatch alarm yang dapat menghentikan, menghentikan, atau mem-boot ulang instans Amazon EC2 tanpa mengharuskan Anda menambahkan izin yang diperlukan secara manual. Peran lain terkait layanan memungkinkan akun pemantauan untuk mengakses CloudWatch data dari akun lain yang Anda tentukan, untuk membangun dasbor lintas Wilayah.
CloudWatch mendefinisikan izin dari peran terkait layanan ini, dan kecuali ditentukan lain, hanya CloudWatch dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran hanya setelah terlebih dahulu menghapus sumber daya terkaitnya. Pembatasan ini melindungi CloudWatch sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk CloudWatch alarm tindakan EC2
CloudWatch menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudWatchEvents**— CloudWatch menggunakan peran terkait layanan ini untuk melakukan tindakan alarm Amazon EC2.
Peran AWSService RoleForCloudWatchEvents terkait layanan mempercayai layanan CloudWatch Acara untuk mengambil peran tersebut. CloudWatch Peristiwa memanggil tindakan instance terminate, stop, atau reboot saat dipanggil oleh alarm.
Kebijakan izin peran AWSServiceRoleForCloudWatchEvents terkait layanan memungkinkan CloudWatch Peristiwa menyelesaikan tindakan berikut di instans Amazon EC2:
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+ `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
Kebijakan izin peran **AWSServiceRoleForCloudWatchCrossAccount**terkait layanan memungkinkan CloudWatch untuk menyelesaikan tindakan berikut:
+ `sts:AssumeRole`
## Izin peran terkait layanan untuk konfigurasi telemetri CloudWatch
CloudWatch admin observability membuat dan menggunakan peran terkait layanan bernama **AWSServiceRoleForObservabilityAdmin**— CloudWatch menggunakan peran terkait layanan ini untuk mendukung penemuan konfigurasi sumber daya dan telemetri untuk Organizations. AWS Peran dibuat di semua akun anggota Organisasi.
Peran **AWSServiceRoleForObservabilityAdmin**terkait layanan mempercayai Admin Observability untuk mengambil peran tersebut. Admin Observability mengelola AWS Config Service Linked Configuration Recorder dan Service Linked Configuration Aggregator di akun Organizations Anda.
Peran **AWSServiceRoleForObservabilityAdmin**terkait layanan memiliki kebijakan, yang disebut AWSObservabilityAdminServiceRolePolicy, dilampirkan dan kebijakan ini memberikan izin kepada Admin CloudWatch Observability untuk menyelesaikan tindakan berikut:
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
Isi lengkap AWSObservability AdminServiceRolePolicy polis adalah sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:PutServiceLinkedConfigurationRecorder",
"config:DeleteServiceLinkedConfigurationRecorder"
],
"Resource": [
"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
]
},
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": [
"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"observabilityadmin.amazonaws.com",
"config.amazonaws.com"
]
}
}
}
]
}
```
------
## Izin peran terkait layanan untuk pengaktifan telemetri CloudWatch
`AWSObservabilityAdminTelemetryEnablementServiceRolePolicy`Memberikan izin yang diperlukan untuk mengaktifkan dan mengelola konfigurasi telemetri untuk AWS sumber daya berdasarkan aturan telemetri.
Kebijakan ini memberikan izin untuk:
+ Operasi telemetri dasar termasuk mendeskripsikan VPC, log aliran, grup log. Ini juga mencakup izin untuk mengaktifkan konfigurasi logging untuk pencatatan klaster EKS, konfigurasi pencatatan menempatkan WAF, mengaktifkan log NLB, pencatatan kueri Route53 Resolver, pemantauan terperinci Amazon EC2, Security Hub, Bedrock Agentcore Gateway, Memori Agentcore Batuan Dasar, dan Distribusi. CloudFront
+ Operasi penandaan sumber daya dengan `CloudWatchTelemetryRuleManaged` tag untuk melacak sumber daya terkelola
+ Konfigurasi pengiriman log untuk layanan seperti AWS Bedrock dan VPC Flow Logs
+ Manajemen perekam konfigurasi untuk pelacakan pemberdayaan telemetri
Kebijakan ini memberlakukan batas-batas keamanan melalui kondisi yang:
+ Batasi operasi ke sumber daya dalam akun yang sama menggunakan `aws:ResourceAccount`
+ Memerlukan `CloudWatchTelemetryRuleManaged` tag untuk modifikasi sumber daya
+ Batasi akses perekam konfigurasi ke yang terkait dengan pemberdayaan telemetri
Isi lengkap AWSObservability AdminTelemetryEnablementServiceRolePolicy kebijakan dapat ditemukan di sini: [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html).
## Izin peran terkait layanan untuk Sinyal Aplikasi CloudWatch
CloudWatch Sinyal Aplikasi menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudWatchApplicationSignals**— CloudWatch menggunakan peran terkait layanan ini untuk mengumpulkan CloudWatch data Log, data jejak X-Ray, data CloudWatch metrik, dan data penandaan dari aplikasi yang telah Anda aktifkan untuk Sinyal Aplikasi. CloudWatch
Peran **AWSServiceRoleForCloudWatchApplicationSignals**terkait layanan mempercayai Sinyal CloudWatch Aplikasi untuk mengambil peran tersebut. Sinyal Aplikasi mengumpulkan data log, jejak, metrik, dan tanda dari akun yang Anda miliki.
**AWSServiceRoleForCloudWatchApplicationSignals**Memiliki kebijakan IAM terlampir, dan kebijakan ini dinamai **CloudWatchApplicationSignalsServiceRolePolicy**. Kebijakan ini memberikan izin kepada Sinyal CloudWatch Aplikasi untuk mengumpulkan data pemantauan dan penandaan dari layanan terkait AWS lainnya. Ini mencakup izin untuk Sinyal Aplikasi untuk menyelesaikan tindakan berikut:
+ `xray`— Ambil jejak X-Ray.
+ `logs`— Ambil informasi CloudWatch log saat ini.
+ `cloudwatch`— Ambil informasi CloudWatch metrik saat ini.
+ `tags`— Ambil tag saat ini.
+ `application-signals`— Mengambil informasi tentang SLOs dan jendela pengecualian waktu yang terkait.
+ `autoscaling`— Ambil tag aplikasi dari grup Autoscaling Amazon EC2.
+ `resource-explorer-2`— Ambil informasi AWS sumber daya saat ini dari AWS Resource Explorer.
+ `cloudtrail`— Aktifkan pembuatan saluran terkait layanan untuk mengambil CloudTrail acara.
Isi lengkapnya **CloudWatchApplicationSignalsServiceRolePolicy**adalah sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "XRayPermission",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWLogsPermission",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWListMetricsPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWGetMetricDataPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "TagsPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ApplicationSignalsPermission",
"Effect": "Allow",
"Action": [
"application-signals:ListServiceLevelObjectiveExclusionWindows",
"application-signals:GetServiceLevelObjective"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EC2AutoScalingPermission",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Izin peran terkait layanan untuk tindakan CloudWatch Systems Manager alarm OpsCenter
CloudWatch menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**— CloudWatch menggunakan peran terkait layanan ini untuk melakukan OpsCenter tindakan Systems Manager saat CloudWatch alarm masuk ke status ALARM.
Peran AWSServiceRoleForCloudWatchAlarms\$1ActionSSM terkait layanan mempercayai CloudWatch layanan untuk mengambil peran. CloudWatch alarm memanggil OpsCenter tindakan Systems Manager saat dipanggil oleh alarm.
Kebijakan izin peran **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**terkait layanan memungkinkan Systems Manager menyelesaikan tindakan berikut:
+ `ssm:CreateOpsItem`
## Izin peran terkait layanan untuk alarm tindakan CloudWatch Systems Manager Incident Manager
CloudWatch menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**— CloudWatch menggunakan peran terkait layanan ini untuk memulai insiden Manajer Insiden saat alarm masuk ke status CloudWatch ALARM.
