# CloudWatch Canary を管理するユーザーに必要なロールと許可 Canary の詳細と Canary の実行結果を表示するには、`CloudWatchSyntheticsFullAccess` または ` CloudWatchSyntheticsReadOnlyAccess` ポリシーをアタッチしたユーザーとしてサインインする必要があります。コンソールですべての Synthetics データを読み取るには、`AmazonS3ReadOnlyAccess` ポリシーと ` CloudWatchReadOnlyAccess` ポリシーも必要です。Canary で使用しているソースコードを表示するには、`AWSLambda_ReadOnlyAccess` ポリシーも必要です。 Canary を作成するには、` CloudWatchSyntheticsFullAccess` ポリシーまたは同様のアクセス許可セットを持つユーザーとしてサインインする必要があります。Canary の IAM ロールを作成するには、次のインラインポリシーステートメントも必要です。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] } ``` ------ **重要** ユーザーに、`iam:CreateRole`、`iam:CreatePolicy`、および ` iam:AttachRolePolicy` アクセス許可を付与すると、そのユーザーには、AWS アカウントへの完全な管理アクセス許可が与えられます。例えば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。 ポリシーのアタッチとユーザーへのアクセス許可の付与については、「[IAM ユーザーのアクセス許可の変更](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」および「[ユーザーまたはロールのインラインポリシーを埋め込むには](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console)」を参照してください。