Gestione delle identità e degli accessi per Amazon CloudWatch - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle identità e degli accessi per Amazon CloudWatch

AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse. CloudWatch IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.

Destinatari

Il modo in cui usi AWS Identity and Access Management (IAM) varia a seconda del lavoro che CloudWatch svolgi.

Utente del servizio: se utilizzi il CloudWatch servizio per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più CloudWatch funzionalità per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell'accesso ti consente di richiedere le autorizzazioni corrette all'amministratore. Se non riesci ad accedere a una funzionalità di CloudWatch, consulta Risoluzione dei problemi relativi all' CloudWatch identità e all'accesso ad Amazon.

Amministratore del servizio: se sei responsabile delle CloudWatch risorse della tua azienda, probabilmente hai pieno accesso a CloudWatch. È tuo compito determinare a quali CloudWatch funzionalità e risorse devono accedere gli utenti del servizio. Devi inviare le richieste all'amministratore IAM per cambiare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per saperne di più su come la tua azienda può utilizzare IAM con CloudWatch, consultaCome CloudWatch funziona Amazon con IAM.

Amministratore IAM: un amministratore IAM potrebbe essere interessato a ottenere dei dettagli su come scrivere policy per gestire l'accesso a CloudWatch. Per visualizzare esempi di policy CloudWatch basate sull'identità che puoi utilizzare in IAM, consulta. Esempi di policy basate sull'identità per Amazon CloudWatch

Autenticazione con identità

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi essere autenticato (aver effettuato l' Utente root dell'account AWS accesso AWS) come utente IAM o assumendo un ruolo IAM.

Puoi accedere AWS come identità federata utilizzando le credenziali fornite tramite una fonte di identità. AWS IAM Identity Center Gli utenti (IAM Identity Center), l'autenticazione Single Sign-On della tua azienda e le tue credenziali di Google o Facebook sono esempi di identità federate. Se accedi come identità federata, l'amministratore ha configurato in precedenza la federazione delle identità utilizzando i ruoli IAM. Quando accedi AWS utilizzando la federazione, assumi indirettamente un ruolo.

A seconda del tipo di utente, puoi accedere al AWS Management Console o al portale di AWS accesso. Per ulteriori informazioni sull'accesso a AWS, vedi Come accedere al tuo Account AWS nella Guida per l'Accedi ad AWS utente.

Se accedi a AWS livello di codice, AWS fornisce un kit di sviluppo software (SDK) e un'interfaccia a riga di comando (CLI) per firmare crittograficamente le tue richieste utilizzando le tue credenziali. Se non utilizzi AWS strumenti, devi firmare tu stesso le richieste. Per ulteriori informazioni sul metodo consigliato per la firma delle richieste, consulta Signature Version 4 AWS per le richieste API nella Guida per l'utente IAM.

A prescindere dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. Per ulteriori informazioni, consulta Autenticazione a più fattori nella Guida per l'utente di AWS IAM Identity Center e Utilizzo dell'autenticazione a più fattori (MFA)AWS in IAM nella Guida per l'utente IAM.

Account AWS utente root

Quando si crea un account Account AWS, si inizia con un'identità di accesso che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità è denominata utente Account AWS root ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono l'accesso come utente root, consulta la sezione Attività che richiedono le credenziali dell'utente root nella Guida per l'utente IAM.

Identità federata

Come procedura consigliata, richiedi agli utenti umani, compresi gli utenti che richiedono l'accesso come amministratore, di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.

Un'identità federata è un utente dell'elenco utenti aziendale, di un provider di identità Web AWS Directory Service, della directory Identity Center o di qualsiasi utente che accede utilizzando le Servizi AWS credenziali fornite tramite un'origine di identità. Quando le identità federate accedono Account AWS, assumono ruoli e i ruoli forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, consigliamo di utilizzare AWS IAM Identity Center. Puoi creare utenti e gruppi in IAM Identity Center oppure puoi connetterti e sincronizzarti con un set di utenti e gruppi nella tua fonte di identità per utilizzarli su tutte le tue applicazioni. Account AWS Per ulteriori informazioni su IAM Identity Center, consulta Cos'è IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center .

Utenti e gruppi IAM

Un utente IAM è un'identità interna Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ove possibile, consigliamo di fare affidamento a credenziali temporanee invece di creare utenti IAM con credenziali a lungo termine come le password e le chiavi di accesso. Tuttavia, se si hanno casi d'uso specifici che richiedono credenziali a lungo termine con utenti IAM, si consiglia di ruotare le chiavi di accesso. Per ulteriori informazioni, consulta la pagina Rotazione periodica delle chiavi di accesso per casi d'uso che richiedono credenziali a lungo termine nella Guida per l'utente IAM.

Un gruppo IAM è un'identità che specifica un insieme di utenti IAM. Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, potresti avere un gruppo denominato IAMAdminse concedere a quel gruppo le autorizzazioni per amministrare le risorse IAM.

Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un'applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali a lungo termine permanenti, mentre i ruoli forniscono credenziali temporanee. Per ulteriori informazioni, consulta Casi d'uso per utenti IAM nella Guida per l'utente IAM.

Ruoli IAM

Un ruolo IAM è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a un utente IAM, ma non è associato a una persona specifica. Per assumere temporaneamente un ruolo IAM in AWS Management Console, puoi passare da un ruolo utente a un ruolo IAM (console). Puoi assumere un ruolo chiamando un'operazione AWS CLI o AWS API o utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi per l'utilizzo dei ruoli, consulta Utilizzo di ruoli IAM nella Guida per l'utente IAM.

I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:

  • Accesso utente federato: per assegnare le autorizzazioni a una identità federata, è possibile creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta Create a role for a third-party identity provider (federation) nella Guida per l'utente IAM. Se utilizzi IAM Identity Center, configura un set di autorizzazioni. IAM Identity Center mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare a cosa possono accedere le identità dopo l'autenticazione. Per informazioni sui set di autorizzazioni, consulta Set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .

  • Autorizzazioni utente IAM temporanee: un utente IAM o un ruolo può assumere un ruolo IAM per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.

  • Accesso multi-account: è possibile utilizzare un ruolo IAM per permettere a un utente (un principale affidabile) con un account diverso di accedere alle risorse nell'account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, con alcuni Servizi AWS, è possibile allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). Per informazioni sulle differenze tra ruoli e policy basate su risorse per l'accesso multi-account, consulta Accesso a risorse multi-account in IAM nella Guida per l'utente IAM.

  • Accesso a più servizi: alcuni Servizi AWS utilizzano le funzionalità di altri Servizi AWS. Ad esempio, quando effettui una chiamata in un servizio, è normale che quel servizio esegua applicazioni in Amazon EC2 o archivi oggetti in Amazon S3. Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, utilizzando un ruolo di servizio o utilizzando un ruolo collegato al servizio.

    • Sessioni di accesso inoltrato (FAS): quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta Forward access sessions.

    • Ruolo di servizio: un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione Create a role to delegate permissions to an Servizio AWS nella Guida per l'utente IAM.

    • Ruolo collegato al servizio: un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.

  • Applicazioni in esecuzione su Amazon EC2: puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un' EC2 istanza e che AWS CLI effettuano richieste AWS API. Questa soluzione è preferibile alla memorizzazione delle chiavi di accesso all'interno dell' EC2 istanza. Per assegnare un AWS ruolo a un' EC2 istanza e renderlo disponibile per tutte le sue applicazioni, create un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull' EC2 istanza di ottenere credenziali temporanee. Per ulteriori informazioni, consulta Utilizzare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella IAM User Guide.

Gestione dell'accesso con policy

Puoi controllare l'accesso AWS creando policy e collegandole a AWS identità o risorse. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale (utente, utente root o sessione di ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per ulteriori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON, consulta Panoramica delle policy JSON nella Guida per l'utente IAM.

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse e in quali condizioni.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.

Le policy IAM definiscono le autorizzazioni relative a un'operazione, a prescindere dal metodo utilizzato per eseguirla. Ad esempio, supponiamo di disporre di una policy che consente l'operazione iam:GetRole. Un utente con tale policy può ottenere informazioni sul ruolo dall' AWS Management Console AWS CLI, dall'o dall' AWS API.

Policy basate sull'identità

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l'utente IAM.

Le policy basate su identità possono essere ulteriormente classificate come policy inline o policy gestite. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le politiche gestite sono politiche autonome che puoi allegare a più utenti, gruppi e ruoli nel tuo Account AWS. Le politiche gestite includono politiche AWS gestite e politiche gestite dai clienti. Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta Scelta fra policy gestite e policy inline nella Guida per l'utente IAM.

Policy basate sulle risorse

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy dei bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l'accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario specificare un principale in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non puoi utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

Liste di controllo degli accessi () ACLs

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la panoramica della lista di controllo degli accessi (ACL) nella Amazon Simple Storage Service Developer Guide.

Altri tipi di policy

AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai tipi di policy più comuni.

  • Limiti delle autorizzazioni: un limite delle autorizzazioni è una funzionalità avanzata nella quale si imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM (utente o ruolo IAM). È possibile impostare un limite delle autorizzazioni per un'entità. Le autorizzazioni risultanti sono l'intersezione delle policy basate su identità dell'entità e i relativi limiti delle autorizzazioni. Le policy basate su risorse che specificano l'utente o il ruolo nel campo Principalsono condizionate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l'utente IAM.

  • Politiche di controllo del servizio (SCPs): SCPs sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più di proprietà dell' Account AWS azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità presenti negli account dei membri, inclusa ciascuna di esse. Utente root dell'account AWS Per ulteriori informazioni su Organizations and SCPs, consulta le politiche di controllo dei servizi nella Guida AWS Organizations per l'utente.

  • Politiche di controllo delle risorse (RCPs): RCPs sono politiche JSON che puoi utilizzare per impostare le autorizzazioni massime disponibili per le risorse nei tuoi account senza aggiornare le politiche IAM allegate a ciascuna risorsa di tua proprietà. L'RCP limita le autorizzazioni per le risorse negli account dei membri e può influire sulle autorizzazioni effettive per le identità, incluse le Utente root dell'account AWS, indipendentemente dal fatto che appartengano o meno all'organizzazione. Per ulteriori informazioni su Organizations e RCPs, incluso un elenco di Servizi AWS tale supporto RCPs, vedere Resource control policies (RCPs) nella Guida per l'AWS Organizations utente.

  • Policy di sessione: le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate su identità del ruolo o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni, consulta Policy di sessione nella Guida per l'utente IAM.

Più tipi di policy

Quando più tipi di policy si applicano a una richiesta, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta la logica di valutazione delle policy nella IAM User Guide.

AWS politiche gestite (predefinite) per CloudWatch

AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da AWS. Queste policy AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni in modo da evitare di dover esaminare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.

Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche per. CloudWatch

CloudWatchFullAccessV2

AWS ha recentemente aggiunto la policy IAM gestita CloudWatchFullAccessV2. Questa politica garantisce l'accesso completo alle CloudWatch azioni e alle risorse e definisce anche in modo più adeguato le autorizzazioni concesse per altri servizi come Amazon SNS e. Amazon EC2 Auto Scaling Ti consigliamo di iniziare a utilizzare questa politica anziché utilizzare. CloudWatchFullAccess AWS piani destinati a diventare obsoleti CloudWatchFullAccessnelle prossime future.