Peran **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**terkait layanan mempercayai CloudWatch layanan untuk mengambil peran. CloudWatch alarm memanggil tindakan Systems Manager Incident Manager saat dipanggil oleh alarm.
Kebijakan izin peran **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**terkait layanan memungkinkan Systems Manager menyelesaikan tindakan berikut:
+ `ssm-incidents:StartIncident`
## Izin peran terkait layanan untuk lintas akun Lintas wilayah CloudWatch
CloudWatch menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudWatchCrossAccount**— CloudWatch menggunakan peran ini untuk mengakses CloudWatch data di AWS akun lain yang Anda tentukan. SLR hanya memberikan izin peran asumsi untuk memungkinkan CloudWatch layanan mengambil peran dalam akun berbagi. Peran berbagi yang menyediakan akses ke data.
Kebijakan izin peran **AWSServiceRoleForCloudWatchCrossAccount**terkait layanan memungkinkan CloudWatch untuk menyelesaikan tindakan berikut:
+ `sts:AssumeRole`
Peran **AWSServiceRoleForCloudWatchCrossAccount**terkait layanan mempercayai CloudWatch layanan untuk mengambil peran.
## Izin peran terkait layanan untuk CloudWatch Performance Insights database
CloudWatch menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**— CloudWatch menggunakan peran ini untuk mengambil metrik Performance Insights untuk membuat alarm dan snapshotting.
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**Peran terkait layanan memiliki kebijakan `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` IAM terlampir. Isi kebijakan tersebut adalah sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Peran **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**terkait layanan mempercayai CloudWatch layanan untuk mengambil peran.
## Izin peran terkait layanan untuk sentralisasi Log CloudWatch
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy**Lampirkan ke entitas IAM yang sesuai di akun manajemen pusat Anda, seperti peran CloudWatch layanan —, untuk memberikan izin yang diperlukan untuk menyiapkan dan mengelola pengumpulan log terpusat. CloudWatch menggunakan peran ini untuk mengakses data telemetri dari AWS akun lain yang Anda tentukan untuk membuat grup CloudWatch log, aliran log, dan peristiwa log di akun pemantauan organisasi Anda. SLR hanya memberikan izin peran asumsi untuk memungkinkan CloudWatch layanan mengambil peran dalam akun pemantauan. Kebijakan ini dilampirkan secara otomatis jika Anda menyiapkan koleksi log terpusat menggunakan. Konsol Manajemen AWS Jika Anda menggunakan AWS CLI atau API untuk mengonfigurasi sentralisasi log, Anda harus melampirkan kebijakan ini secara manual ke peran IAM yang akan digunakan untuk tugas administrasi observabilitas.
Kebijakan izin peran **AWSObservabilityAdminLogsCentralizationServiceRolePolicy**terkait layanan memungkinkan CloudWatch untuk menyelesaikan tindakan berikut:
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
Peran terkait layanan **AWSObservabilityAdminLogsCentralizationServiceRolePolicy** memercayai layanan `logs-centralization.observabilityadmin.amazonaws.com` untuk menjalankan peran.
## Membuat peran terkait layanan untuk CloudWatch
Anda tidak perlu membuat peran terkait layanan ini secara manual. Pertama kali Anda membuat alarm di Konsol Manajemen AWS, IAM CLI, atau IAM APICloudWatch , AWSService RoleForCloudWatchEvents membuat **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**dan untuk Anda.
Pertama kali Anda mengaktifkan penemuan layanan dan topologi, Application Signals menciptakan **AWSServiceRoleForCloudWatchApplicationSignals**untuk Anda.
Saat Anda pertama kali mengaktifkan akun untuk menjadi akun pemantauan untuk fungsionalitas lintas akun lintas wilayah, CloudWatch buat **AWSServiceRoleForCloudWatchCrossAccount**untuk Anda.
Saat pertama kali membuat alarm yang menggunakan fungsi matematika `DB_PERF_INSIGHTS` metrik, CloudWatch buat **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**untuk Anda.
Untuk informasi selengkapnya, silakan lihat [Membuat Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.
## Mengedit peran terkait layanan untuk CloudWatch
CloudWatch tidak memungkinkan Anda untuk mengedit **AWSServiceRoleForCloudWatchEvents**,, **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**AWSServiceRoleForCloudWatchCrossAccount****, atau **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**peran. Setelah Anda membuat peran ini, Anda tidak dapat mengubah namanya karena berbagai entitas mungkin mereferensikan peran ini. Namun, Anda dapat mengedit deskripsi peran menggunakan IAM.
### Menyunting deskripsi peran terkait layanan (konsol IAM)
Anda dapat menggunakan konsol IAM untuk menyunting deskripsi peran terkait layanan.
**Untuk menyunting deskripsi peran terkait layanan (konsol IAM)**
1. Di panel navigasi konsol IAM, pilih **Peran**.
1. Pilih nama peran yang akan diubah.
1. Di sisi kanan jauh dari **Deskripsi peran**, pilih **Sunting**.
1. Ketik deskripsi baru di kotak, dan pilih **Simpan**.
### Menyunting deskripsi peran terkait layanan (AWS CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk mengedit deskripsi peran terkait layanan.
**Untuk mengubah deskripsi peran terkait layanan (AWS CLI)**
1. (Opsional) Untuk melihat deskripsi peran saat ini, gunakan perintah-perintah berikut:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
Gunakan nama peran, bukan ARN, untuk merujuk ke peran dengan perintah AWS CLI . Sebagai contoh, jika peran memiliki ARN berikut: `arn:aws:iam::123456789012:role/myrole`, referensi Anda ke peran sebagai **myrole**.
1. Untuk memperbarui deskripsi dari sebuah peran terkait layanan, gunakan perintah berikut:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### Menyunting deskripsi peran terkait layanan (IAM API)
Anda dapat menggunakan IAM API untuk menyunting deskripsi peran terkait layanan.
**Untuk mengubah deskripsi peran terkait layanan (API)**
1. (Opsional) Untuk melihat penjelasan peran saat ini, gunakan perintah berikut:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. Untuk memperbarui penjelasan peran, gunakan perintah berikut:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## Menghapus peran terkait layanan untuk CloudWatch
Jika Anda tidak lagi memiliki alarm yang secara otomatis menghentikan, mengakhiri, atau menyalakan ulang contoh EC2, kami menyarankan Anda menghapus AWSServiceRoleForCloudWatchEvents peran.
Jika Anda tidak lagi memiliki alarm yang melakukan OpsCenter tindakan Systems Manager, sebaiknya Anda menghapus AWSServiceRoleForCloudWatchAlarms\$1ActionSSM peran tersebut.
Jika Anda menghapus semua alarm yang menggunakan fungsi matematika `DB_PERF_INSIGHTS` metrik, sebaiknya hapus peran **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**terkait layanan.
Dengan begitu, Anda tidak perlu lagi memantau atau memelihara entitas yang tidak digunakan. Namun, Anda harus membersihkan peran terkait layanan sebelum dapat menghapusnya.
### Membersihkan peran terkait layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut layanan, Anda harus mengonfirmasi terlebih dahulu bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya yang digunakan oleh peran tersebut.
**Untuk memeriksa apakah peran terkait layanan memiliki sesi aktif di konsol IAM**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**. Pilih nama (bukan kotak centang) AWSService RoleForCloudWatchEvents peran.
1. Di halaman **Ringkasan** untuk peran yang dipilih, pilih **Penasihat Akses** dan tinjau aktivitas terbaru untuk peran terkait layanan.
**catatan**
Jika Anda tidak yakin CloudWatch apakah menggunakan AWSService RoleForCloudWatchEvents peran tersebut, cobalah untuk menghapus peran tersebut. Jika layanan ini menggunakan peran tersebut, peran tidak dapat dihapus dan Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran terkait layanan.
### Menghapus peran terkait layanan (Konsol IAM)
Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.
**Untuk menghapus peran terkait layanan (konsol)**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi, silakan pilih **Peran**. Pilih kotak centang di samping nama peran yang ingin Anda hapus, bukan nama atau baris itu sendiri.
