Application Signals に必要な権限
このセクションでは、Application Signals を有効化、管理、運用するために必要な権限について説明します。
Application Signals を有効化および管理するための権限
Application Signals を管理するには、必要なアクセス許可付きでサインオンする必要があります。CloudWatchApplicationSignalsFullAccess ポリシーの内容を確認するには、「CloudWatchApplicationSignalsFullAccess」を参照してください。
Amazon EC2 またはカスタムアーキテクチャで Application Signals を有効にするには、「Amazon EC2 で Application Signals を有効にする」を参照してください。Amazon CloudWatch Observability EKS アドオンを使用して Amazon EKS で Application Signals を有効化し管理するには、次のアクセス許可が必要です。
これらの権限には、Resource "*” のある iam:PassRole と Resource “*” のある eks:CreateAddon が含まれます。これらは強力な権限なので、付与する際には注意が必要です。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsEksAddonManagementPermissions",
"Effect": "Allow",
"Action": [
"eks:AccessKubernetesApi",
"eks:CreateAddon",
"eks:DescribeAddon",
"eks:DescribeAddonConfiguration",
"eks:DescribeAddonVersions",
"eks:DescribeCluster",
"eks:DescribeUpdate",
"eks:ListAddons",
"eks:ListClusters",
"eks:ListUpdates",
"iam:ListRoles",
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"eks.amazonaws.com",
"application-signals.cloudwatch.amazonaws.com"
]
}
}
},
{
"Sid": "CloudWatchApplicationSignalsEksCloudWatchObservabilityAddonManagementPermissions",
"Effect": "Allow",
"Action": [
"eks:DeleteAddon",
"eks:UpdateAddon"
],
"Resource": "arn:aws:eks:*:*:addon/*/amazon-cloudwatch-observability/*"
}
]
}
Application Signals ダッシュボードには、お使いの SLO が関連付けられている AWS Service Catalog AppRegistry アプリケーションが表示されます。SLO のページでこれらのアプリケーションを表示するには、次のアクセス許可が必要になります。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsTaggingReadPermissions",
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
}
]
}
Application Signals の運用
Application Signals を使用してサービスや SLO をモニタリングするサービスオペレーターは、以読み取り専用アクセス許可を持つアカウントにサインオンする必要があります。CloudWatchApplicationSignalsReadOnlyAccess ポリシーの内容を確認するには、「CloudWatchApplicationSignalsReadOnlyAccess」を参照してください。
Application Signals のダッシュボードで、SLO が関連付けられている AWS Service Catalog AppRegistry アプリケーションを確認するには、次のアクセス許可が必要になります。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsTaggingReadPermissions",
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
}
]
}
Amazon CloudWatch Observability EKS アドオンを使用して Amazon EKS で Application Signals をチェックするには、次のアクセス許可が必要になります。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerReadPermissions",
"Effect": "Allow",
"Action": [
"resource-explorer-2:ListIndexes",
"resource-explorer-2:Search"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerSLRPermissions",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"resource-explorer-2.amazonaws.com"
]
}
}
},
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerCreateIndexPermissions",
"Effect": "Allow",
"Action": [
"resource-explorer-2:CreateIndex"
],
"Resource": "arn:aws:resource-explorer-2:*:*:index/*"
}
]
}