Include application-signals: le autorizzazioni che consentono agli utenti di accedere a tutte le funzionalità dalla CloudWatch console in Application Signals. Include alcune autoscaling:Describe autorizzazioni in modo che gli utenti con questo criterio possano vedere le azioni di Auto Scaling associate CloudWatch agli allarmi. Include alcune sns autorizzazioni in modo che gli utenti con questa politica possano recuperare, creare argomenti Amazon SNS e associarli agli allarmi. CloudWatch Include le autorizzazioni IAM in modo che gli utenti con questa policy possano visualizzare le informazioni sui ruoli collegati ai servizi associati a. CloudWatch Include le autorizzazioni oam:ListSinks e le oam:ListAttachedLinks autorizzazioni in modo che gli utenti con questa politica possano utilizzare la console per visualizzare i dati condivisi dagli account di origine in modo osservabile su più account. CloudWatch

Include Amazon OpenSearch Service le autorizzazioni per supportare i dashboard dei registri venduti in CloudWatch Logs, che vengono creati con analisi. Amazon OpenSearch Service

Include rum e xray autorizzazioni in modo che gli utenti possano avere pieno accesso a CloudWatch Synthetics CloudWatch e RUM AWS X-Ray, tutti inclusi nel servizio. synthetics CloudWatch

I contenuti della CloudWatchFullAccessV2 sono i seguenti:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchFullAccessPermissions", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingPolicies", "application-signals:*", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribePolicies", "cloudwatch:*", "logs:*", "sns:CreateTopic", "sns:ListSubscriptions", "sns:ListSubscriptionsByTopic", "sns:ListTopics", "sns:Subscribe", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks", "rum:*", "synthetics:*", "xray:*", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers", "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsServiceLinkedRolePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals", "Condition": { "StringLike": { "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com" } } }, { "Sid": "EventsServicePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Sid": "OAMReadPermissions", "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" }, { "Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy", "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*" }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }

CloudWatchFullAccess

La CloudWatchFullAccesspolitica sta per diventare obsoleta. Ti consigliamo di smettere di usarla e di utilizzare invece la V2. CloudWatchFullAccess

I contenuti di CloudWatchFullAccesssono i seguenti:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:Describe*", "cloudwatch:*", "logs:*", "sns:*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers", "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" }, { "Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy", "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "logs-collection-*" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*" }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource", "es:AddTags" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }

CloudWatchReadOnlyAccess

La CloudWatchReadOnlyAccesspolitica garantisce l'accesso in sola lettura a. CloudWatch

La politica include alcune logs: autorizzazioni, in modo che gli utenti con questa politica possano utilizzare la console per visualizzare le informazioni di Logs e le query di CloudWatch Logs Insights. CloudWatch Includeautoscaling:Describe*, in modo che gli utenti con questo criterio possano vedere le azioni di Auto Scaling associate CloudWatch agli allarmi. Include le application-signals: autorizzazioni che consentono agli utenti di utilizzare Application Signals per monitorare lo stato dei propri servizi. Include application-autoscaling:DescribeScalingPolicies, in modo che gli utenti con questa policy possano accedere alle informazioni sulle policy Application Auto Scaling. Include sns:Get* esns:List*, in modo che gli utenti con questa politica possano recuperare informazioni sugli argomenti di Amazon SNS che ricevono notifiche CloudWatch sugli allarmi. Include le oam:ListAttachedLinks autorizzazioni oam:ListSinks e, in modo che gli utenti con questa politica possano utilizzare la console per visualizzare i dati condivisi dagli account di origine in modo osservabile su più account. CloudWatch Include le iam:GetRole autorizzazioni in modo che gli utenti possano verificare se CloudWatch Application Signals è stato configurato.

Include rum e xray autorizzazioni in modo che gli utenti possano avere accesso in sola lettura a Synthetics CloudWatch e CloudWatch RUM AWS X-Ray, tutti inclusi nel servizio. synthetics CloudWatch

Di seguito è riportato il contenuto della politica. CloudWatchReadOnlyAccess

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchReadOnlyAccessPermissions", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingPolicies", "application-signals:BatchGet*", "application-signals:Get*", "application-signals:List*", "autoscaling:Describe*", "cloudwatch:BatchGet*", "cloudwatch:Describe*", "cloudwatch:GenerateQuery", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:Describe*", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "oam:ListSinks", "sns:Get*", "sns:List*", "rum:BatchGet*", "rum:Get*", "rum:List*", "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "xray:BatchGet*", "xray:Get*", "xray:List*", "xray:StartTraceRetrieval", "xray:CancelTraceRetrieval" ], "Resource": "*" }, { "Sid": "OAMReadPermissions", "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" }, { "Sid": "CloudWatchReadOnlyGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" } ] }

CloudWatchActionsEC2Accesso

La policy di CloudWatchActionsEC2accesso garantisce l'accesso in sola lettura ad CloudWatch allarmi e metriche oltre ai metadati di Amazon. EC2 Concede inoltre l'accesso alle azioni delle API Stop, Terminate e Reboot per le istanze. EC2

Di seguito è riportato il contenuto della politica di accesso. CloudWatchActions EC2

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Describe*", "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*" } ] }

CloudWatch-CrossAccountAccess

La policy CloudWatch- CrossAccountAccess gestita viene utilizzata dal ruolo CloudWatch- CrossAccountSharingRole IAM. Questo ruolo e la policy consentono agli utenti dei pannelli di controllo tra più account di visualizzare pannelli di controllo automatici in ciascun account che condivide i pannelli di controllo.

Quanto segue è il contenuto di CloudWatch- CrossAccountAccess:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/CloudWatch-CrossAccountSharing*" ], "Effect": "Allow" } ] }

CloudWatchAutomaticDashboardsAccess

La policy CloudWatchAutomaticDashboardsAccessgestita consente l'accesso a CloudWatch utenti non autorizzati CloudWatch APIs, in modo che risorse come le funzioni Lambda possano essere visualizzate CloudWatch su dashboard automatici.

Di seguito è riportato il contenuto di: CloudWatchAutomaticDashboardsAccess

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListServices", "elasticache:DescribeCacheClusters", "elasticbeanstalk:DescribeEnvironments", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunction", "lambda:ListFunctions", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "route53:GetHealthCheck", "route53:ListHealthChecks", "s3:ListAllMyBuckets", "s3:ListBucket", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ListQueues", "synthetics:DescribeCanariesLastRun", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "apigateway:GET" ], "Effect": "Allow", "Resource": [ "arn:aws:apigateway:*::/restapis*" ] } ]

CloudWatchAgentServerPolicy

La CloudWatchAgentServerPolicypolicy può essere utilizzata nei ruoli IAM collegati alle EC2 istanze Amazon per consentire all' CloudWatch agente di leggere le informazioni dall'istanza e scriverle CloudWatch su. I suoi contenuti sono i seguenti.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CWACloudWatchServerPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeVolumes", "ec2:DescribeTags", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup", "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": "*" }, { "Sid": "CWASSMServerPermissions", "Effect": "Allow", "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }

CloudWatchAgentAdminPolicy

La CloudWatchAgentAdminPolicypolicy può essere utilizzata nei ruoli IAM collegati alle EC2 istanze Amazon. Questa policy consente all' CloudWatch agente di leggere le informazioni dall'istanza e scriverle su CloudWatch, nonché di scrivere informazioni su Parameter Store. I suoi contenuti sono i seguenti.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CWACloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeTags", "logs:PutLogEvents", "logs:PutRetentionPolicy", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup", "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": "*" }, { "Sid": "CWASSMPermissions", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:PutParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
Nota

Per esaminare queste policy di autorizzazione, accedi alla console IAM ed esegui la ricerca delle policy specifiche.

È inoltre possibile creare policy IAM personalizzate per concedere le autorizzazioni per operazioni e risorse CloudWatch . Puoi associare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono tali autorizzazioni.

AWS politiche gestite (predefinite) per l'osservabilità CloudWatch tra account

Le politiche di questa sezione concedono le autorizzazioni relative all'osservabilità tra account. CloudWatch Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account.

CloudWatchCrossAccountSharingConfiguration

La CloudWatchCrossAccountSharingConfigurationpolitica consente l'accesso per creare, gestire e visualizzare i collegamenti di Observability Access Manager per la condivisione di risorse tra account. CloudWatch Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account. I contenuti sono come indicato di seguito:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }

OAMFullAccesso

La politica di OAMFullaccesso consente l'accesso per creare, gestire e visualizzare i sink e i link di Observability Access Manager, utilizzati per CloudWatch l'osservabilità tra account.

La politica di OAMFullaccesso di per sé non consente di condividere i dati di osservabilità tra link. Per creare un link per condividere le CloudWatch metriche, è necessario anche uno o CloudWatchFullAccess. CloudWatchCrossAccountSharingConfiguration Per creare un link per condividere i gruppi di log di CloudWatch Logs, è necessario anche uno o CloudWatchLogsFullAccess. CloudWatchLogsCrossAccountSharingConfiguration Per creare un link per condividere le tracce a raggi X, è necessario anche uno o AWSXRayFullAccess. AWSXRayCrossAccountSharingConfiguration

Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account. I contenuti sono come indicato di seguito:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:*" ], "Resource": "*" } ] }

OAMReadOnlyAccess

La OAMReadOnlyAccesspolicy garantisce l'accesso in sola lettura alle risorse di Observability Access Manager, che vengono utilizzate per l'osservabilità tra account. CloudWatch Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account. I contenuti sono come indicato di seguito:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:Get*", "oam:List*" ], "Resource": "*" } ] }

AWS politiche gestite (predefinite) per le indagini CloudWatch

Le politiche contenute in questa sezione concedono le autorizzazioni relative alle indagini. CloudWatch Per ulteriori informazioni, consulta CloudWatch indagini.

AIOpsConsoleAdminPolicy

La AIOpsConsoleAdminPolicypolitica garantisce l'accesso completo a tutte le azioni di CloudWatch indagine e le relative autorizzazioni richieste tramite la console. AWS Questa politica garantisce inoltre un accesso limitato agli altri servizi APIs necessari per la funzionalità delle indagini. CloudWatch

  • Le aiops autorizzazioni garantiscono l'accesso a tutte le CloudWatch azioni di indagine.

  • Le sts autorizzazioniorganizations, ssoidentitystore, e consentono le azioni necessarie per la gestione di IAM Identity Center che facilitano le sessioni con riconoscimento dell'identità.

  • Le ssm autorizzazioni sono necessarie per l'integrazione di SSM Ops Item con la gestione dei problemi di terze parti.

  • Le iam autorizzazioni sono necessarie affinché gli amministratori possano passare i ruoli IAM ai ssm.integrations servizi and aiops e il ruolo viene successivamente utilizzato dall'assistente per analizzare le risorse AWS

    Importante

    Queste autorizzazioni consentono agli utenti con questa policy di trasferire qualsiasi ruolo IAM ai servizi and. aiops ssm.integrations

  • Consente l'utilizzo APIs di servizi esterni CloudWatch alle indagini, necessari per la funzionalità delle funzionalità di indagine. Queste includono azioni di configurazione Amazon Q Sviluppatore di applicazioni di chat AWS KMS, CloudTrail percorsi e gestione dei problemi tramite SSM di terze parti.

Di seguito sono riportati i contenuti della AIOpsConsoleAdminPolicypolitica.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AIOpsAdmin", "Effect": "Allow", "Action": [ "aiops:*" ], "Resource": "*" }, { "Sid": "OrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Sid": "SSOApplicationManagement", "Effect": "Allow", "Action": [ "sso:PutApplicationAccessScope", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationGrant", "sso:PutApplicationAuthenticationMethod", "sso:DeleteApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaLast": "aiops.amazonaws.com", "aws:ResourceTag/ManagedByAmazonAIOperations": "true" } } }, { "Sid": "SSOApplicationTagManagement", "Effect": "Allow", "Action": [ "sso:CreateApplication", "sso:TagResource" ], "Resource": [ "arn:aws:sso:::instance/*", "arn:aws:sso::aws:applicationProvider/aiops" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "aiops.amazonaws.com", "aws:RequestTag/ManagedByAmazonAIOperations": "true" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "ManagedByAmazonAIOperations" ] } } }, { "Sid": "SSOTagManagement", "Effect": "Allow", "Action": [ "sso:TagResource" ], "Resource": "arn:aws:sso::*:application/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "aiops.amazonaws.com", "aws:ResourceTag/ManagedByAmazonAIOperations": "true" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "ManagedByAmazonAIOperations" ] } } }, { "Sid": "SSOManagementAccess", "Effect": "Allow", "Action": [ "identitystore:DescribeUser", "sso:ListApplications", "sso:ListInstances", "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:DescribeInstance", "sso:GetSSOStatus", "sso-directory:DescribeUsers" ], "Resource": "*" }, { "Sid": "AllowSTSContextSetting", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" }, { "Sid": "IdentityPropagationAccess", "Effect": "Allow", "Action": [ "signin:ListTrustedIdentityPropagationApplicationsForConsole" ], "Resource": "*" }, { "Sid": "CloudtrailAccess", "Effect": "Allow", "Action": [ "cloudtrail:ListTrails", "cloudtrail:DescribeTrails", "cloudtrail:ListEventDataStores" ], "Resource": "*" }, { "Sid": "KMSAccess", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Sid": "SSMIntegrationSecretsManagerAccess", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:aws/ssm/3p/*" }, { "Sid": "SSMIntegrationAccess", "Effect": "Allow", "Action": [ "ssm:GetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:*:*:servicesetting/integrations/*" }, { "Sid": "SSMIntegrationCreatePolicy", "Effect": "Allow", "Action": [ "iam:CreatePolicy" ], "Resource": "arn:aws:iam::*:policy/service-role/AWSServiceRoleSSMIntegrationsPolicy*" }, { "Sid": "ChatbotConfigurations", "Effect": "Allow", "Action": [ "chatbot:DescribeChimeWebhookConfigurations", "chatbot:DescribeSlackWorkspaces", "chatbot:DescribeSlackChannelConfigurations", "chatbot:ListMicrosoftTeamsChannelConfigurations", "chatbot:ListMicrosoftTeamsConfiguredTeams" ], "Resource": "*" }, { "Sid": "IAMPassRoleToAIOps", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "aiops.amazonaws.com" } } }, { "Sid": "IAMListRoles", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "TagBoundaryPermission", "Effect": "Allow", "Action": [ "tag:GetTagKeys" ], "Resource": "*" }, { "Sid": "IAMPassRoleToSSMIntegration", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "ssm.integrations.amazonaws.com" }, "ArnEquals": { "iam:AssociatedResourceArn": "arn:aws:aiops:*:*:investigation-group/*" } } }, { "Sid": "SSMOpsItemAccess", "Effect": "Allow", "Action": [ "ssm:CreateOpsItem", "ssm:AddTagsToResource" ], "Resource": "arn:*:ssm:*:*:opsitem/*", "Condition": { "StringEquals": { "aws:RequestTag/Integration": "CloudWatch", "aws:ResourceTag/Integration": "CloudWatch" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "Integration" ] } } }, { "Sid": "CreateAIOpsCrossAccountAssistantPolicy", "Effect": "Allow", "Action": [ "iam:CreatePolicy" ], "Resource": "arn:aws:iam::*:policy/AIOpsCrossAccountAssistantPolicy*" } ] }

AIOpsOperatorAccess

La AIOpsOperatorAccesspolitica consente l'accesso a una serie limitata di CloudWatch indagini APIs che includono la creazione, l'aggiornamento e l'eliminazione di indagini, eventi investigativi e risorse investigative.

