Politiche IAM per l'utilizzo di CloudWatch RUM - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche IAM per l'utilizzo di CloudWatch RUM

Per poter gestire completamente CloudWatch RUM, devi accedere come utente o ruolo IAM con la policy di AmazonCloudWatchRUMFullAccess IAM. Inoltre, potrebbero essere necessari altri criteri o autorizzazioni:

  • Per creare un app monitor che crei un nuovo pool di identità Amazon Cognito per l'autorizzazione, devi disporre del ruolo Admin IAM o della policy AdministratorAccessIAM.

  • Per creare un app monitor che invii dati a CloudWatch Logs, devi accedere a un ruolo o a una policy IAM con le seguenti autorizzazioni:

    { "Effect": "Allow", "Action": [ "logs:PutResourcePolicy" ], "Resource": [ "*" ] }
  • Per abilitare le mappe di JavaScript origine nel monitor di un'app, dovrai caricare i file delle mappe di origine in un bucket Amazon S3. Il tuo ruolo o la tua policy IAM richiedono autorizzazioni Amazon S3 specifiche che consentano di creare bucket Amazon S3, impostare policy di bucket e gestire i file nel bucket. Per motivi di sicurezza, assegna queste autorizzazioni a risorse specifiche. La politica di esempio riportata di seguito limita l'accesso ai bucket rum contenuti nei relativi nomi e utilizza la chiave aws:ResourceAccount condition per limitare le autorizzazioni solo all'account principale.

    { "Sid": "AllowS3BucketCreationAndListing", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3BucketPolicyActions", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }
  • Per utilizzare AWS KMS le tue chiavi per la crittografia lato server sul tuo bucket di mappe di origine, il tuo ruolo o policy IAM avrà bisogno di AWS KMS autorizzazioni specifiche che consentano di creare una chiave, aggiornare la policy delle chiavi, utilizzare la chiave con AWS KMS Amazon S3 e impostare la configurazione di crittografia del tuo bucket Amazon S3. Per motivi di sicurezza, assegna queste autorizzazioni a scopi specifici. L'esempio seguente limita l'accesso alle chiavi per una regione e un AccountID specifici e presenta restrizioni S3 simili a quelle dell'esempio precedente.

    { "Sid": "AllowKMSKeyCreation", "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias" ], "Resource": "*" }, { "Sid": "KMSReadPermissions", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AllowUpdatingKeyPolicy", "Effect": "Allow", "Action": [ "kms:PutKeyPolicy", "kms:GetKeyPolicy", "kms:ListKeyPolicies" ], "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*" }, { "Sid": "AllowUseOfKMSKeyForS3", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*" }, { "Sid": "AllowS3EncryptionConfiguration", "Effect": "Allow", "Action": [ "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }

La policy può essere concessa ad altri utenti che devono visualizzare i dati CloudWatch CloudWatch RUM ma non devono creare risorse RUM. AmazonCloudWatchRUMReadOnlyAccess