1. Untuk **Tindakan peran**, pilih **Hapus peran**.
1. Pada kotak dialog konfirmasi, tinjau data akses terakhir layanan, yang menunjukkan waktu terakhir setiap peran yang dipilih mengakses layanan AWS . Ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Untuk melanjutkan, pilih **Ya, Hapus**.
1. Perhatikan notifikasi konsol IAM untuk memantau kemajuan penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat tidak sinkron, tugas penghapusan dapat berhasil atau gagal setelah Anda mengirimkan peran untuk dihapus. Jika tugas tersebut gagal, pilih **Lihat detail** atau **Lihat Sumber Daya** dari notifikasi untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena ada sumber daya di layanan yang digunakan oleh peran tersebut, maka alasan kegagalan tersebut mencakup daftar sumber daya.
### Menghapus peran terkait layanan (AWS CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.
**Untuk menghapus peran terkait layanan (AWS CLI)**
1. Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `deletion-task-id` dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran terkait layanan:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. Ketik perintah berikut untuk memeriksa status tugas penghapusan:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
Status tugas penghapusan adalah `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.
### Menghapus peran terkait layanan (IAM API)
Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.
**Untuk menghapus peran terkait layanan (API)**
1. Untuk mengirimkan permintaan penghapusan peran terkait layanan, hubungi. [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) Dalam permintaan, tentukan nama peran yang ingin Anda hapus.
Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `DeletionTaskId` dari tanggapan untuk memeriksa status tugas penghapusan.
1. Untuk memeriksa status penghapusan, panggil [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Di permintaan tersebut, tentukan `DeletionTaskId`.
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.
## CloudWatch pembaruan untuk peran AWS terkait layanan
Lihat detail tentang pembaruan kebijakan AWS terkelola CloudWatch sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat CloudWatch dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Perbarui ke kebijakan peran terkait layanan. | Informasi terbaru tentang [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)yang memberikan CloudWatch izin yang diperlukan untuk mengaktifkan dan mengelola konfigurasi telemetri untuk AWS sumber daya tambahan berdasarkan aturan telemetri. | Maret 31, 2026 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Perbarui ke kebijakan peran terkait layanan. | Informasi terbaru tentang [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)yang memberikan CloudWatch izin yang diperlukan untuk mengaktifkan dan mengelola konfigurasi telemetri untuk AWS sumber daya tambahan berdasarkan aturan telemetri. | 10 Maret 2026 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Perbarui ke kebijakan peran terkait layanan. | Informasi terbaru tentang [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)yang memberikan CloudWatch izin yang diperlukan untuk mengaktifkan dan mengelola konfigurasi telemetri untuk AWS sumber daya tambahan berdasarkan aturan telemetri. | Desember 2, 2025 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Memperbarui izin kebijakan peran terkait layanan | Memperbarui [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals)untuk menyertakan `resource-explorer-2:Search` dan `cloudtrail:CreateServiceLinkedChannel` mengaktifkan fitur Sinyal Aplikasi baru. | November 12, 2025 |
| [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization)— Kebijakan peran terkait layanan baru. | Menambahkan informasi tentang [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization)yang memberikan CloudWatch izin yang diperlukan untuk mengaktifkan dan mengelola konfigurasi telemetri untuk AWS sumber daya berdasarkan aturan telemetri. | September 5, 2025 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Kebijakan peran terkait layanan baru. | Menambahkan informasi tentang [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)yang memberikan CloudWatch izin yang diperlukan untuk mengaktifkan dan mengelola konfigurasi telemetri untuk AWS sumber daya berdasarkan aturan telemetri. | Juli 17, 2025 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Memperbarui izin kebijakan peran terkait layanan | Memperbarui [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals)untuk mengecualikan jendela waktu agar tidak memengaruhi tingkat pencapaian SLO, anggaran kesalahan, dan metrik tingkat pembakaran. CloudWatch dapat mengambil jendela pengecualian atas nama Anda. | Maret 13, 2025 |
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config)— Peran terkait layanan baru | CloudWatch menambahkan peran terkait layanan baru ini dan kebijakan terkelola yang sesuai, AWSObservabilityAdminServiceRolePolicy, untuk mendukung penemuan konfigurasi sumber daya dan telemetri untuk Organizations. AWS | November 26, 2024 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Memperbarui izin kebijakan peran terkait layanan | CloudWatch tambahkan lebih banyak grup log ke ruang lingkup `logs:StartQuery` dan `logs:GetQueryResults` izin yang diberikan oleh peran ini. | April 24, 2024 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Peran terkait layanan baru | CloudWatch menambahkan peran terkait layanan baru ini untuk memungkinkan Sinyal CloudWatch Aplikasi mengumpulkan data CloudWatch Log, data jejak X-Ray, data CloudWatch metrik, dan menandai data dari aplikasi yang telah Anda aktifkan untuk Sinyal Aplikasi. CloudWatch | 9 November 2023 |
| [ AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights](#service-linked-role-permissions-dbperfinsights)— Peran terkait layanan baru | CloudWatch menambahkan peran terkait layanan baru ini untuk memungkinkan pengambilan metrik Performance Insights CloudWatch untuk mengkhawatirkan dan snapshotting. Kebijakan IAM dilampirkan pada peran ini, dan kebijakan tersebut memberikan izin CloudWatch untuk mengambil metrik Performance Insights atas nama Anda. | 13 September 2023 |
| [AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents](#service-linked-role-permissions-incident-manager)— Peran terkait layanan baru | CloudWatch menambahkan peran terkait layanan baru untuk memungkinkan membuat insiden di CloudWatch AWS Systems Manager Manajer Insiden. | 26 April 2021 |
| CloudWatch mulai melacak perubahan | CloudWatch mulai melacak perubahan untuk peran terkait layanannya. | 26 April 2021 |
# Menggunakan peran terkait layanan untuk RUM CloudWatch
CloudWatch RUM menggunakan peran AWS Identity and Access Management [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah tipe peran IAM unik yang langsung terkait ke RUM. Peran terkait layanan telah ditentukan sebelumnya oleh RUM dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
RUM menentukan izin peran terkait layanan ini, dan kecuali ditentukan lain, hanya CloudWatch yang dapat mengambil peran tersebut. Izin-izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tersebut hanya setelah pertama kali menghapus sumber dayanya yang terkait. Pembatasan ini melindungi sumber daya RUM Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk RUM
RUM menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudWatchRUM** — peran ini memungkinkan RUM mengirim data AWS X-Ray jejak ke akun Anda, untuk monitor aplikasi yang Anda aktifkan penelusuran X-Ray.
Peran terkait layanan **AWSServiceRoleForCloudWatchRUM** mempercayai layanan X-Ray untuk mengambil peran tersebut. X-Ray mengirimkan data jejak ke akun Anda.
Peran terkait layanan **AWSServiceRoleForCloudWatchRUM** memiliki kebijakan IAM yang dilampirkan bernama. **AmazonCloudWatchRUMServiceRolePolicy** Kebijakan ini memberikan izin kepada CloudWatch RUM untuk mempublikasikan data pemantauan ke AWS layanan terkait lainnya. Ini mencakup izin untuk memungkinkan RUM untuk menyelesaikan tindakan berikut:
+ `xray:PutTraceSegments`
+ `cloudwatch:PutMetricData`
Isi lengkapnya **AmazonCloudWatchRUMServiceRolePolicy**adalah sebagai berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
}
]
}
```
------
## Membuat sebuah peran terkait layanan untuk RUM
Anda tidak perlu membuat peran terkait layanan untuk CloudWatch RUM secara manual. Pertama kali Anda membuat monitor aplikasi dengan penelusuran X-Ray diaktifkan, atau memperbarui monitor aplikasi untuk menggunakan penelusuran X-Ray, RUM membuat **AWSServiceRoleForCloudWatchRUM** untuk Anda.