Questa politica fornisce solo l'accesso alle indagini. Dovresti assicurarti che i responsabili IAM che aderiscono a questa policy dispongano anche delle autorizzazioni per leggere dati di CloudWatch osservabilità come metriche e risultati delle query di log SLOs. CloudWatch

  • Le aiops autorizzazioni consentono l'accesso alle CloudWatch indagini per creare, aggiornare ed APIs eliminare indagini.

  • Le sts autorizzazioni ssoidentitystore, e consentono le azioni necessarie per la gestione di IAM Identity Center che facilitano le sessioni con riconoscimento dell'identità.

  • Le ssm autorizzazioni sono necessarie per l'integrazione di SSM Ops Item con la gestione dei problemi di terze parti.

Di seguito sono riportati i contenuti della AIOpsOperatorAccesspolitica.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AIOpsOperatorAccess", "Effect": "Allow", "Action": [ "aiops:CreateInvestigation", "aiops:CreateInvestigationEvent", "aiops:CreateInvestigationResource", "aiops:DeleteInvestigation", "aiops:Get*", "aiops:List*", "aiops:UpdateInvestigation", "aiops:UpdateInvestigationEvent", "aiops:ValidateInvestigationGroup" ], "Resource": "*" }, { "Sid": "SSOManagementAccess", "Effect": "Allow", "Action": [ "identitystore:DescribeUser", "sso:DescribeInstance", "sso-directory:DescribeUsers" ], "Resource": "*" }, { "Sid": "AllowSTSContextSetting", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" }, { "Sid": "SSMSettingServiceIntegration", "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "arn:aws:ssm:*:*:servicesetting/integrations/*" }, { "Sid": "SSMIntegrationTagAccess", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource", "ssm:CreateOpsItem" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/Integration": [ "CloudWatch" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "Integration" } } }, { "Sid": "SSMOpsItemIntegration", "Effect": "Allow", "Action": [ "ssm:DeleteOpsItem", "ssm:UpdateOpsItem" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Integration": [ "CloudWatch" ] } } }, { "Sid": "SSMTagOperation", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:ssm:*:*:opsitem/*", "Condition": { "StringEquals": { "aws:ResourceTag/Integration": [ "CloudWatch" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "Integration" } } }, { "Sid": "SSMOpsSummaryIntegration", "Effect": "Allow", "Action": [ "ssm:GetOpsSummary" ], "Resource": "*" } ] }

AIOpsReadOnlyAccess

La AIOpsReadOnlyAccesspolitica concede autorizzazioni di sola lettura per le CloudWatch indagini e altri servizi correlati.

Di seguito sono riportati i contenuti della politica. AIOpsReadOnlyAccess

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AIOpsReadOnlyAccess", "Effect": "Allow", "Action": [ "aiops:Get*", "aiops:List*" ], "Resource": "*" }, { "Sid": "SSOManagementAccess", "Effect": "Allow", "Action": [ "identitystore:DescribeUser", "sso:DescribeInstance", "sso-directory:DescribeUsers" ], "Resource": "*" } ] }

Politica IAM per CloudWatch le indagini () AIOps AssistantPolicy

La AIOpsAssistantPolicypolitica in questa sezione non deve essere assegnata a utenti o amministratori. Ti affidi invece AIOpsAssistantPolicyad Amazon Q Developer per consentirgli di analizzare AWS le tue risorse durante le indagini sugli eventi operativi. L'ambito di questa policy si basa sulle risorse supportate da Amazon Q Developer durante le indagini e verrà aggiornata man mano che saranno supportate più risorse.

Puoi anche scegliere di assegnare il generale AWS ReadOnlyAccessall'assistente oltre ad assegnarlo. AIOpsAssistantPolicy Il motivo di ciò è che ReadOnlyAccessverrà aggiornato più frequentemente AWS con le autorizzazioni per i nuovi AWS servizi e le azioni che verranno rilasciate. AIOpsAssistantPolicyVerrà inoltre aggiornato per nuove azioni, ma non così frequentemente.

