Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Politiche IAM per l'utilizzo di RUM CloudWatch Per poter gestire completamente CloudWatch RUM, devi accedere come utente o ruolo IAM con la policy di **AmazonCloudWatchRUMFullAccess** IAM. Inoltre, potrebbero essere necessari altri criteri o autorizzazioni: + Per creare un app monitor che crei un nuovo pool di identità Amazon Cognito per l'autorizzazione, devi disporre del ruolo **Admin** IAM o della policy **AdministratorAccess**IAM. + Per creare un app monitor che invii dati a CloudWatch Logs, devi accedere a un ruolo o a una policy IAM con le seguenti autorizzazioni: ``` { "Effect": "Allow", "Action": [ "logs:PutResourcePolicy" ], "Resource": [ "*" ] } ``` + Per abilitare le mappe di JavaScript origine nel monitor di un'app, dovrai caricare i file delle mappe di origine in un bucket Amazon S3. La tua policy o il tuo ruolo IAM richiedono autorizzazioni Amazon S3 specifiche che consentano di creare bucket Amazon S3, impostare policy di bucket e gestire i file nel bucket. Per motivi di sicurezza, assegna queste autorizzazioni a risorse specifiche. La policy di esempio riportata di seguito limita l'accesso ai bucket che contengono `rum` nei relativi nomi e utilizza la chiave di condizione `aws:ResourceAccount` per limitare le autorizzazioni solo all'account principale. ``` { "Sid": "AllowS3BucketCreationAndListing", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3BucketPolicyActions", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ``` + Per utilizzare AWS KMS le tue chiavi per la crittografia lato server sul tuo bucket di mappe di origine, il tuo ruolo o policy IAM avrà bisogno di AWS KMS autorizzazioni specifiche che consentano di creare una chiave, aggiornare la policy delle chiavi, utilizzare la chiave con AWS KMS Amazon S3 e impostare la configurazione di crittografia del tuo bucket Amazon S3. Per motivi di sicurezza, assegna queste autorizzazioni a scopi specifici. L'esempio seguente limita l'accesso alle chiavi per una regione e AccountID specifici e presenta restrizioni S3 simili a quelle dell'esempio precedente. ``` { "Sid": "AllowKMSKeyCreation", "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias" ], "Resource": "*" }, { "Sid": "KMSReadPermissions", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AllowUpdatingKeyPolicy", "Effect": "Allow", "Action": [ "kms:PutKeyPolicy", "kms:GetKeyPolicy", "kms:ListKeyPolicies" ], "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*" }, { "Sid": "AllowUseOfKMSKeyForS3", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*" }, { "Sid": "AllowS3EncryptionConfiguration", "Effect": "Allow", "Action": [ "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*rum*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ``` La policy può essere concessa ad altri utenti che devono visualizzare i dati CloudWatch RUM ma non devono creare risorse CloudWatch RUM. **AmazonCloudWatchRUMReadOnlyAccess**