Untuk informasi selengkapnya, silakan lihat [Membuat Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menyunting sebuah peran terkait layanan untuk RUM
CloudWatch RUM tidak memungkinkan Anda untuk mengedit peran **AWSServiceRoleForCloudWatchRUM**. Setelah Anda membuat peran ini, Anda tidak dapat mengubah namanya karena berbagai entitas mungkin mereferensikan peran ini. Namun, Anda dapat mengedit deskripsi peran menggunakan IAM.
### Menyunting deskripsi peran terkait layanan (konsol IAM)
Anda dapat menggunakan konsol IAM untuk menyunting deskripsi peran terkait layanan.
**Untuk menyunting deskripsi peran terkait layanan (konsol IAM)**
1. Di panel navigasi konsol IAM, pilih **Peran**.
1. Pilih nama peran yang akan diubah.
1. Di sisi kanan jauh dari **Deskripsi peran**, pilih **Sunting**.
1. Ketik deskripsi baru di kotak, dan pilih **Simpan**.
### Menyunting deskripsi peran terkait layanan (AWS CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk mengedit deskripsi peran terkait layanan.
**Untuk mengubah deskripsi peran terkait layanan (AWS CLI)**
1. (Opsional) Untuk melihat deskripsi peran saat ini, gunakan perintah-perintah berikut:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
Gunakan nama peran, bukan ARN, untuk merujuk ke peran dengan perintah AWS CLI . Sebagai contoh, jika peran memiliki ARN berikut: `arn:aws:iam::123456789012:role/myrole`, referensi Anda ke peran sebagai **myrole**.
1. Untuk memperbarui deskripsi dari sebuah peran terkait layanan, gunakan perintah berikut:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### Menyunting deskripsi peran terkait layanan (IAM API)
Anda dapat menggunakan IAM API untuk menyunting deskripsi peran terkait layanan.
**Untuk mengubah deskripsi peran terkait layanan (API)**
1. (Opsional) Untuk melihat penjelasan peran saat ini, gunakan perintah berikut:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. Untuk memperbarui penjelasan peran, gunakan perintah berikut:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## Menghapus sebuah peran terkait layanan untuk RUM
Jika Anda tidak lagi memiliki monitor aplikasi dengan X-Ray diaktifkan, kami sarankan Anda menghapus peran **AWSServiceRoleForCloudWatchRUM**.
Dengan begitu, Anda tidak perlu lagi memantau atau memelihara entitas yang tidak digunakan. Namun, Anda harus membersihkan peran terkait layanan sebelum dapat menghapusnya.
### Membersihkan peran terkait layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut layanan, Anda harus mengonfirmasi terlebih dahulu bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya yang digunakan oleh peran tersebut.
**Untuk memeriksa apakah peran terkait layanan memiliki sesi aktif di konsol IAM**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**. Pilih nama (bukan kotak centang) peran **AWSServiceRoleForCloudWatchRUM**.
1. Di halaman **Ringkasan** untuk peran yang dipilih, pilih **Penasihat Akses** dan tinjau aktivitas terbaru untuk peran terkait layanan.
**catatan**
Jika Anda tidak yakin apakah RUM menggunakan peran **AWSServiceRoleForCloudWatchRUM**, cobalah untuk menghapus peran tersebut. Jika layanan ini menggunakan peran tersebut, peran tidak dapat dihapus dan Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran terkait layanan.
### Menghapus peran terkait layanan (Konsol IAM)
Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.
**Untuk menghapus peran terkait layanan (konsol)**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi, silakan pilih **Peran**. Pilih kotak centang di samping nama peran yang ingin Anda hapus, bukan nama atau baris itu sendiri.
1. Untuk **Tindakan peran**, pilih **Hapus peran**.
1. Pada kotak dialog konfirmasi, tinjau data akses terakhir layanan, yang menunjukkan waktu terakhir setiap peran yang dipilih mengakses layanan AWS . Ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Untuk melanjutkan, pilih **Ya, Hapus**.
1. Perhatikan notifikasi konsol IAM untuk memantau kemajuan penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat tidak sinkron, tugas penghapusan dapat berhasil atau gagal setelah Anda mengirimkan peran untuk dihapus. Jika tugas tersebut gagal, pilih **Lihat detail** atau **Lihat Sumber Daya** dari notifikasi untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena ada sumber daya di layanan yang digunakan oleh peran tersebut, maka alasan kegagalan tersebut mencakup daftar sumber daya.
### Menghapus peran terkait layanan (AWS CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.
**Untuk menghapus peran terkait layanan (AWS CLI)**
1. Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `deletion-task-id` dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran terkait layanan:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. Ketik perintah berikut untuk memeriksa status tugas penghapusan:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
Status tugas penghapusan adalah `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.
### Menghapus peran terkait layanan (IAM API)
Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.
**Untuk menghapus peran terkait layanan (API)**
1. Untuk mengirimkan permintaan penghapusan peran terkait layanan, hubungi. [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) Dalam permintaan, tentukan nama peran yang ingin Anda hapus.
Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `DeletionTaskId` dari tanggapan untuk memeriksa status tugas penghapusan.
1. Untuk memeriksa status penghapusan, panggil [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Di permintaan tersebut, tentukan `DeletionTaskId`.
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.
## Wilayah yang Didukung untuk CloudWatch peran terkait layanan RUM
CloudWatch RUM mendukung penggunaan peran terkait layanan di semua AWS Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [titik akhir layanan CloudWatch RUM](https://docs.aws.amazon.com/general/latest/gr/cw_rum_region.html).
# Menggunakan peran terkait layanan untuk CloudWatch Application Insights
CloudWatch Application Insights menggunakan AWS Identity and Access Management peran terkait [layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke CloudWatch Wawasan Aplikasi. Peran terkait layanan telah ditentukan sebelumnya oleh Wawasan CloudWatch Aplikasi dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.
Peran terkait layanan membuat pengaturan Wawasan CloudWatch Aplikasi lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. CloudWatch Application Insights mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya CloudWatch Application Insights yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran tertaut layanan, silakan lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Tertaut Layanan**. Pilih **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Wawasan Aplikasi CloudWatch
CloudWatch Application Insights menggunakan peran terkait layanan bernama. **AWSServiceRoleForApplicationInsights** Application Insights menggunakan peran ini untuk melakukan operasi seperti menganalisis grup sumber daya pelanggan, membuat CloudFormation tumpukan untuk membuat alarm pada metrik, dan mengonfigurasi Agen pada instans EC2. CloudWatch Peran tertaut layanan memiliki kebijakan IAM yang terlampir padanya yang bernama `CloudwatchApplicationInsightsServiceLinkedRolePolicy`. Untuk pembaruan kebijakan ini, silakan lihat [Pembaruan Wawasan Aplikasi ke kebijakan AWS terkelola](security-iam-awsmanpol-appinsights.md#security-iam-awsmanpol-appinsights-updates).