Di seguito sono riportati i contenuti della AIOpsAssistantPolicypolitica.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AIOPSServiceAccess", "Effect": "Allow", "Action": [ "access-analyzer:GetAnalyzer", "access-analyzer:List*", "acm-pca:Describe*", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:GetCertificateAuthorityCsr", "acm-pca:List*", "acm:DescribeCertificate", "acm:GetAccountConfiguration", "airflow:List*", "amplify:GetApp", "amplify:GetBranch", "amplify:GetDomainAssociation", "amplify:List*", "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "aoss:BatchGetVpcEndpoint", "aoss:GetAccessPolicy", "aoss:GetSecurityConfig", "aoss:GetSecurityPolicy", "aoss:List*", "appconfig:GetApplication", "appconfig:GetConfigurationProfile", "appconfig:GetEnvironment", "appconfig:GetHostedConfigurationVersion", "appconfig:List*", "appflow:Describe*", "appflow:List*", "application-autoscaling:Describe*", "application-signals:BatchGetServiceLevelObjectiveBudgetReport", "application-signals:GetService", "application-signals:GetServiceLevelObjective", "application-signals:List*", "applicationinsights:Describe*", "applicationinsights:List*", "apprunner:Describe*", "apprunner:List*", "appstream:Describe*", "appstream:List*", "appsync:GetApiAssociation", "appsync:GetDataSource", "appsync:GetDomainName", "appsync:GetFunction", "appsync:GetGraphqlApi", "appsync:GetResolver", "appsync:GetSourceApiAssociation", "appsync:List*", "aps:Describe*", "aps:List*", "arc-zonal-shift:GetManagedResource", "arc-zonal-shift:List*", "athena:GetCapacityAssignmentConfiguration", "athena:GetCapacityReservation", "athena:GetDataCatalog", "athena:GetNamedQuery", "athena:GetPreparedStatement", "athena:GetWorkGroup", "athena:List*", "auditmanager:GetAssessment", "auditmanager:List*", "autoscaling:Describe*", "backup-gateway:GetHypervisor", "backup-gateway:List*", "backup:Describe*", "backup:GetBackupPlan", "backup:GetBackupSelection", "backup:GetBackupVaultAccessPolicy", "backup:GetBackupVaultNotifications", "backup:GetRestoreTestingPlan", "backup:GetRestoreTestingSelection", "backup:List*", "batch:DescribeComputeEnvironments", "batch:DescribeJobQueues", "batch:DescribeSchedulingPolicies", "batch:List*", "bedrock:GetAgent", "bedrock:GetAgentActionGroup", "bedrock:GetAgentAlias", "bedrock:GetAgentKnowledgeBase", "bedrock:GetDataSource", "bedrock:GetGuardrail", "bedrock:GetKnowledgeBase", "bedrock:List*", "budgets:Describe*", "budgets:List*", "ce:Describe*", "ce:GetAnomalyMonitors", "ce:GetAnomalySubscriptions", "ce:List*", "chatbot:Describe*", "chatbot:GetMicrosoftTeamsChannelConfiguration", "chatbot:List*", "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:List*", "cleanrooms:GetAnalysisTemplate", "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetConfiguredTableAssociation", "cleanrooms:GetMembership", "cleanrooms:List*", "cloudformation:Describe*", "cloudformation:GetResource", "cloudformation:GetStackPolicy", "cloudformation:GetTemplate", "cloudformation:List*", "cloudfront:Describe*", "cloudfront:GetCachePolicy", "cloudfront:GetCloudFrontOriginAccessIdentity", "cloudfront:GetContinuousDeploymentPolicy", "cloudfront:GetDistribution", "cloudfront:GetDistributionConfig", "cloudfront:GetFunction", "cloudfront:GetKeyGroup", "cloudfront:GetMonitoringSubscription", "cloudfront:GetOriginAccessControl", "cloudfront:GetOriginRequestPolicy", "cloudfront:GetPublicKey", "cloudfront:GetRealtimeLogConfig", "cloudfront:GetResponseHeadersPolicy", "cloudfront:List*", "cloudtrail:Describe*", "cloudtrail:GetChannel", "cloudtrail:GetEventDataStore", "cloudtrail:GetEventSelectors", "cloudtrail:GetInsightSelectors", "cloudtrail:GetQueryResults", "cloudtrail:GetResourcePolicy", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:List*", "cloudtrail:LookupEvents", "cloudtrail:StartQuery", "cloudwatch:Describe*", "cloudwatch:GenerateQuery", "cloudwatch:GetDashboard", "cloudwatch:GetInsightRuleReport", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStream", "cloudwatch:GetService", "cloudwatch:GetServiceLevelObjective", "cloudwatch:List*", "codeartifact:Describe*", "codeartifact:GetDomainPermissionsPolicy", "codeartifact:GetRepositoryPermissionsPolicy", "codeartifact:List*", "codebuild:BatchGetFleets", "codebuild:List*", "codecommit:GetRepository", "codecommit:GetRepositoryTriggers", "codedeploy:BatchGetDeployments", "codedeploy:BatchGetDeploymentTargets", "codedeploy:GetApplication", "codedeploy:GetDeploymentConfig", "codedeploy:List*", "codeguru-profiler:Describe*", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:List*", "codeguru-reviewer:Describe*", "codeguru-reviewer:List*", "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:List*", "codestar-connections:GetConnection", "codestar-connections:GetRepositoryLink", "codestar-connections:GetSyncConfiguration", "codestar-connections:List*", "codestar-notifications:Describe*", "codestar-notifications:List*", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:ListIdentityPools", "cognito-identity:ListTagsForResource", "cognito-idp:AdminListGroupsForUser", "cognito-idp:DescribeIdentityProvider", "cognito-idp:DescribeResourceServer", "cognito-idp:DescribeRiskConfiguration", "cognito-idp:DescribeUserImportJob", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolDomain", "cognito-idp:GetGroup", "cognito-idp:GetLogDeliveryConfiguration", "cognito-idp:GetUICustomization", "cognito-idp:GetUserPoolMfaConfig", "cognito-idp:GetWebACLForResource", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListResourceServers", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListTagsForResource", "comprehend:Describe*", "comprehend:List*", "config:Describe*", "config:GetStoredQuery", "config:List*", "connect:Describe*", "connect:GetTaskTemplate", "connect:List*", "databrew:Describe*", "databrew:List*", "datapipeline:Describe*", "datapipeline:GetPipelineDefinition", "datapipeline:List*", "datasync:Describe*", "datasync:List*", "deadline:GetFarm", "deadline:GetFleet", "deadline:GetLicenseEndpoint", "deadline:GetMonitor", "deadline:GetQueue", "deadline:GetQueueEnvironment", "deadline:GetQueueFleetAssociation", "deadline:GetStorageProfile", "deadline:List*", "detective:GetMembers", "detective:List*", "devicefarm:GetDevicePool", "devicefarm:GetInstanceProfile", "devicefarm:GetNetworkProfile", "devicefarm:GetProject", "devicefarm:GetTestGridProject", "devicefarm:GetVPCEConfiguration", "devicefarm:List*", "devops-guru:Describe*", "devops-guru:GetResourceCollection", "devops-guru:List*", "dms:Describe*", "dms:List*", "ds:Describe*", "dynamodb:Describe*", "dynamodb:GetResourcePolicy", "dynamodb:List*", "ec2:Describe*", "ec2:GetAssociatedEnclaveCertificateIamRoles", "ec2:GetIpamPoolAllocations", "ec2:GetIpamPoolCidrs", "ec2:GetManagedPrefixListEntries", "ec2:GetNetworkInsightsAccessScopeContent", "ec2:GetSnapshotBlockPublicAccessState", "ec2:GetTransitGatewayMulticastDomainAssociations", "ec2:GetTransitGatewayRouteTableAssociations", "ec2:GetTransitGatewayRouteTablePropagations", "ec2:GetVerifiedAccessEndpointPolicy", "ec2:GetVerifiedAccessGroupPolicy", "ec2:GetVerifiedAccessInstanceWebAcl", "ec2:SearchLocalGatewayRoutes", "ec2:SearchTransitGatewayRoutes", "ecr:Describe*", "ecr:GetLifecyclePolicy", "ecr:GetRegistryPolicy", "ecr:GetRepositoryPolicy", "ecr:List*", "ecs:Describe*", "ecs:List*", "eks:Describe*", "eks:List*", "elasticache:Describe*", "elasticache:List*", "elasticbeanstalk:Describe*", "elasticbeanstalk:List*", "elasticfilesystem:Describe*", "elasticloadbalancing:Describe*", "elasticmapreduce:Describe*", "elasticmapreduce:List*", "emr-containers:Describe*", "emr-containers:List*", "emr-serverless:GetApplication", "emr-serverless:List*", "es:Describe*", "es:List*", "events:Describe*", "events:List*", "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:GetSegment", "evidently:List*", "firehose:Describe*", "firehose:List*", "fis:GetExperimentTemplate", "fis:GetTargetAccountConfiguration", "fis:List*", "fms:GetNotificationChannel", "fms:GetPolicy", "fms:List*", "forecast:Describe*", "forecast:List*", "frauddetector:BatchGetVariable", "frauddetector:Describe*", "frauddetector:GetDetectors", "frauddetector:GetDetectorVersion", "frauddetector:GetEntityTypes", "frauddetector:GetEventTypes", "frauddetector:GetExternalModels", "frauddetector:GetLabels", "frauddetector:GetListElements", "frauddetector:GetListsMetadata", "frauddetector:GetModelVersion", "frauddetector:GetOutcomes", "frauddetector:GetRules", "frauddetector:GetVariables", "frauddetector:List*", "fsx:Describe*", "gamelift:Describe*", "gamelift:List*", "globalaccelerator:Describe*", "globalaccelerator:List*", "glue:GetDatabase", "glue:GetDatabases", "glue:GetJob", "glue:GetRegistry", "glue:GetSchema", "glue:GetSchemaVersion", "glue:GetTable", "glue:GetTags", "glue:GetTrigger", "glue:List*", "glue:querySchemaVersionMetadata", "grafana:Describe*", "grafana:List*", "greengrass:Describe*", "greengrass:GetDeployment", "greengrass:List*", "groundstation:GetConfig", "groundstation:GetDataflowEndpointGroup", "groundstation:GetMissionProfile", "groundstation:List*", "guardduty:GetDetector", "guardduty:GetFilter", "guardduty:GetIPSet", "guardduty:GetMalwareProtectionPlan", "guardduty:GetMasterAccount", "guardduty:GetMembers", "guardduty:GetThreatIntelSet", "guardduty:List*", "health:DescribeEvents", "health:DescribeEventDetails", "healthlake:Describe*", "healthlake:List*", "iam:GetGroup", "iam:GetGroupPolicy", "iam:GetInstanceProfile", "iam:GetLoginProfile", "iam:GetOpenIDConnectProvider", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "iam:GetRolePolicy", "iam:GetSAMLProvider", "iam:GetServerCertificate", "iam:GetServiceLinkedRoleDeletionStatus", "iam:GetUser", "iam:GetUserPolicy", "iam:ListAttachedRolePolicies", "iam:ListOpenIDConnectProviders", "iam:ListRolePolicies", "iam:ListRoles", "iam:ListServerCertificates", "iam:ListVirtualMFADevices", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "imagebuilder:GetDistributionConfiguration", "imagebuilder:GetImage", "imagebuilder:GetImagePipeline", "imagebuilder:GetImageRecipe", "imagebuilder:GetInfrastructureConfiguration", "imagebuilder:GetLifecyclePolicy", "imagebuilder:GetWorkflow", "imagebuilder:List*", "inspector2:List*", "inspector:Describe*", "inspector:List*", "internetmonitor:GetMonitor", "internetmonitor:List*", "iot:Describe*", "iot:GetPackage", "iot:GetPackageVersion", "iot:GetPolicy", "iot:GetThingShadow", "iot:GetTopicRule", "iot:GetTopicRuleDestination", "iot:GetV2LoggingOptions", "iot:List*", "iotanalytics:Describe*", "iotanalytics:List*", "iotevents:Describe*", "iotevents:List*", "iotfleethub:Describe*", "iotfleethub:List*", "iotsitewise:Describe*", "iotsitewise:List*", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:GetNetworkAnalyzerConfiguration", "iotwireless:GetServiceProfile", "iotwireless:GetWirelessDevice", "iotwireless:GetWirelessGateway", "iotwireless:GetWirelessGatewayTaskDefinition", "iotwireless:List*", "ivs:GetChannel", "ivs:GetEncoderConfiguration", "ivs:GetPlaybackRestrictionPolicy", "ivs:GetRecordingConfiguration", "ivs:GetStage", "ivs:List*", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom", "ivschat:List*", "kafka:Describe*", "kafka:GetClusterPolicy", "kafka:List*", "kafkaconnect:Describe*", "kafkaconnect:List*", "kendra:Describe*", "kendra:List*", "kinesis:Describe*", "kinesis:List*", "kinesisanalytics:Describe*", "kinesisanalytics:List*", "kinesisvideo:Describe*", "kms:DescribeKey", "kms:ListResourceTags", "kms:ListKeys", "lakeformation:Describe*", "lakeformation:GetLFTag", "lakeformation:GetResourceLFTags", "lakeformation:List*", "lambda:GetAlias", "lambda:GetCodeSigningConfig", "lambda:GetEventSourceMapping", "lambda:GetFunction", "lambda:GetFunctionCodeSigningConfig", "lambda:GetFunctionConfiguration", "lambda:GetFunctionEventInvokeConfig", "lambda:GetFunctionRecursionConfig", "lambda:GetFunctionUrlConfig", "lambda:GetLayerVersion", "lambda:GetLayerVersionPolicy", "lambda:GetPolicy", "lambda:GetProvisionedConcurrencyConfig", "lambda:GetRuntimeManagementConfig", "lambda:List*", "launchwizard:GetDeployment", "launchwizard:List*", "lex:Describe*", "lex:List*", "license-manager:GetLicense", "license-manager:List*", "lightsail:GetAlarms", "lightsail:GetBuckets", "lightsail:GetCertificates", "lightsail:GetContainerServices", "lightsail:GetDisk", "lightsail:GetDisks", "lightsail:GetInstance", "lightsail:GetInstances", "lightsail:GetLoadBalancer", "lightsail:GetLoadBalancers", "lightsail:GetLoadBalancerTlsCertificates", "lightsail:GetStaticIp", "lightsail:GetStaticIps", "logs:Describe*", "logs:FilterLogEvents", "logs:GetDataProtectionPolicy", "logs:GetDelivery", "logs:GetDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:GetDeliverySource", "logs:GetLogAnomalyDetector", "logs:GetLogDelivery", "logs:GetQueryResults", "logs:List*", "logs:StartQuery", "logs:StopLiveTail", "logs:StopQuery", "logs:TestMetricFilter", "lookoutmetrics:Describe*", "lookoutmetrics:List*", "lookoutvision:Describe*", "lookoutvision:List*", "m2:GetApplication", "m2:GetEnvironment", "m2:List*", "macie2:GetAllowList", "macie2:GetCustomDataIdentifier", "macie2:GetFindingsFilter", "macie2:GetMacieSession", "macie2:List*", "mediaconnect:Describe*", "mediaconnect:List*", "medialive:Describe*", "medialive:GetCloudWatchAlarmTemplate", "medialive:GetCloudWatchAlarmTemplateGroup", "medialive:GetEventBridgeRuleTemplate", "medialive:GetEventBridgeRuleTemplateGroup", "medialive:GetSignalMap", "medialive:List*", "mediapackage-vod:Describe*", "mediapackage-vod:List*", "mediapackage:Describe*", "mediapackage:List*", "mediapackagev2:GetChannel", "mediapackagev2:GetChannelGroup", "mediapackagev2:GetChannelPolicy", "mediapackagev2:GetOriginEndpoint", "mediapackagev2:GetOriginEndpointPolicy", "mediapackagev2:List*", "memorydb:Describe*", "memorydb:List*", "mobiletargeting:GetInAppTemplate", "mobiletargeting:List*", "mq:Describe*", "mq:List*", "network-firewall:Describe*", "network-firewall:List*", "networkmanager:Describe*", "networkmanager:GetConnectAttachment", "networkmanager:GetConnectPeer", "networkmanager:GetCoreNetwork", "networkmanager:GetCoreNetworkPolicy", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetDevices", "networkmanager:GetLinkAssociations", "networkmanager:GetLinks", "networkmanager:GetSites", "networkmanager:GetSiteToSiteVpnAttachment", "networkmanager:GetTransitGatewayPeering", "networkmanager:GetTransitGatewayRegistrations", "networkmanager:GetTransitGatewayRouteTableAttachment", "networkmanager:GetVpcAttachment", "networkmanager:List*", "nimble:GetLaunchProfile", "nimble:GetStreamingImage", "nimble:GetStudio", "nimble:GetStudioComponent", "nimble:List*", "oam:GetLink", "oam:GetSink", "oam:GetSinkPolicy", "oam:List*", "omics:GetAnnotationStore", "omics:GetReferenceStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:GetWorkflow", "omics:List*", "opsworks-cm:Describe*", "opsworks-cm:List*", "organizations:Describe*", "organizations:List*", "osis:GetPipeline", "osis:List*", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:List*", "pca-connector-ad:GetConnector", "pca-connector-ad:GetDirectoryRegistration", "pca-connector-ad:GetServicePrincipalName", "pca-connector-ad:GetTemplate", "pca-connector-ad:GetTemplateGroupAccessControlEntry", "pca-connector-ad:List*", "pca-connector-scep:GetChallengeMetadata", "pca-connector-scep:GetConnector", "pca-connector-scep:List*", "personalize:Describe*", "personalize:List*", "pipes:Describe*", "pipes:List*", "proton:GetEnvironmentTemplate", "proton:GetServiceTemplate", "proton:List*", "qbusiness:GetApplication", "qbusiness:GetDataSource", "qbusiness:GetIndex", "qbusiness:GetPlugin", "qbusiness:GetRetriever", "qbusiness:GetWebExperience", "qbusiness:List*", "qldb:Describe*", "qldb:List*", "ram:GetPermission", "ram:List*", "rds:Describe*", "rds:List*", "redshift-serverless:GetNamespace", "redshift-serverless:GetWorkgroup", "redshift-serverless:List*", "redshift:Describe*", "refactor-spaces:GetApplication", "refactor-spaces:GetEnvironment", "refactor-spaces:GetRoute", "refactor-spaces:List*", "rekognition:Describe*", "rekognition:List*", "resiliencehub:Describe*", "resiliencehub:List*", "resource-explorer-2:GetDefaultView", "resource-explorer-2:GetIndex", "resource-explorer-2:GetView", "resource-explorer-2:List*", "resource-groups:GetGroup", "resource-groups:GetGroupConfiguration", "resource-groups:GetGroupQuery", "resource-groups:GetTags", "resource-groups:List*", "robomaker:Describe*", "robomaker:List*", "route53-recovery-control-config:Describe*", "route53-recovery-control-config:List*", "route53-recovery-readiness:GetCell", "route53-recovery-readiness:GetReadinessCheck", "route53-recovery-readiness:GetRecoveryGroup", "route53-recovery-readiness:GetResourceSet", "route53-recovery-readiness:List*", "route53:GetDNSSEC", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:List*", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:GetProfileResourceAssociation", "route53profiles:List*", "route53resolver:GetFirewallDomainList", "route53resolver:GetFirewallRuleGroup", "route53resolver:GetFirewallRuleGroupAssociation", "route53resolver:GetOutpostResolver", "route53resolver:GetResolverConfig", "route53resolver:GetResolverQueryLogConfig", "route53resolver:GetResolverQueryLogConfigAssociation", "route53resolver:GetResolverRule", "route53resolver:GetResolverRuleAssociation", "route53resolver:List*", "rum:GetAppMonitor", "rum:List*", "s3-outposts:GetAccessPoint", "s3-outposts:GetAccessPointPolicy", "s3-outposts:GetBucket", "s3-outposts:GetBucketPolicy", "s3-outposts:GetBucketTagging", "s3-outposts:GetLifecycleConfiguration", "s3-outposts:List*", "s3:GetAccelerateConfiguration", "s3:GetAccessGrant", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:GetAccessPoint", "s3:GetAccessPointConfigurationForObjectLambda", "s3:GetAccessPointForObjectLambda", "s3:GetAccessPointPolicy", "s3:GetAccessPointPolicyForObjectLambda", "s3:GetAccessPointPolicyStatusForObjectLambda", "s3:GetAnalyticsConfiguration", "s3:GetBucketAcl", "s3:GetBucketCORS", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketNotification", "s3:GetBucketObjectLockConfiguration", "s3:GetBucketOwnershipControls", "s3:GetBucketPolicy", "s3:GetBucketPublicAccessBlock", "s3:GetBucketTagging", "s3:GetBucketVersioning", "S3:GetBucketWebsite", "s3:GetEncryptionConfiguration", "s3:GetIntelligentTieringConfiguration", "s3:GetInventoryConfiguration", "s3:GetLifecycleConfiguration", "s3:GetMetricsConfiguration", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:GetReplicationConfiguration", "s3:GetStorageLensConfiguration", "s3:GetStorageLensConfigurationTagging", "s3:GetStorageLensGroup", "s3:List*", "sagemaker:Describe*", "sagemaker:List*", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:List*", "schemas:Describe*", "schemas:GetResourcePolicy", "schemas:List*", "secretsmanager:Describe*", "secretsmanager:GetResourcePolicy", "secretsmanager:List*", "securityhub:BatchGetAutomationRules", "securityhub:BatchGetSecurityControls", "securityhub:Describe*", "securityhub:GetConfigurationPolicy", "securityhub:GetConfigurationPolicyAssociation", "securityhub:GetEnabledStandards", "securityhub:GetFindingAggregator", "securityhub:GetInsights", "securityhub:List*", "securitylake:GetSubscriber", "securitylake:List*", "servicecatalog:Describe*", "servicecatalog:GetApplication", "servicecatalog:GetAttributeGroup", "servicecatalog:List*", "servicequotas:GetServiceQuota", "ses:Describe*", "ses:GetAccount", "ses:GetAddonInstance", "ses:GetAddonSubscription", "ses:GetArchive", "ses:GetConfigurationSet", "ses:GetConfigurationSetEventDestinations", "ses:GetContactList", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", "ses:GetEmailIdentity", "ses:GetEmailTemplate", "ses:GetIngressPoint", "ses:GetRelay", "ses:GetRuleSet", "ses:GetTemplate", "ses:GetTrafficPolicy", "ses:List*", "shield:Describe*", "shield:List*", "signer:GetSigningProfile", "signer:List*", "sns:GetDataProtectionPolicy", "sns:GetSubscriptionAttributes", "sns:GetTopicAttributes", "sns:List*", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:List*", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:List*", "ssm-incidents:GetReplicationSet", "ssm-incidents:GetResponsePlan", "ssm-incidents:List*", "ssm-sap:GetApplication", "ssm-sap:List*", "ssm:Describe*", "ssm:GetDefaultPatchBaseline", "ssm:GetDocument", "ssm:GetParameters", "ssm:GetPatchBaseline", "ssm:GetResourcePolicies", "ssm:List*", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetPermissionsBoundaryForPermissionSet", "sso:GetSharedSsoConfiguration", "sso:ListAccountAssignments", "sso:ListApplicationAssignments", "sso:ListApplications", "sso:ListCustomerManagedPolicyReferencesInPermissionSet", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListTagsForResource", "states:Describe*", "states:List*", "synthetics:Describe*", "synthetics:GetCanary", "synthetics:GetGroup", "synthetics:List*", "tag:GetResources", "timestream:Describe*", "timestream:List*", "transfer:Describe*", "transfer:List*", "verifiedpermissions:GetIdentitySource", "verifiedpermissions:GetPolicy", "verifiedpermissions:GetPolicyStore", "verifiedpermissions:GetPolicyTemplate", "verifiedpermissions:GetSchema", "verifiedpermissions:List*", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetAuthPolicy", "vpc-lattice:GetListener", "vpc-lattice:GetResourcePolicy", "vpc-lattice:GetRule", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetServiceNetworkServiceAssociation", "vpc-lattice:GetServiceNetworkVpcAssociation", "vpc-lattice:GetTargetGroup", "vpc-lattice:List*", "wafv2:GetIPSet", "wafv2:GetLoggingConfiguration", "wafv2:GetRegexPatternSet", "wafv2:GetRuleGroup", "wafv2:GetWebACL", "wafv2:GetWebACLForResource", "wafv2:List*", "workspaces-web:GetBrowserSettings", "workspaces-web:GetIdentityProvider", "workspaces-web:GetNetworkSettings", "workspaces-web:GetPortal", "workspaces-web:GetPortalServiceProviderMetadata", "workspaces-web:GetTrustStore", "workspaces-web:GetUserAccessLoggingSettings", "workspaces-web:GetUserSettings", "workspaces-web:List*", "workspaces:Describe*", "xray:BatchGetTraces", "xray:GetGroup", "xray:GetGroups", "xray:GetSamplingRules", "xray:GetServiceGraph", "xray:GetTraceSummaries", "xray:List*" ], "Resource": "*" }, { "Sid": "AIOPSS3AccessForAmplify", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:GetObjectAcl" ], "Resource": [ "arn:aws:s3:::amplify", "arn:aws:s3:::cdk--assets--*" ], "Condition": { "StringEquals": { "aws:ViaAWSService": [ "amplify.amazonaws.com" ], "aws:PrincipalAccount": [ "${aws:ResourceAccount}" ] } } }, { "Sid": "AIOPSAPIGatewayAccess", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/restapis/*/deployments", "arn:aws:apigateway:*::/restapis/*/deployments/*", "arn:aws:apigateway:*::/restapis/*/resources/*/methods/*/integrations", "arn:aws:apigateway:*::/restapis/*/resources/*/methods/*/integrations/*", "arn:aws:apigateway:*::/restapis/*/stages", "arn:aws:apigateway:*::/restapis/*/stages/*", "arn:aws:apigateway:*::/apis", "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/apis/*/deployments", "arn:aws:apigateway:*::/apis/*/deployments/*", "arn:aws:apigateway:*::/apis/*/integrations", "arn:aws:apigateway:*::/apis/*/integrations/*", "arn:aws:apigateway:*::/apis/*/stages", "arn:aws:apigateway:*::/apis/*/stages/*" ] } ] }

AWS politiche gestite (predefinite) per CloudWatch Application Signals

Le politiche di questa sezione concedono le autorizzazioni relative ad CloudWatch Application Signals. Per ulteriori informazioni, consulta Application Signals.

CloudWatchApplicationSignalsReadOnlyAccess

AWS ha aggiunto la policy IAM CloudWatchApplicationSignalsReadOnlyAccessgestita. Questa policy garantisce l'accesso in sola lettura alle azioni e alle risorse disponibili per gli utenti nella CloudWatch console sotto Application Signals. Include application-signals: politiche che consentono agli utenti di utilizzare i segnali CloudWatch dell'applicazione per visualizzare, esaminare e monitorare lo stato dei propri servizi. Include una iam:GetRole policy per consentire agli utenti di recuperare informazioni su un ruolo IAM. Include logs: politiche per avviare e interrompere le query, recuperare la configurazione per un filtro metrico e ottenere i risultati delle query. Include cloudwatch: politiche che consentono agli utenti di ottenere informazioni su un CloudWatch allarme o sulle metriche. Include synthetics: politiche che consentono agli utenti di recuperare informazioni sulle piste Synthetics Canary. Include rum: politiche per eseguire operazioni batch, recuperare dati e aggiornare le definizioni delle metriche per i client RUM. Include una xray: politica per recuperare i riepiloghi delle tracce.

Di seguito sono riportati i contenuti della CloudWatchApplicationSignalsReadOnlyAccesspolitica.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchApplicationSignalsReadOnlyAccessPermissions", "Effect": "Allow", "Action": [ "application-signals:BatchGetServiceLevelObjectiveBudgetReport", "application-signals:GetService", "application-signals:GetServiceLevelObjective", "application-signals:ListServiceLevelObjectives", "application-signals:ListServiceDependencies", "application-signals:ListServiceDependents", "application-signals:ListServiceOperations", "application-signals:ListServices", "application-signals:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" }, { "Sid": "CloudWatchApplicationSignalsLogGroupPermissions", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" }, { "Sid": "CloudWatchApplicationSignalsLogsPermissions", "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:GetQueryResults" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsAlarmsReadPermissions", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsMetricsReadPermissions", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsSyntheticsReadPermissions", "Effect": "Allow", "Action": [ "synthetics:DescribeCanaries", "synthetics:DescribeCanariesLastRun", "synthetics:GetCanaryRuns" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsRumReadPermissions", "Effect": "Allow", "Action": [ "rum:BatchGetRumMetricDefinitions", "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsXrayReadPermissions", "Effect": "Allow", "Action": [ "xray:GetTraceSummaries" ], "Resource": "*" } ] }

CloudWatchApplicationSignalsFullAccess

AWS ha aggiunto la policy IAM CloudWatchApplicationSignalsFullAccessgestita. Questa policy garantisce l'accesso a tutte le azioni e le risorse disponibili per gli utenti nella CloudWatch console. Include application-signals: politiche che consentono agli utenti di utilizzare i segnali CloudWatch dell'applicazione per visualizzare, esaminare e monitorare lo stato dei propri servizi. Utilizza cloudwatch: le politiche per recuperare i dati da metriche e allarmi. Utilizza logs: le politiche per gestire le interrogazioni e i filtri. Utilizza synthetics: politiche in modo che gli utenti possano recuperare informazioni sulle corse di Synthetics Canary. Include rum: politiche per eseguire operazioni batch, recuperare dati e aggiornare le definizioni delle metriche per i client RUM. Include una xray: politica per recuperare i riepiloghi delle tracce. Include arn:aws:cloudwatch:*:*:alarm: politiche che consentono agli utenti di recuperare informazioni su un allarme SLO (Service Level Objective). Include iam: politiche per la gestione dei ruoli IAM. Utilizza sns: le policy per creare, elencare e sottoscrivere un argomento di Amazon SNS.

Di seguito sono riportati i contenuti della CloudWatchApplicationSignalsFullAccesspolicy.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchApplicationSignalsFullAccessPermissions", "Effect": "Allow", "Action": "application-signals:*", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsAlarmsPermissions", "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsMetricsPermissions", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsLogGroupPermissions", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" }, { "Sid": "CloudWatchApplicationSignalsLogsPermissions", "Effect": "Allow", "Action": [ "logs:StopQuery", "logs:GetQueryResults" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsSyntheticsPermissions", "Effect": "Allow", "Action": [ "synthetics:DescribeCanaries", "synthetics:DescribeCanariesLastRun", "synthetics:GetCanaryRuns" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsRumPermissions", "Effect": "Allow", "Action": [ "rum:BatchCreateRumMetricDefinitions", "rum:BatchDeleteRumMetricDefinitions", "rum:BatchGetRumMetricDefinitions", "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors", "rum:PutRumMetricsDestination", "rum:UpdateRumMetricDefinition" ], "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsXrayPermissions", "Effect": "Allow", "Action": "xray:GetTraceSummaries", "Resource": "*" }, { "Sid": "CloudWatchApplicationSignalsPutMetricAlarmPermissions", "Effect": "Allow", "Action": "cloudwatch:PutMetricAlarm", "Resource": [ "arn:aws:cloudwatch:*:*:alarm:SLO-AttainmentGoalAlarm-*", "arn:aws:cloudwatch:*:*:alarm:SLO-WarningAlarm-*", "arn:aws:cloudwatch:*:*:alarm:SLI-HealthAlarm-*" ] }, { "Sid": "CloudWatchApplicationSignalsCreateServiceLinkedRolePermissions", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals", "Condition": { "StringLike": { "iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com" } } }, { "Sid": "CloudWatchApplicationSignalsGetRolePermissions", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals" }, { "Sid": "CloudWatchApplicationSignalsSnsWritePermissions", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe" ], "Resource": "arn:aws:sns:*:*:cloudwatch-application-signals-*" }, { "Sid": "CloudWatchApplicationSignalsSnsReadPermissions", "Effect": "Allow", "Action": "sns:ListTopics", "Resource": "*" } ] }

CloudWatchLambdaApplicationSignalsExecutionRolePolicy

Questa policy viene utilizzata quando CloudWatch Application Signals è abilitato per i carichi di lavoro Lambda. Consente l'accesso in scrittura a X-Ray e al gruppo di log utilizzato da CloudWatch Application Signals.