Kebijakan izin peran memungkinkan Wawasan CloudWatch Aplikasi untuk menyelesaikan tindakan berikut pada sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:PutAnomalyDetector",
"cloudwatch:DeleteAnomalyDetector",
"cloudwatch:DescribeAnomalyDetectors"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "EventBridge",
"Effect": "Allow",
"Action": [
"events:DescribeRule"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudFormation",
"Effect": "Allow",
"Action": [
"cloudFormation:CreateStack",
"cloudFormation:UpdateStack",
"cloudFormation:DeleteStack",
"cloudFormation:DescribeStackResources",
"cloudFormation:UpdateTerminationProtection"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/ApplicationInsights-*"
]
},
{
"Sid": "CloudFormationStacks",
"Effect": "Allow",
"Action": [
"cloudFormation:DescribeStacks",
"cloudFormation:ListStackResources",
"cloudFormation:ListStacks"
],
"Resource": [
"*"
]
},
{
"Sid": "Tag",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Sid": "ResourceGroups",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources",
"resource-groups:GetGroupQuery",
"resource-groups:GetGroup"
],
"Resource": [
"*"
]
},
{
"Sid": "ApplicationInsightsResourceGroup",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:DeleteGroup"
],
"Resource": [
"arn:aws:resource-groups:*:*:group/ApplicationInsights-*"
]
},
{
"Sid": "ElasticLoadBalancing",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth"
],
"Resource": [
"*"
]
},
{
"Sid": "AutoScaling",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameter",
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource",
"ssm:GetParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-ApplicationInsights-*"
},
{
"Sid": "SSMAssociation",
"Effect": "Allow",
"Action": [
"ssm:CreateAssociation",
"ssm:UpdateAssociation",
"ssm:DeleteAssociation",
"ssm:DescribeAssociation"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:association/*",
"arn:aws:ssm:*:*:managed-instance/*",
"arn:aws:ssm:*:*:document/AWSEC2-ApplicationInsightsCloudwatchAgentInstallAndConfigure",
"arn:aws:ssm:*:*:document/AWS-ConfigureAWSPackage",
"arn:aws:ssm:*:*:document/AmazonCloudWatch-ManageAgent"
]
},
{
"Sid": "SSMOpsItem",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:CreateOpsItem",
"ssm:DescribeOpsItems",
"ssm:UpdateOpsItem",
"ssm:DescribeInstanceInformation"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMTags",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "SSMGetCommandInvocation",
"Effect": "Allow",
"Action": [
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMSendCommand",
"Effect": "Allow",
"Action": "ssm:SendCommand",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:document/AWSEC2-CheckPerformanceCounterSets",
"arn:aws:ssm:*:*:document/AWS-ConfigureAWSPackage",
"arn:aws:ssm:*:*:document/AWSEC2-DetectWorkload",
"arn:aws:ssm:*:*:document/AmazonCloudWatch-ManageAgent"
]
},
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcs",
"ec2:DescribeVpcAttribute",
"ec2:DescribeNatGateways"
],
"Resource": [
"*"
]
},
{
"Sid": "RDS",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": [
"*"
]
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetFunctionConfiguration",
"lambda:ListEventSourceMappings"
],
"Resource": [
"*"
]
},
{
"Sid": "EventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets",
"events:DeleteRule"
],
"Resource": [
"arn:aws:events:*:*:rule/AmazonCloudWatch-ApplicationInsights-*"
]
},
{
"Sid": "XRay",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph",
"xray:GetTraceSummaries",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetTraceGraph"
],
"Resource": [
"*"
]
},
{
"Sid": "DynamoDB",
"Effect": "Allow",
"Action": [
"dynamodb:ListTables",
"dynamodb:DescribeTable",
"dynamodb:DescribeContributorInsights",
"dynamodb:DescribeTimeToLive"
],
"Resource": [
"*"
]
},
{
"Sid": "ApplicationAutoscaling",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets"
],
"Resource": [
"*"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetMetricsConfiguration",
"s3:GetReplicationConfiguration"
],
"Resource": [
"*"
]
},
{
"Sid": "States",
"Effect": "Allow",
"Action": [
"states:ListStateMachines",
"states:DescribeExecution",
"states:DescribeStateMachine",
"states:GetExecutionHistory"
],
"Resource": [
"*"
]
},
{
"Sid": "APIGateway",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"*"
]
},
{
"Sid": "ECS",
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters",
"ecs:DescribeContainerInstances",
"ecs:DescribeServices",
"ecs:DescribeTaskDefinition",
"ecs:DescribeTasks",
"ecs:DescribeTaskSets",
"ecs:ListClusters",
"ecs:ListContainerInstances",
"ecs:ListServices",
"ecs:ListTasks"
],
"Resource": [
"*"
]
},
{
"Sid": "ECSCluster",
"Effect": "Allow",
"Action": [
"ecs:UpdateClusterSettings"
],
"Resource": [
"arn:aws:ecs:*:*:cluster/*"
]
},
{
"Sid": "EKS",
"Effect": "Allow",
"Action": [
"eks:DescribeCluster",
"eks:DescribeFargateProfile",
"eks:DescribeNodegroup",
"eks:ListClusters",
"eks:ListFargateProfiles",
"eks:ListNodegroups",
"fsx:DescribeFileSystems",
"fsx:DescribeVolumes"
],
"Resource": [
"*"
]
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:GetSubscriptionAttributes",
"sns:GetTopicAttributes",
"sns:GetSMSAttributes",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics"
],
"Resource": [
"*"
]
},
{
"Sid": "SQS",
"Effect": "Allow",
"Action": [
"sqs:ListQueues"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsDeleteSubscriptionFilter",
"Effect": "Allow",
"Action": [
"logs:DeleteSubscriptionFilter"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "CloudWatchLogsCreateSubscriptionFilter",
"Effect": "Allow",
"Action": [
"logs:PutSubscriptionFilter"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*",
"arn:aws:logs:*:*:destination:AmazonCloudWatch-ApplicationInsights-LogIngestionDestination*"
]
},
{
"Sid": "EFS",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeFileSystems"
],
"Resource": [
"*"
]
},
{
"Sid": "Route53",
"Effect": "Allow",
"Action": [
"route53:GetHostedZone",
"route53:GetHealthCheck",
"route53:ListHostedZones",
"route53:ListHealthChecks",
"route53:ListQueryLoggingConfigs"
],
"Resource": [
"*"
]
},
{
"Sid": "Route53Resolver",
"Effect": "Allow",
"Action": [
"route53resolver:ListFirewallRuleGroupAssociations",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:ListFirewallRuleGroups",
"route53resolver:ListResolverEndpoints",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:ListResolverQueryLogConfigs",
"route53resolver:ListResolverQueryLogConfigAssociations",
"route53resolver:GetResolverEndpoint",
"route53resolver:GetFirewallRuleGroupAssociation"
],
"Resource": [
"*"
]
}
]
}
```
------
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk Application Insights CloudWatch
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat aplikasi Application Insights baru di Konsol Manajemen AWS, CloudWatch Application Insights akan menciptakan peran terkait layanan untuk Anda.
Jika Anda menghapus peran tertaut layanan ini, lalu ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut di akun Anda. Saat Anda membuat aplikasi Application Insights baru, CloudWatch Application Insights membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk CloudWatch Wawasan Aplikasi
CloudWatch Application Insights tidak memungkinkan Anda untuk mengedit peran AWSService RoleForApplicationInsights terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Application Insights CloudWatch
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan demikian, Anda menghindari memiliki entitas tidak terpakai yang tidak dipantau atau dipelihara secara aktif. Namun demikian, Anda harus menghapus semua aplikasi dalam Wawasan Aplikasi sebelum dapat menghapus peran tersebut secara manual.
**catatan**
Jika layanan CloudWatch Application Insights menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus sumber daya CloudWatch Application Insights yang digunakan oleh AWSService RoleForApplicationInsights**
+ Hapus semua CloudWatch aplikasi Application Insights Anda. Untuk informasi selengkapnya, lihat “Menghapus Aplikasi Anda” di Panduan Pengguna Wawasan CloudWatch Aplikasi.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForApplicationInsights terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk CloudWatch peran terkait layanan Wawasan Aplikasi
CloudWatch Application Insights mendukung penggunaan peran terkait layanan di semua AWS Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [Wilayah dan Titik Akhir Wawasan CloudWatch Aplikasi](https://docs.aws.amazon.com/general/latest/gr/applicationinsights.html).
# AWS kebijakan terkelola untuk Amazon CloudWatch Application Insights
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: CloudWatchApplicationInsightsFullAccess
Anda dapat melampirkan kebijakan `CloudWatchApplicationInsightsFullAccess` ke identitas IAM.
Kebijakan ini memberikan izin-izin administratif yang memungkinkan akses penuh ke fungsi Wawasan Aplikasi.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `applicationinsights` – Memungkinkan akses penuh ke fungsi Wawasan Aplikasi.
+ `iam`— Memungkinkan Wawasan Aplikasi untuk membuat peran terkait layanan,. AWSServiceRoleForApplicationInsights Ini diperlukan agar Application Insights dapat melakukan operasi seperti menganalisis grup sumber daya pelanggan, membuat CloudFormation tumpukan untuk membuat alarm pada metrik, dan mengonfigurasi CloudWatch Agen pada instans EC2. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk CloudWatch Application Insights](CHAP_using-service-linked-roles-appinsights.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "applicationinsights:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"sqs:ListQueues",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"dynamodb:ListTables",
"s3:ListAllMyBuckets",
"sns:ListTopics",
"states:ListStateMachines",
"apigateway:GET",
"ecs:ListClusters",
"ecs:DescribeTaskDefinition",
"ecs:ListServices",
"ecs:ListTasks",
"eks:ListClusters",
"eks:ListNodegroups",
"fsx:DescribeFileSystems",
"logs:DescribeLogGroups",
"elasticfilesystem:DescribeFileSystems"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/application-insights.amazonaws.com/AWSServiceRoleForApplicationInsights"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "application-insights.amazonaws.com"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: CloudWatchApplicationInsightsReadOnlyAccess
Anda dapat melampirkan kebijakan `CloudWatchApplicationInsightsReadOnlyAccess` ke identitas IAM.
Kebijakan ini memberikan izin-izin administratif yang memungkinkan akses baca-saja ke semua fungsi Wawasan Aplikasi.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `applicationinsights` – Memungkinkan akses baca-saja ke fungsi Wawasan Aplikasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"applicationinsights:Describe*",
"applicationinsights:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: CloudwatchApplicationInsightsServiceLinkedRolePolicy
Anda tidak dapat melampirkan CloudwatchApplicationInsightsServiceLinkedRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Wawasan Aplikasi untuk memantau sumber daya pelanggan. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk CloudWatch Application Insights](CHAP_using-service-linked-roles-appinsights.md).
## Pembaruan Wawasan Aplikasi ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Wawasan Aplikasi sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan di umpan RSS di halaman [Riwayat dokumen](DocumentHistory.md) Wawasan Aplikasi.
| Perubahan | Deskripsi | Tanggal |
| --- | --- | --- |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) — Permbaruan ke kebijakan yang sudah ada | Application Insights menambahkan izin baru. Perubahan kebijakan memungkinkan Amazon CloudWatch Application Insights mengaktifkan dan menonaktifkan perlindungan penghentian pada CloudFormation tumpukan guna mengelola sumber daya SSM yang digunakan untuk menginstal dan mengonfigurasi agen. CloudWatch | Juli 25, 2024 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Application Insights menambahkan izin baru ke daftar CloudFormation tumpukan. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk menganalisis dan memantau AWS sumber daya yang bersarang di tumpukan. CloudFormation | 24 April 2023 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi menambahkan izin-izin baru untuk mendapatkan daftar sumber daya Amazon VPC dan Route 53. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk secara otomatis mengatur pemantauan jaringan praktik terbaik. Amazon CloudWatch | 23 Januari 2023 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi menambahkan izin baru untuk mendapatkan hasil invokasi perintah SSM. Izin ini diperlukan agar Amazon CloudWatch Application Insights secara otomatis mendeteksi dan memantau beban kerja yang berjalan di instans Amazon EC2. | 19 Desember 2022 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi menambahkan izin-izin baru untuk mendeskripsikan sumber daya Amazon VPC dan Route 53. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membaca konfigurasi sumber daya Amazon VPC dan Route 53 pelanggan, dan untuk membantu pelanggan mengatur pemantauan jaringan praktik terbaik secara otomatis. Amazon CloudWatch | 19 Desember 2022 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi sudah menambahkan izin-izin baru untuk mendeskripsikan sumber daya EFS. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membaca konfigurasi sumber daya pelanggan Amazon EFS, dan untuk membantu pelanggan secara otomatis menyiapkan praktik terbaik untuk pemantauan EFS. CloudWatch | 3 Oktober 2022 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi sudah menambahkan izin-izin baru untuk mendeskripsikan sistem file EFS. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membuat aplikasi berbasis akun dengan menanyakan semua sumber daya yang didukung dalam akun. | 3 Oktober 2022 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Application Insights menambahkan izin baru untuk mengambil informasi tentang sumber daya. FSx Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk memantau beban kerja dengan mengambil informasi yang cukup tentang volume yang mendasarinya. FSx | 12 September 2022 |
| [AWS kebijakan terkelola: CloudWatchApplicationInsightsFullAccess](#security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess) – Permbaruan ke kebijakan yang sudah ada | Wawasan Aplikasi menambahkan izin baru untuk menjelaskan grup log. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk memastikan bahwa izin yang benar untuk memantau grup log ada di akun saat membuat aplikasi baru. | 24 Januari 2022 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Application Insights menambahkan izin baru untuk membuat dan menghapus Filter CloudWatch Langganan Log. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membuat Filter Langganan guna memfasilitasi pemantauan log sumber daya dalam aplikasi yang dikonfigurasi. | 24 Januari 2022 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi menambahkan izin baru untuk menjelaskan grup target dan kesehatan target untuk Penyeimbang Beban Elastis. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membuat aplikasi berbasis akun dengan menanyakan semua sumber daya yang didukung dalam akun. | 4 November 2021 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi menambahkan izin baru untuk menjalankan dokumen SSM `AmazonCloudWatch-ManageAgent` di instans Amazon EC2. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membersihkan file konfigurasi CloudWatch agen yang dibuat oleh Application Insights. | 30 September 2021 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi menambahkan izin baru untuk mendukung pemantauan aplikasi berbasis akun untuk onboard dan memantau semua sumber daya yang didukung di akun Anda. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk menanyakan, menandai sumber daya, dan membuat grup untuk sumber daya ini. Wawasan Aplikasi menambahkan izin baru untuk mendukung pemantauan topik SNS. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk mengumpulkan metadata dari sumber daya SNS untuk mengonfigurasi pemantauan untuk topik SNS. | 15 September 2021 |
| [AWS kebijakan terkelola: CloudWatchApplicationInsightsFullAccess](#security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess) – Permbaruan ke kebijakan yang sudah ada | Wawasan Aplikasi menambahkan izin baru untuk menjelaskan dan mendaftar sumber daya yang didukung. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membuat aplikasi berbasis akun dengan menanyakan semua sumber daya yang didukung dalam akun. | 15 September 2021 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Permbaruan ke kebijakan yang sudah ada | Application Insights menambahkan izin baru untuk mendeskripsikan FSx sumber daya. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membaca konfigurasi FSx sumber daya pelanggan, dan untuk membantu pelanggan mengatur pemantauan praktik FSx terbaik secara otomatis. CloudWatch | 31 Agustus 2021 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Wawasan Aplikasi menambahkan izin baru untuk menjelaskan dan mendaftar sumber daya layanan ECS dan EKS. Izin ini diperlukan untuk Amazon CloudWatch Application Insights untuk membaca konfigurasi sumber daya kontainer pelanggan, dan untuk membantu pelanggan secara otomatis mengatur pemantauan kontainer praktik terbaik. CloudWatch | 18 Mei 2021 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – Pembaruan ke kebijakan yang ada | Application Insights menambahkan izin baru OpsCenter untuk memungkinkan tag OpsItems menggunakan `ssm:AddTagsToResource` tindakan pada sumber daya dengan jenis sumber `opsitem` daya. Izin ini diperlukan oleh OpsCenter. Amazon CloudWatch Application Insights menciptakan OpsItems sehingga pelanggan dapat menyelesaikan masalah menggunakan [AWS OpsCenterSSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html). | 13 April, 2021 |
| Wawasan Aplikasi mulai melacak perubahan | Application Insights mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 13 April, 2021 |
# CloudWatch Referensi izin Amazon
Tabel berikut mencantumkan setiap operasi CloudWatch API dan tindakan terkait yang dapat Anda berikan izin untuk melakukan tindakan. Anda menentukan tindakan dalam bidang `Action` kebijakan, dan Anda menentukan karakter wildcard (\$1) sebagai nilai sumber daya dalam bidang `Resource` kebijakan.