Di seguito sono riportati i contenuti della CloudWatchLambdaApplicationSignalsExecutionRolePolicypolitica.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudWatchApplicationSignalsXrayWritePermissions", "Effect": "Allow", "Action": [ "xray:PutTraceSegments" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CloudWatchApplicationSignalsLogGroupWritePermissions", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

AWS politiche gestite (predefinite) per CloudWatch Synthetics

Le policy CloudWatchSyntheticsReadOnlyAccess AWS gestite sono disponibili CloudWatchSyntheticsFullAccesse possono essere assegnate agli utenti che gestiranno o utilizzeranno CloudWatch Synthetics. Sono rilevanti anche le seguenti policy aggiuntive:

  • AmazonS3 ReadOnlyAccess e CloudWatchReadOnlyAccess: sono necessari per leggere tutti i dati Synthetics nella console. CloudWatch

  • AWSLambdaReadOnlyAccess— Necessario per visualizzare il codice sorgente usato dai canarini.

  • CloudWatchSyntheticsFullAccess— Consente di creare canarini. Inoltre, per creare ed eliminare canarini a cui è stato creato un nuovo ruolo IAM, è necessaria la seguente dichiarazione politica in linea:

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "synthetics:*" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource":[ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect":"Allow", "Action":[ "iam:ListRoles", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:GetObject", "s3:ListBucket" ], "Resource":"arn:aws:s3:::cw-syn-*" }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersion" ], "Resource":"arn:aws:s3:::aws-synthetics-library-*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition":{ "StringEquals":{ "iam:PassedToService":[ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect":"Allow", "Action":[ "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect":"Allow", "Action":[ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource":[ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect":"Allow", "Action":[ "cloudwatch:DescribeAlarms" ], "Resource":[ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect":"Allow", "Action":[ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration" ], "Resource":[ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*", "arn:aws:lambda:*:*:layer:Synthetics_Selenium:*", "arn:aws:lambda:*:*:layer:AWS-CW-Synthetics*:*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "sns:ListTopics" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource":[ "arn:*:sns:*:*:Synthetics-*" ] } ] }
    Importante

    La concessione a un utente delle iam:DetachRolePolicy autorizzazioni iam:CreateRole iam:DeleteRoleiam:CreatePolicy,iam:DeletePolicy,,iam:AttachRolePolicy, e consente a tale utente l'accesso amministrativo completo per creare, allegare ed eliminare ruoli e politiche che ARNs corrispondono e. arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole* arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy* Ad esempio, un utente con queste autorizzazioni può creare una policy che dispone di autorizzazioni complete per tutte le risorse e collegare tale policy a qualsiasi ruolo che coincide con il modello ARN. Fai attenzione a chi concedi queste autorizzazioni.

    Per informazioni su come collegare policy e concedere autorizzazioni a utenti, consulta Modifica delle autorizzazioni per un utente IAM e Per incorporare una policy inline per un utente o un ruolo.

CloudWatchSyntheticsFullAccess

Di seguito è riportato il contenuto della CloudWatchSyntheticsFullAccesspolitica.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "synthetics:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "s3:ListAllMyBuckets", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::cw-syn-*" }, { "Effect": "Allow", "Action": [ "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::aws-synthetics-library-*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "logs:GetLogRecord", "logs:DescribeLogStreams", "logs:StartQuery", "logs:GetLogEvents", "logs:FilterLogEvents", "logs:GetLogGroupFields" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/lambda/cwsyn-*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration", "lambda:GetFunction", "lambda:DeleteFunction", "lambda:ListTags", "lambda:TagResource", "lambda:UntagResource" ], "Resource": [ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*", "arn:aws:lambda:*:*:layer:Synthetics_Selenium:*", "arn:aws:lambda:*:*:layer:AWS-CW-Synthetics*:*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }

CloudWatchSyntheticsReadOnlyAccess

Di seguito è riportato il contenuto della CloudWatchSyntheticsReadOnlyAccesspolitica.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }

AWS politiche gestite (predefinite) per Amazon RUM CloudWatch

Le politiche di AmazonCloudWatchRUMFullaccesso e AmazonCloudWatchRUMReadOnlyAccess AWS gestite possono essere assegnate agli utenti che gestiranno o utilizzeranno CloudWatch RUM.

AmazonCloudWatchRUMFullAccesso

Di seguito sono riportati i contenuti della politica di AmazonCloudWatchRUMFullaccesso.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/RUM-Monitor*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "cognito-identity.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "cognito-identity:CreateIdentityPool", "cognito-identity:ListIdentityPools", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:SetIdentityPoolRoles" ], "Resource": "arn:aws:cognito-identity:*:*:identitypool/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:*RUMService*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanaries", "synthetics:describeCanariesLastRun" ], "Resource": "arn:aws:synthetics:*:*:canary:*" } ] }

AmazonCloudWatchRUMReadOnlyAccess

AmazonCloudWatchRUMReadOnlyAccessConsente l'accesso amministrativo in sola lettura al CloudWatch RUM.

  • L'syntheticsautorizzazione consente di visualizzare Synthetics Canaries associati sul monitor dell'app RUM

  • L'cloudwatchautorizzazione consente di visualizzare le CloudWatch metriche associate sul monitor dell'app RUM

  • L'cloudwatch alarmsautorizzazione consente di visualizzare gli CloudWatch allarmi associati sul monitor dell'app RUM

  • L'cloudwatch logsautorizzazione consente di visualizzare CloudWatch i log associati sul monitor dell'app RUM

  • L'x-rayautorizzazione consente di visualizzare i segmenti X-Ray Trace associati sul monitor dell'app RUM

  • L'rumautorizzazione consente di visualizzare i tag associati al monitor dell'app RUM

Di seguito sono riportati i contenuti della AmazonCloudWatchRUMReadOnlyAccesspolitica.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors", "rum:ListRumMetricsDestinations", "rum:BatchGetRumMetricDefinitions", "rum:GetResourcePolicy", "rum:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanariesLastRun", "synthetics:describeCanaries" ], "Resource": "arn:aws:synthetics:*:*:canary:*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "xray:GetTraceSummaries" ], "Resource": "*" } ] }

AmazonCloudWatchRUMServiceRolePolicy

Non è possibile collegare AmazonCloudWatchRUMServiceRolePolicyalle entità IAM. Questa politica è associata a un ruolo collegato al servizio che consente a CloudWatch RUM di pubblicare i dati di monitoraggio su altri servizi pertinenti AWS . Per ulteriori informazioni su questo ruolo collegato alservizio, consultare Utilizzo di ruoli collegati ai servizi per RUM CloudWatch.

Il contenuto completo di è il AmazonCloudWatchRUMServiceRolePolicyseguente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringLike": { "cloudwatch:namespace": [ "RUM/CustomMetrics/*", "AWS/RUM" ] } } } ] }

AWS politiche gestite (predefinite) per CloudWatch Evidently

Le politiche CloudWatchEvidentlyReadOnlyAccess AWS gestite sono disponibili CloudWatchEvidentlyFullAccesse possono essere assegnate agli utenti che gestiranno o CloudWatch utilizzeranno Evidently.

CloudWatchEvidentlyFullAccess

Di seguito sono riportati i contenuti della CloudWatchEvidentlyFullAccesspolitica.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:TagResource", "cloudwatch:UnTagResource" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Evidently-*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] } ] }

CloudWatchEvidentlyReadOnlyAccess

Di seguito sono riportati i contenuti della CloudWatchEvidentlyReadOnlyAccesspolitica.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:GetSegment", "evidently:ListExperiments", "evidently:ListFeatures", "evidently:ListLaunches", "evidently:ListProjects", "evidently:ListSegments", "evidently:ListSegmentReferencs" ], "Resource": "*" } ] }

AWS policy gestita per AWS Systems Manager Incident Manager

La AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicypolicy è associata a un ruolo collegato al servizio che consente di CloudWatch avviare incidenti in AWS Systems Manager Incident Manager per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni di ruolo collegate ai servizi per le azioni di CloudWatch Systems Manager Incident Manager degli allarmi.

La policy ha le seguenti autorizzazioni:

  • incidenti ssm: StartIncident

Esempi di policy gestite dal cliente

Questa sezione include policy utente di esempio che concedono autorizzazioni per diverse operazioni CloudWatch . Queste politiche funzionano quando si utilizza l' CloudWatch AWS SDKsAPI o il AWS CLI.

Esempio 1: consentire all'utente l'accesso completo a CloudWatch

Per concedere a un utente l'accesso completo a CloudWatch, puoi utilizzare la politica CloudWatchFullAccessgestita anziché creare una politica gestita dal cliente. I contenuti di CloudWatchFullAccesssono elencati in. CloudWatchFullAccess

Esempio 2: consentire l'accesso in sola lettura a CloudWatch

La seguente politica consente a un utente di accedere e visualizzare in sola lettura le azioni CloudWatch , i parametri CloudWatch , i dati EC2 di log CloudWatch e i dati Amazon SNS relativi agli allarmi di Amazon Auto Scaling.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:Describe*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "logs:StartLiveTail", "logs:StopLiveTail", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }

Esempio 3: interrompere o terminare un'istanza Amazon EC2

La seguente politica consente a un'azione di CloudWatch allarme di interrompere o terminare un' EC2istanza. Nell'esempio seguente, le DescribeAlarms azioni GetMetricData ListMetrics, e sono facoltative. Ti consigliamo di includere tali operazioni per assicurarti di aver arrestato o terminato correttamente l'istanza.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:DescribeAlarms" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

CloudWatch aggiornamenti alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CloudWatch da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei CloudWatch documenti.

Modifica Descrizione Data

AIOpsConsoleAdminPolicy— Politica aggiornata

CloudWatch ha aggiornato la AIOpsConsoleAdminPolicypolitica per consentire la convalida dei gruppi di indagine su più account.

Questa politica garantisce agli utenti l'accesso alle CloudWatch indagini, alle azioni e alle AWS azioni aggiuntive necessarie per accedere agli eventi investigativi.

13 giugno 2025

AIOpsOperatorAccess— Politica aggiornata

CloudWatch ha aggiornato la AIOpsOperatorAccesspolitica per consentire la convalida dei gruppi di indagine su più account.

Questa politica garantisce agli utenti l'accesso alle CloudWatch indagini, alle azioni e alle AWS azioni aggiuntive necessarie per accedere agli eventi investigativi.

13 giugno 2025

AIOpsAssistantPolicy— Aggiornamenti alla politica esistente

CloudWatch ha aggiornato la politica AIOpsAssistantPolicyIAM. Ha aggiunto le autorizzazioni per consentire alle indagini operative di CloudWatch Application Insights di trovare informazioni nelle risorse dell'utente durante le indagini.

Sono state aggiunte le seguenti autorizzazioni:appsync:GetGraphqlApi,,, e appsync:GetDataSource iam:ListAttachedRolePolicies iam:ListRolePolicies iam:ListRoles

Inoltre, l'elastic-inference:Describe*autorizzazione è stata rimossa dalla politica.

13 giugno 2025

AmazonCloudWatchRUMReadOnlyAccess— Politica aggiornata

CloudWatch autorizzazioni aggiunte alla AmazonCloudWatchRUMReadOnlyAccesspolitica.

L'synthetics: describeCanariesand synthetics:describeCanariesLastRun è stato aggiunto in modo che CloudWatch RUM possa visualizzare i Synthetics Canaries associati sul monitor dell'app RUM.

cloudwatch:GetMetricDataÈ stato aggiunto in modo che CloudWatch RUM possa visualizzare le CloudWatch metriche associate sul monitor dell'app RUM.

cloudwatch:DescribeAlarmsÈ stato aggiunto in modo che CloudWatch RUM possa visualizzare gli CloudWatch allarmi associati al monitor dell'app RUM.

logs:DescribeLogGroupsÈ stato aggiunto in modo che CloudWatch RUM possa visualizzare CloudWatch i registri associati sul monitor dell'app RUM.

xray:GetTraceSummariesÈ stato aggiunto in modo che CloudWatch RUM possa visualizzare i segmenti di X-Ray Trace associati sul monitor dell'app RUM.

rum:ListTagsForResourcesÈ stato aggiunto in modo che CloudWatch RUM possa visualizzare i tag associati al monitor dell'app RUM.