Anda dapat menggunakan kunci kondisi AWS-wide dalam CloudWatch kebijakan Anda untuk menyatakan kondisi. Untuk daftar lengkap kunci AWS-wide, lihat [Kunci Konteks Kondisi AWS Global dan IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) Pengguna *IAM*.
**catatan**
Untuk menentukan tindakan, gunakan awalan `cloudwatch:` diikuti dengan nama operasi API. Misalnya:`cloudwatch:GetMetricData`,`cloudwatch:ListMetrics`, atau `cloudwatch:*` (untuk semua CloudWatch tindakan).
**Topics**
+ [CloudWatch Operasi API dan izin yang diperlukan untuk tindakan](#cw-permissions-table)
+ [CloudWatch Operasi API Sinyal Aplikasi dan izin yang diperlukan untuk tindakan](#cw-application-signals-permissions-table)
+ [CloudWatch Operasi API Contributor Insights dan izin yang diperlukan untuk tindakan](#cw-contributor-insights-permissions-table)
+ [CloudWatch Operasi API peristiwa dan izin yang diperlukan untuk tindakan](#cwe-permissions-table)
+ [CloudWatch Log operasi API dan izin yang diperlukan untuk tindakan](#cwl-permissions-table)
+ [Operasi API Amazon EC2 dan izin yang diperlukan untuk tindakan](#cw-ec2-permissions-table)
+ [Operasi-operasi API Amazon EC2 Auto Scaling dan izin-izin yang diperlukan untuk tindakan](#cw-as-permissions-table)
## CloudWatch Operasi API dan izin yang diperlukan untuk tindakan
| CloudWatch Operasi API | Izin yang diperlukan (tindakan API) |
| --- | --- |
| [DeleteAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteAlarms.html) | `cloudwatch:DeleteAlarms` Diperlukan untuk menghapus alarm. |
| [DeleteDashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteDashboards.html) | `cloudwatch:DeleteDashboards` Diperlukan untuk menghapus dasbor. |
| [DeleteMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteMetricStream.html) | `cloudwatch:DeleteMetricStream` Diperlukan untuk menghapus aliran metrik. |
| [DescribeAlarmHistory](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarmHistory.html) | `cloudwatch:DescribeAlarmHistory` Diperlukan untuk melihat riwayat alarm. Untuk mengambil informasi tentang alarm gabungan, izin `cloudwatch:DescribeAlarmHistory` Anda harus memiliki ruang lingkup `*`. Anda tidak dapat mengembalikan informasi tentang alarm gabungan jika izin `cloudwatch:DescribeAlarmHistory` Anda memiliki cakupan yang lebih sempit. |
| [DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html) | `cloudwatch:DescribeAlarms` Diperlukan untuk mengambil informasi mengenai alarm. Untuk mengambil informasi tentang alarm gabungan, izin `cloudwatch:DescribeAlarms` Anda harus memiliki ruang lingkup `*`. Anda tidak dapat mengembalikan informasi tentang alarm gabungan jika izin `cloudwatch:DescribeAlarms` Anda memiliki cakupan yang lebih sempit. |
| [DescribeAlarmsForMetric](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarmsForMetric.html) | `cloudwatch:DescribeAlarmsForMetric` Diperlukan untuk melihat alarm untuk metrik. |
| [DisableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DisableAlarmActions.html) | `cloudwatch:DisableAlarmActions` Diperlukan untuk menonaktifkan tindakan alarm. |
| [EnableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableAlarmActions.html) | `cloudwatch:EnableAlarmActions` Diperlukan untuk mengaktifkan tindakan alarm. |
| [GetDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetDashboard.html) | `cloudwatch:GetDashboard` Diperlukan untuk menampilkan data tentang dasbor yang sudah ada. |
| [GetMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricData.html) | `cloudwatch:GetMetricData` Diperlukan untuk membuat grafik data metrik di CloudWatch konsol, untuk mengambil sejumlah besar data metrik, dan melakukan matematika metrik pada data tersebut. |
| [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html) | `cloudwatch:GetMetricStatistics` Diperlukan untuk melihat grafik di bagian lain CloudWatch konsol dan di widget dasbor. |
| [GetMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStream.html) | `cloudwatch:GetMetricStream` Diperlukan untuk melihat informasi tentang pengaliran metrik. |
| [GetMetricWidgetImage](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricWidgetImage.html) | `cloudwatch:GetMetricWidgetImage` Diperlukan untuk mengambil grafik snapshot dari satu atau beberapa CloudWatch metrik sebagai gambar bitmap. |
| [ListDashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListDashboards.html) | `cloudwatch:ListDashboards` Diperlukan untuk melihat daftar CloudWatch dasbor di akun Anda. |
| ListEntitiesForMetric (CloudWatch izin khusus konsol) | `cloudwatch:ListEntitiesForMetric` Diperlukan untuk menemukan entitas yang terkait dengan metrik. Diperlukan untuk menjelajahi telemetri terkait di dalam konsol. CloudWatch |
| [ListMetrics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListMetrics.html) | `cloudwatch:ListMetrics` Wajib untuk melihat atau mencari nama metrik di dalam CloudWatch konsol dan di CLI. Diperlukan untuk memilih metrik pada widget dasbor. |
| [ListMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListMetricStreams.html) | `cloudwatch:ListMetricStreams` Diperlukan untuk melihat atau mencari daftar aliran metrik di akun. |
| [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html) | `cloudwatch:PutCompositeAlarm` Diperlukan untuk membuat alarm gabungan Untuk membuat alarm gabungan, izin `cloudwatch:PutCompositeAlarm` Anda harus memiliki lingkup `*`. Anda tidak dapat mengembalikan informasi tentang alarm gabungan jika izin `cloudwatch:PutCompositeAlarm` Anda memiliki cakupan yang lebih sempit. |
| [PutDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutDashboard.html) | `cloudwatch:PutDashboard` Diperlukan untuk membuat dasbor atau memperbarui dasbor yang sudah ada. |
| [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html) | `cloudwatch:PutMetricAlarm` Diperlukan untuk membuat atau memperbarui alarm. |
| [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html) | `cloudwatch:PutMetricData` Diperlukan untuk membuat metrik. |
| [PutMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricStream.html) | `cloudwatch:PutMetricStream` Diperlukan untuk membuat pengaliran metrik. |
| [SetAlarmState](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_SetAlarmState.html) | `cloudwatch:SetAlarmState` Diperlukan untuk mengatur status alarm secara manual. |
| [StartMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_StartMetricStreams.html) | `cloudwatch:StartMetricStreams` Diperlukan untuk memulai aliran metrik dalam sebuah aliran metrik. |
| [StopMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_StartMetricStreams.html) | `cloudwatch:StopMetricStreams` Diperlukan untuk menghentikan aliran metrik dalam sebuah aliran metrik untuk sementara waktu. |
| [TagResource](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_TagResource.html) | `cloudwatch:TagResource` Diperlukan untuk menambahkan atau memperbarui tag pada CloudWatch sumber daya seperti alarm dan aturan Wawasan Kontributor. |
| [UntagResource](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_UntagResource.html) | `cloudwatch:UntagResource` Diperlukan untuk menghapus tag dari CloudWatch sumber daya. |
## CloudWatch Operasi API Sinyal Aplikasi dan izin yang diperlukan untuk tindakan
| CloudWatch Operasi API Sinyal Aplikasi | Izin yang diperlukan (tindakan API) |
| --- | --- |
| [ BatchGetServiceLevelObjectiveBudgetReport](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_BatchGetServiceLevelObjectiveBudgetReport.html) | `application-signals:BatchGetServiceLevelObjectiveBudgetReport` Diperlukan untuk mengambil laporan anggaran objektif tingkat layanan. |
| [ CreateServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_CreateServiceLevelObjective.html) | `application-signals:CreateServiceLevelObjective` Diperlukan untuk membuat tujuan tingkat layanan (SLO). |
| [ DeleteServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_DeleteServiceLevelObjective.html) | `application-signals:DeleteServiceLevelObjective` Diperlukan untuk menghapus tujuan tingkat layanan (SLO). |
| [ GetService](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_GetService.html) | `application-signals:GetService` Diperlukan untuk mengambil informasi tentang layanan yang ditemukan oleh Sinyal Aplikasi. |