28 giugno 2025

AmazonCloudWatchRUMReadOnlyAccess— Politica aggiornata

CloudWatch ha aggiunto un'autorizzazione alla AmazonCloudWatchRUMReadOnlyAccesspolitica.

L'rum:GetResourcePolicyautorizzazione è stata aggiunta in modo che CloudWatch RUM possa visualizzare la politica delle risorse allegata al monitor dell'applicazione RUM.

28 aprile 2025

AIOpsConsoleAdminPolicy: nuova policy

CloudWatch ha creato una nuova politica denominata AIOpsConsoleAdminPolicy.

Questa policy garantisce agli utenti l'accesso amministrativo completo per la gestione delle CloudWatch indagini, inclusa la gestione della propagazione delle identità affidabili e la gestione di IAM Identity Center e dell'accesso organizzativo.

3 dicembre 2024

AIOpsOperatorAccess: nuova policy

CloudWatch ha creato una nuova politica denominata AIOpsOperatorAccess.

Questa politica garantisce agli utenti l'accesso alle CloudWatch indagini, alle azioni e alle AWS azioni aggiuntive necessarie per accedere agli eventi investigativi.

3 dicembre 2024

AIOpsReadOnlyAccess: nuova policy

CloudWatch ha creato una nuova politica denominata AIOpsReadOnlyAccess.

Questa politica concede a un utente autorizzazioni di sola lettura per Amazon AI Operations e altri servizi correlati.

3 dicembre 2024

AIOpsAssistantPolicy: nuova policy

CloudWatch ha creato una nuova politica denominata AIOpsAssistantPolicy.

Non si assegna questa politica a un utente. Assegni questa politica all'assistente Amazon AI Operations per consentire le CloudWatch indagini per analizzare le tue AWS risorse durante le indagini sugli eventi operativi.

3 dicembre 2024

CloudWatchFullAccessV2 — Aggiornamenti alle politiche esistenti

CloudWatch aggiornati sia CloudWatchFullAccessV2 che. CloudWatchFullAccess

Le autorizzazioni per Amazon OpenSearch Service sono state aggiunte per abilitare l'integrazione di CloudWatch Logs con OpenSearch Service per alcune funzionalità.

1 dicembre 2024

CloudWatchNetworkFlowMonitorServiceRolePolicy: nuova policy

CloudWatch ha aggiunto una nuova politica. CloudWatchNetworkFlowMonitorServiceRolePolicy

CloudWatchNetworkFlowMonitorServiceRolePolicyConcede le autorizzazioni a Network Flow Monitor per la pubblicazione delle metriche. CloudWatch Consente inoltre di utilizzare il servizio per ottenere informazioni AWS Organizations per scenari con più account.

1 dicembre 2024

CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy: nuova policy

CloudWatch ha aggiunto una nuova politica CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.

CloudWatchNetworkFlowMonitorTopologyServiceRolePolicyConcede le autorizzazioni a Network Flow Monitor per generare istantanee topologiche delle risorse utilizzate nell'account.

1 dicembre 2024

CloudWatchNetworkFlowMonitorAgentPublishPolicy: nuova policy

CloudWatch ha aggiunto una nuova politica. CloudWatchNetworkFlowMonitorAgentPublishPolicy

CloudWatchNetworkFlowMonitorAgentPublishPolicyConcede le autorizzazioni a risorse, come le istanze Amazon e EC2 Amazon EKS, per inviare report di telemetria (metriche) a un endpoint Network Flow Monitor.

1 dicembre 2024

CloudWatchSyntheticsFullAccess: aggiornamento a una policy esistente

CloudWatch ha aggiornato la policy denominata. CloudWatchSyntheticsFullAccess

Le seguenti azioni CloudWatch Logs sono state aggiunte per consentire a CloudWatch Synthetics di ottenere e utilizzare i dati di canary log nei gruppi di log Lambda. È stata aggiunta anche l'lambda:GetFunctionautorizzazione per consentire a Synthetics di ottenere informazioni su una funzione specifica.

  • logs:GetLogRecord— Necessario per espandere una voce di registro in CloudWatch Logs Insights. (Necessario per visualizzare i log nella console Synthetics).

  • logs:DescribeLogStreams— Necessario per elencare tutti i flussi di log in un gruppo di log.

  • logs:StartQuery— Necessario per avviare una query di Logs Insights (richiesto nella console Synthetics per visualizzare i log).

  • logs:GetLogEvents

    Necessario per elencare gli eventi di registro dal flusso di registro specificato. Utilizzato per interrogare uno specifico flusso di log su un gruppo di log.

  • logs:FilterLogEvents— Necessario per visualizzare i registri nel gruppo di log di un canarino.

  • logs:GetLogGroupFields— Necessario per eseguire una query Logs Insights nella console. (La console Synthetics si collega alla query Logs Insights. Senza questa autorizzazione, le query di Logs Insights su un gruppo di log hanno esito negativo.)

Inoltre, le azioni della versione del layer Lambda ora si applicano a tutti i layer Synthetics CloudWatch. ARNs

20 novembre 2024

CloudWatchInternetMonitorReadOnlyAccess— Nuovo. CloudWatchInternetMonitorReadOnlyAccess

Questo criterio garantisce l'accesso in sola lettura alle risorse e alle azioni disponibili nella CloudWatch console per Internet Monitor. L'ambito di questa politica prevede internetmonitor: che gli utenti possano utilizzare azioni e risorse di Internet Monitor in sola lettura. Include alcune cloudwatch: politiche per recuperare informazioni sulle metriche. CloudWatch Include alcune logs: politiche per la gestione delle interrogazioni di registro.

14 novembre 2024

CloudWatchInternetMonitorFullAccess: nuova policy

CloudWatch ha creato una nuova politica denominata CloudWatchInternetMonitorFullAccess.

Questa politica garantisce l'accesso completo alle risorse e alle azioni disponibili nella CloudWatch console per Internet Monitor. L'ambito di questa politica include la possibilità per internetmonitor: gli utenti di utilizzare le azioni e le risorse di Internet Monitor. Include alcune cloudwatch: politiche per recuperare informazioni su CloudWatch allarmi e metriche. Include alcune logs: politiche per la gestione delle interrogazioni di registro. Include alcuni ec2: e workspaces: criteri per l'utilizzo delle risorse aggiunte ai monitor in modo che Internet Monitor possa creare un profilo di traffico per l'applicazione. cloudfront: elasticloadbalancing: Contiene alcune iam: politiche per la gestione dei ruoli IAM.

23 ottobre 2024

CloudWatchLambdaApplicationSignalsExecutionRolePolicy— Nuovo CloudWatchLambdaApplicationSignalsExecutionRolePolicy.

Questa policy viene utilizzata quando CloudWatch Application Signals è abilitato per i carichi di lavoro Lambda. Consente l'accesso in scrittura a X-Ray e al gruppo di log utilizzato da CloudWatch Application Signals.

16 ottobre 2024

CloudWatchSyntheticsFullAccess: aggiornamento a una policy esistente

CloudWatch ha aggiornato la politica denominata CloudWatchSyntheticsFullAccess.

Le lambda:UntagResource autorizzazioni lambda:ListTagslambda:TagResource, e sono state aggiunte in modo che quando applichi o modifichi i tag su un canarino, puoi scegliere di fare in modo che Synthetics applichi anche gli stessi tag o le stesse modifiche alla funzione Lambda utilizzata dal canarino.

11 ottobre 2024

CloudWatchApplicationSignalsReadOnlyAccess: nuova policy

CloudWatch ha creato una nuova politica denominata. CloudWatchApplicationSignalsReadOnlyAccess

Questa politica garantisce l'accesso in sola lettura alle risorse e alle azioni disponibili nella CloudWatch console per Application Signals. L'ambito di questa politica include application-signals: le politiche che consentono agli utenti di utilizzare le azioni e le risorse di sola lettura disponibili nella CloudWatch console sotto Application Signals. Contiene una iam: policy per la gestione dei ruoli IAM. Include alcune logs: politiche per gestire le query di registro e i filtri. Include cloudwatch: politiche per recuperare informazioni su CloudWatch allarmi e metriche. Include alcune synthetics: politiche per recuperare informazioni sui canarini sintetici. Include rum: politiche per la gestione dei client e dei lavori RUM. Contiene una xray: politica per ottenere riepiloghi di tracciamento.

7 giugno 2024

CloudWatchApplicationSignalsFullAccess: nuova policy

CloudWatch ha creato una nuova politica denominata CloudWatchApplicationSignalsFullAccess.

Questa politica garantisce l'accesso completo alle risorse e alle azioni disponibili nella CloudWatch console per Application Signals. L'ambito di questa politica prevede che gli utenti application-signals: possano utilizzare le azioni e le risorse di Application Signals. Include alcune cloudwatch: politiche per recuperare informazioni su CloudWatch allarmi e metriche. Include alcune logs: politiche per la gestione delle interrogazioni di registro. Include alcune synthetics: politiche per scrivere e recuperare informazioni sui canarini sintetici. Include rum: politiche per la gestione dei client e dei lavori RUM. Contiene una xray: politica per ottenere riepiloghi di tracciamento. Include alcune cloudwatch: politiche per la gestione degli CloudWatch allarmi. Contiene alcune iam: politiche per la gestione dei ruoli IAM. Include alcune sns: politiche per gestire le notifiche di Amazon Simple Notification Service.

7 giugno 2024

CloudWatchFullAccessV2 — Aggiornamento a una politica esistente

CloudWatch ha aggiornato la politica denominata CloudWatchFullAccessV2.

L'ambito della CloudWatchFullAccessPermissions politica è stato aggiornato per consentire agli utenti di utilizzare CloudWatch Application Signals per visualizzare, analizzare e diagnosticare problemi relativi allo stato dei propri servizi. application-signals:*

20 maggio 2024

CloudWatchReadOnlyAccess: aggiornamento a una policy esistente

CloudWatch ha aggiornato la politica denominata CloudWatchReadOnlyAccess.

L'ambito della CloudWatchReadOnlyAccessPermissions politica è stato aggiornato per aggiungere application-signals:BatchGet* e application-signals:Get* consentire agli utenti di utilizzare CloudWatch Application Signals per visualizzare, analizzare e diagnosticare problemi relativi allo stato dei propri servizi. application-signals:List* L'ambito di CloudWatchReadOnlyGetRolePermissions è stato aggiornato per aggiungere l'iam:GetRoleazione in modo che gli utenti possano verificare se CloudWatch Application Signals è configurato.

20 maggio 2024

CloudWatchApplicationSignalsServiceRolePolicy: aggiornamento a una policy esistente

CloudWatch ha aggiornato la politica denominata CloudWatchApplicationSignalsServiceRolePolicy.

L'ambito delle logs:GetQueryResults autorizzazioni logs:StartQuery e è stato modificato per aggiungere arn:aws:logs:*:*:log-group:/aws/appsignals/*:* e arn:aws:logs:*:*:log-group:/aws/application-signals/data:* ARNs abilitare Application Signals su più architetture.

18 aprile 2024

CloudWatchApplicationSignalsServiceRolePolicy: aggiornamento a una policy esistente

CloudWatch ha modificato l'ambito di un'autorizzazione in CloudWatchApplicationSignalsServiceRolePolicy.

L'ambito dell'cloudwatch:GetMetricDataautorizzazione è stato modificato * in modo che Application Signals possa recuperare le metriche dalle fonti negli account collegati.

08 aprile 2024

CloudWatchAgentServerPolicy: aggiornamento a una policy esistente

CloudWatch ha aggiunto i permessi a. CloudWatchAgentServerPolicy

Le logs:PutRetentionPolicy autorizzazioni xray:PutTraceSegmentsxray:PutTelemetryRecords,xray:GetSamplingRules,xray:GetSamplingTargets, xray:GetSamplingStatisticSummaries e sono state aggiunte in modo che l' CloudWatch agente possa pubblicare tracce X-Ray e modificare i periodi di conservazione dei gruppi di log.