| [ GetServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_GetServiceLevelObjective.html) | `application-signals:GetServiceLevelObjective` Diperlukan untuk mengambil informasi tentang tujuan tingkat layanan (SLO). |
| ListObservedEntities | `application-signals:ListObservedEntities` Memberikan izin untuk mencantumkan entitas yang terkait dengan entitas lain. |
| [ ListServiceDependencies](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceDependencies.html) | `application-signals:ListServiceDependencies` Diperlukan untuk mengambil daftar dependensi layanan dari layanan yang Anda tentukan. Layanan ini dan dependensi ditemukan oleh Sinyal Aplikasi. |
| [ ListServiceDependents](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceDependents.html) | `application-signals:ListServiceDependents` Diperlukan untuk mengambil daftar tanggungan yang memanggil layanan yang Anda tentukan. Layanan ini dan tanggungan ditemukan oleh Sinyal Aplikasi. |
| [ ListServiceLevelObjectives](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceLevelObjectives.html) | `application-signals:ListServiceLevelObjectives` Diperlukan untuk mengambil daftar tujuan tingkat layanan (SLOs) di akun. |
| [ ListServiceOperations](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceOperations.html) | `application-signals:ListServiceOperations` Diperlukan untuk mengambil daftar operasi layanan layanan yang Anda tentukan. Layanan ini dan dependensi ditemukan oleh Sinyal Aplikasi. |
| [ ListServices](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServices.html) | `application-signals:ListServices` Diperlukan untuk mengambil daftar layanan yang ditemukan oleh Sinyal Aplikasi. |
| [ ListTagsForResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListTagsForResource.html) | `application-signals:ListTagsForResource` Diperlukan untuk mengambil daftar tag yang terkait dengan sumber daya. |
| [ StartDiscovery](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_StartDiscovery.html) | `application-signals:StartDiscovery` Diperlukan untuk dapat mengaktifkan Sinyal Aplikasi di akun dan membuat peran terkait layanan yang diperlukan. |
| [ TagResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_TagResource.html) | `application-signals:TagResource` Diperlukan untuk dapat menambahkan tag ke sumber daya. |
| [ UntagResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_UntagResource.html) | `application-signals:UntagResource` Diperlukan untuk dapat menghapus tag dari sumber daya. |
| [ UpdateServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_UpdateServiceLevelObjective.html) | `application-signals:UpdateServiceLevelObjective` Diperlukan untuk memperbarui tujuan tingkat layanan yang ada |
## CloudWatch Operasi API Contributor Insights dan izin yang diperlukan untuk tindakan
**penting**
Saat Anda memberikan `cloudwatch:PutInsightRule` izin kepada pengguna, secara default pengguna tersebut dapat membuat aturan yang mengevaluasi grup log apa pun di CloudWatch Log. Anda dapat menambahkan ketentuan kebijakan IAM yang membatasi izin ini agar pengguna dapat menyertakan dan mengecualikan grup log tertentu. Untuk informasi selengkapnya, lihat [Menggunakan kunci syarat untuk membatasi akses pengguna Wawasan Kontributor ke grup log](iam-cw-condition-keys-contributor.md).
| CloudWatch Operasi API Contributor Insights | Izin yang diperlukan (tindakan API) |
| --- | --- |
| [DeleteInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteInsightRules.html) | `cloudwatch:DeleteInsightRules` Wajib menghapus aturan Wawasan Kontributor. |
| [DescribeInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeInsightRules.html) | `cloudwatch:DescribeInsightRules` Diperlukan untuk melihat aturan Wawasan Kontributor di akun Anda. |
| [EnableInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableInsightRules.html) | `cloudwatch:EnableInsightRules` Diperlukan untuk mengaktifkan aturan Wawasan Kontributor. |
| [GetInsightRuleReport](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetInsightRuleReport.html) | `cloudwatch:GetInsightRuleReport` Diperlukan untuk mengambil data rangkaian waktu dan statistik lain yang dikumpulkan oleh aturan Wawasan Kontributor. |
| [PutInsightRule](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutInsightRule.html) | `cloudwatch:PutInsightRule` Diperlukan untuk membuat aturan Wawasan Kontributor. Lihat catatan **Penting** di awal tabel ini. |
## CloudWatch Operasi API peristiwa dan izin yang diperlukan untuk tindakan
| CloudWatch Peristiwa operasi API | Izin yang diperlukan (tindakan API) |
| --- | --- |
| [DeleteRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DeleteRule.html) | `events:DeleteRule` Perlu menghapus aturan. |
| [DescribeRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DescribeRule.html) | `events:DescribeRule` Wajib mencantumkan perincian tentang aturan. |
| [DisableRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DisableRule.html) | `events:DisableRule` Wajib menonaktifkan aturan. |
| [EnableRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_EnableRule.html) | `events:EnableRule` Diperlukan untuk mengaktifkan aturan. |
| [ListRuleNamesByTarget](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRuleNamesByTarget.html) | `events:ListRuleNamesByTarget` Wajib mencantumkan aturan terkait target. |
| [ListRules](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRules.html) | `events:ListRules` Wajib mencantumkan semua aturan di akun Anda. |
| [ListTargetsByRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListTargetsByRule.html) | `events:ListTargetsByRule` Wajib mencantumkan semua target yang terkait dengan aturan. |
| [PutEvents](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutEvents.html) | `events:PutEvents` Diperlukan untuk menambahkan peristiwa khusus yang dapat dicocokkan dengan aturan. |
| [PutRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutRule.html) | `events:PutRule` Diperlukan untuk membuat atau memperbarui aturan. |
| [PutTargets](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutTargets.html) | `events:PutTargets` Diperlukan untuk menambahkan target ke aturan. |
| [RemoveTargets](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_RemoveTargets.html) | `events:RemoveTargets` Diperlukan untuk menghapus target dari aturan. |
| [TestEventPattern](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_TestEventPattern.html) | `events:TestEventPattern` Diperlukan untuk menguji pola peristiwa terhadap peristiwa tertentu. |
## CloudWatch Log operasi API dan izin yang diperlukan untuk tindakan
**catatan**
CloudWatch Izin log dapat ditemukan di [panduan pengguna CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/permissions-reference-cwl.html).
## Operasi API Amazon EC2 dan izin yang diperlukan untuk tindakan
| Operasi API Amazon EC2 | Izin yang diperlukan (tindakan API) |
| --- | --- |
| [DescribeInstanceStatus](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstanceStatus.html) | `ec2:DescribeInstanceStatus` Diperlukan untuk melihat rincian status contoh EC2. |
| [DescribeInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstances.html) | `ec2:DescribeInstances` Diperlukan untuk melihat rincian contoh EC2. |
| [RebootInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RebootInstances.html) | `ec2:RebootInstances` Diperlukan untuk menyalakan ulang contoh EC2. |
| [StopInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StopInstances.html) | `ec2:StopInstances` Diperlukan untuk menghentikan contoh EC2. |
| [TerminateInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_TerminateInstances.html) | `ec2:TerminateInstances` Diperlukan untuk mengakhiri contoh EC2. |
## Operasi-operasi API Amazon EC2 Auto Scaling dan izin-izin yang diperlukan untuk tindakan
| Operasi-operasi API Amazon EC2 Auto Scaling | Izin yang diperlukan (tindakan API) |
| --- | --- |
| Penskalaan | `autoscaling:Scaling` Diperlukan untuk menskalakan sebuah grup Auto Scaling. |
| Pemicu | `autoscaling:Trigger` Diperlukan untuk memicu tindakan sebuah penskalaan otomatis Auto Scaling. |