12 febbraio 2024

CloudWatchAgentAdminPolicy: aggiornamento a una policy esistente

CloudWatch ha aggiunto i permessi a. CloudWatchAgentAdminPolicy

Le logs:PutRetentionPolicy autorizzazioni xray:PutTraceSegmentsxray:PutTelemetryRecords,xray:GetSamplingRules,xray:GetSamplingTargets, xray:GetSamplingStatisticSummaries e sono state aggiunte in modo che l' CloudWatch agente possa pubblicare tracce X-Ray e modificare i periodi di conservazione dei gruppi di log.

12 febbraio 2024

CloudWatchFullAccessV2 — Aggiornamento a una politica esistente

CloudWatch autorizzazioni aggiunte alla CloudWatchFullAccess V2.

Sono state aggiunte le autorizzazioni esistenti per le azioni CloudWatch Synthetics, CloudWatch X-Ray e RUM e nuove CloudWatch autorizzazioni per Application Signals in modo che gli utenti con questa politica possano gestire Application Signals. CloudWatch

L'autorizzazione a creare il ruolo collegato al servizio CloudWatch Application Signals è stata aggiunta per consentire ad CloudWatch Application Signals di scoprire i dati di telemetria in log, metriche, tracce e tag.

5 dicembre 2023

CloudWatchReadOnlyAccess: aggiornamento a una policy esistente

CloudWatch CloudWatchReadOnlyAccessha aggiunto autorizzazioni a.

Sono state aggiunte le autorizzazioni di sola lettura esistenti per le azioni CloudWatch Synthetics, X-Ray CloudWatch e RUM e le nuove autorizzazioni di sola lettura CloudWatch per Application Signals in modo che gli utenti con questa politica possano valutare e diagnosticare i problemi di integrità del servizio, come riportato da Application Signals. CloudWatch

L'cloudwatch:GenerateQueryautorizzazione è stata aggiunta in modo che gli utenti con questa policy possano generare una stringa di query Metrics Insights da un prompt in linguaggio naturale. CloudWatch

5 dicembre 2023

CloudWatchReadOnlyAccess: aggiorna a una policy esistente.

CloudWatch ha aggiunto un'autorizzazione a. CloudWatchReadOnlyAccess

L'cloudwatch:GenerateQueryautorizzazione è stata aggiunta, in modo che gli utenti con questa politica possano generare una stringa di query di CloudWatch Metrics Insights da un prompt in linguaggio naturale.

01 dicembre 2023

CloudWatchApplicationSignalsServiceRolePolicy: nuova policy

CloudWatch ha aggiunto una nuova politica CloudWatchApplicationSignalsServiceRolePolicy.

CloudWatchApplicationSignalsServiceRolePolicyConcede a una funzionalità imminente le autorizzazioni per raccogliere dati di CloudWatch registro, dati di traccia a raggi X, dati di CloudWatch metrica e dati di etichettatura.

9 novembre 2023

AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy: nuova policy

CloudWatch AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicyha aggiunto una nuova politica.

AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicyConcede l'autorizzazione CloudWatch a recuperare le metriche di Performance Insights dai database per tuo conto.

20 settembre 2023

CloudWatchReadOnlyAccess: aggiornamento a una policy esistente

CloudWatch ha aggiunto un'autorizzazione a. CloudWatchReadOnlyAccess

L'autorizzazione application-autoscaling:DescribeScalingPolicies è stata aggiunta in modo che gli utenti con questa policy possano accedere alle informazioni sulle policy Application Auto Scaling.

14 settembre 2023

CloudWatchFullAccessV2 — Nuova politica

CloudWatch ha aggiunto una nuova politica CloudWatchFullAccessV2.

La CloudWatchFullAccessV2 garantisce l'accesso completo ad CloudWatch azioni e risorse, definendo al contempo meglio le autorizzazioni concesse ad altri servizi come Amazon SNS e. Amazon EC2 Auto ScalingPer ulteriori informazioni, consulta V2. CloudWatchFullAccess

1° agosto 2023

AWSServiceRoleForInternetMonitor: aggiornamento a una policy esistente

Amazon CloudWatch Internet Monitor ha aggiunto nuove autorizzazioni per monitorare le risorse di Network Load Balancer.

Le autorizzazioni elasticloadbalancing:DescribeLoadBalancers e ec2:DescribeNetworkInterfaces sono necessarie affinché Monitor Internet possa monitorare il traffico Network Load Balancer dei clienti tramite l'analisi dei log di flusso per le risorse NLB.

Per ulteriori informazioni, consulta Utilizzo di Monitor Internet.

15 luglio 2023

CloudWatchReadOnlyAccess: aggiornamento a una policy esistente

CloudWatch ha aggiunto autorizzazioni a. CloudWatchReadOnlyAccess

Le logs:StopLiveTail autorizzazioni logs:StartLiveTail e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per avviare e interrompere le sessioni live tail di CloudWatch Logs. Per ulteriori informazioni, consulta Use live tail to view logs in near real time.

6 giugno 2023

CloudWatchCrossAccountSharingConfiguration: nuova policy

CloudWatch ha aggiunto una nuova politica per consentire di gestire i link di osservabilità CloudWatch tra account che condividono le metriche. CloudWatch

Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account.

27 novembre 2022

OAMFullAccesso: nuova politica

CloudWatch ha aggiunto una nuova politica per consentire la gestione completa dei link e dei sink di osservabilità CloudWatch tra account.

Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account.

27 novembre 2022

OAMReadOnlyAccess: nuova policy

CloudWatch ha aggiunto una nuova politica che consente di visualizzare le informazioni sui link e sui sink di CloudWatch osservabilità tra account.

Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account.

27 novembre 2022

CloudWatchFullAccess: aggiornamento a una policy esistente

CloudWatch ha aggiunto i permessi a. CloudWatchFullAccess

Le oam:ListAttachedLinks autorizzazioni oam:ListSinks e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per visualizzare i dati condivisi dagli account di origine in modo osservabile CloudWatch tra più account.

27 novembre 2022

CloudWatchReadOnlyAccess: aggiornamento a una policy esistente

CloudWatch ha aggiunto le autorizzazioni a. CloudWatchReadOnlyAccess

Le oam:ListAttachedLinks autorizzazioni oam:ListSinks e sono state aggiunte in modo che gli utenti con questo criterio possano utilizzare la console per visualizzare i dati condivisi dagli account di origine in modo osservabile CloudWatch tra più account.

27 novembre 2022

AmazonCloudWatchRUMServiceRolePolicy: aggiornamento a una policy esistente

CloudWatch RUM ha aggiornato una chiave di condizione in. AmazonCloudWatchRUMServiceRolePolicy

La chiave di "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } } condizione è stata modificata nella seguente in modo che CloudWatch RUM possa inviare metriche personalizzate a namespace di metriche personalizzate.

"Condition": { "StringLike": { "cloudwatch:namespace": [ "RUM/CustomMetrics/*", "AWS/RUM" ] } }
2 febbraio 2023

AmazonCloudWatchRUMReadOnlyAccess— Politica aggiornata

CloudWatch ha aggiunto i permessi alla AmazonCloudWatchRUMReadOnlyAccesspolicy.

I rum:BatchGetRumMetricsDefinitions permessi rum:ListRumMetricsDestinations e sono stati aggiunti in modo che CloudWatch RUM possa inviare metriche estese a CloudWatch ed Evidently.

27 ottobre 2022

AmazonCloudWatchRUMServiceRolePolicy: aggiornamento a una policy esistente

CloudWatch RUM ha aggiunto le autorizzazioni a. AmazonCloudWatchRUMServiceRolePolicy

L'cloudwatch:PutMetricDataautorizzazione è stata aggiunta in modo che CloudWatch RUM possa inviare metriche estese a. CloudWatch

26 ottobre 2022

CloudWatchEvidentlyReadOnlyAccess: aggiornamento a una policy esistente

CloudWatch Evidentemente sono state aggiunte autorizzazioni a. CloudWatchEvidentlyReadOnlyAccess

Sono state aggiunte le autorizzazioni evidently:GetSegment, evidently:ListSegments e evidently:ListSegmentReferences, in modo che gli utenti con questa policy possano visualizzare i segmenti di destinatari Evidently che sono stati creati.

12 agosto 2022

CloudWatchSyntheticsFullAccess: aggiornamento a una policy esistente

CloudWatch Synthetics ha aggiunto le autorizzazioni a. CloudWatchSyntheticsFullAccess

Le lambda:DeleteLayerVersion autorizzazioni lambda:DeleteFunction e sono state aggiunte in modo che CloudWatch Synthetics possa eliminare le risorse correlate quando viene eliminato un canarino. La iam:ListAttachedRolePolicies è stata aggiunta in modo che i clienti possano visualizzare le policy collegate al ruolo IAM di Canary.

6 maggio 2022

AmazonCloudWatchRUMFullAccesso: nuova politica

CloudWatch ha aggiunto una nuova politica per consentire la gestione completa del CloudWatch RUM.

CloudWatch RUM ti consente di eseguire il monitoraggio reale degli utenti della tua applicazione web. Per ulteriori informazioni, consulta CloudWatch RUM.

29 novembre 2021

AmazonCloudWatchRUMReadOnlyAccess: nuova policy

CloudWatch ha aggiunto una nuova politica per abilitare l'accesso in sola lettura a CloudWatch RUM.

CloudWatch RUM ti consente di eseguire il monitoraggio reale degli utenti della tua applicazione web. Per ulteriori informazioni, consulta CloudWatch RUM.

29 novembre 2021

CloudWatchEvidentlyFullAccess: nuova policy

CloudWatch ha aggiunto una nuova politica per consentire la gestione completa di CloudWatch Evidently.

CloudWatch Evidentemente ti consente di eseguire A/B esperimenti con le tue applicazioni web e di implementarle gradualmente. Per ulteriori informazioni, consulta Esegui lanci ed esperimenti A/B con Evidently CloudWatch .

29 novembre 2021

CloudWatchEvidentlyReadOnlyAccess: nuova policy

CloudWatch ha aggiunto una nuova policy per abilitare l'accesso in sola lettura a Evidently. CloudWatch

CloudWatch Evidentemente ti consente di eseguire A/B esperimenti con le tue applicazioni web e di implementarle gradualmente. Per ulteriori informazioni, consulta Esegui lanci ed esperimenti A/B con Evidently CloudWatch .

29 novembre 2021

AWSServiceRoleForCloudWatchRUM — Nuova politica gestita

CloudWatch ha aggiunto una politica per un nuovo ruolo collegato ai servizi per consentire a CloudWatch RUM di pubblicare i dati di monitoraggio su altri servizi pertinenti. AWS

29 novembre 2021

CloudWatchSyntheticsFullAccess: aggiornamento a una policy esistente

CloudWatch Synthetics ha aggiunto le autorizzazioni CloudWatchSyntheticsFullAccesse ha anche modificato l'ambito di un'autorizzazione.

L'kms:ListAliasesautorizzazione è stata aggiunta in modo che gli utenti possano elencare AWS KMS le chiavi disponibili che possono essere utilizzate per crittografare gli artefatti dei canarini. L'autorizzazione kms:DescribeKey è stata aggiunta in modo che gli utenti possano vedere i dettagli delle chiavi che verranno utilizzate per crittografare gli artefatti canary. L'autorizzazione kms:Decryptè stata aggiunta per consentire agli utenti di decrittare artefatti canary. Questa capacità di decrittografia è limitata all'utilizzo delle risorse all'interno dei bucket Amazon S3.

L'ambito Resource del permesso s3:GetBucketLocation è stato modificato da * a arn:aws:s3:::*.

29 settembre 2021

CloudWatchSyntheticsFullAccess: aggiornamento a una policy esistente

CloudWatch Synthetics ha aggiunto un'autorizzazione a. CloudWatchSyntheticsFullAccess

L'autorizzazione lambda:UpdateFunctionCode è stata aggiunta in modo che gli utenti con questa policy possano modificare la versione di runtime dei canary.

20 luglio 2021

AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy— Nuova politica gestita

CloudWatch ha aggiunto una nuova policy IAM gestita CloudWatch per consentire la creazione di incidenti in AWS Systems Manager Incident Manager.

10 maggio 2021

CloudWatchAutomaticDashboardsAccess: aggiornamento a una policy esistente

CloudWatch ha aggiunto un'autorizzazione alla policy CloudWatchAutomaticDashboardsAccessgestita. L'synthetics:DescribeCanariesLastRunautorizzazione è stata aggiunta a questa politica per consentire agli utenti della dashboard con più account di visualizzare i dettagli sulle corse canarie di CloudWatch Synthetics.

20 aprile 2021

CloudWatch ha iniziato a tenere traccia delle modifiche

CloudWatch ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.

14 aprile 2021