Amazon CloudWatch の許可リファレンス - Amazon CloudWatch
CloudWatch API オペレーションおよびアクションに必要な許可CloudWatch Application Signals API オペレーションおよびアクションに必要な許可CloudWatch Contributor Insights API オペレーションとアクションに必要な許可CloudWatch Events API オペレーションおよびアクションに必要な許可CloudWatch Logs API オペレーションおよびアクションに必要な許可Amazon EC2 API オペレーションおよびアクションで必要な許可Amazon EC2 Auto Scaling API オペレーションとアクションに必要な許可

Amazon CloudWatch の許可リファレンス

次の表は、各 CloudWatch API オペレーションや、そのアクションを実行するためにアクセス許可を付与できる関連アクションを示しています。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソース値としてワイルドカード文字 (*) を指定します。

CloudWatch ポリシーで AWS 全体の条件キーを使用して、条件を表現できます。AWS 全体を対象とするすべてのキーのリストについては、IAM ユーザーガイドAWS グローバルキーと IAM 条件コンテキストキーを参照してください。

注記

アクションを指定するには、API オペレーション名の前に cloudwatch: プレフィックスを使用します。例えば、cloudwatch:GetMetricDatacloudwatch:ListMetrics、または cloudwatch:* (すべての CloudWatch アクションの場合)。

CloudWatch API オペレーションおよびアクションに必要な許可

CloudWatch API オペレーション 必要なアクセス許可 (API アクション)

DeleteAlarms

cloudwatch:DeleteAlarms

アラームを削除するのに必要です。

DeleteDashboards

cloudwatch:DeleteDashboards

ダッシュボードを削除するために必要です。

DeleteMetricStream

cloudwatch:DeleteMetricStream

メトリクスストリームを削除するために必要です。

DescribeAlarmHistory

cloudwatch:DescribeAlarmHistory

アラーム履歴を表示するのに必要です。複合アラームに関する情報を取得するには、cloudwatch:DescribeAlarmHistory のアクセス許可に * の範囲が必要です。cloudwatch:DescribeAlarmHistory のアクセス許可の範囲が狭い場合、複合アラームに関する情報を返すことはできません。

DescribeAlarms

cloudwatch:DescribeAlarms

アラームに関する情報を取得するために必要です。

複合アラームに関する情報を取得するには、cloudwatch:DescribeAlarms のアクセス許可に * の範囲が必要です。cloudwatch:DescribeAlarms のアクセス許可の範囲が狭い場合、複合アラームに関する情報を返すことはできません。

DescribeAlarmsForMetric

cloudwatch:DescribeAlarmsForMetric

メトリクスのアラームを表示するのに必要です。

DisableAlarmActions

cloudwatch:DisableAlarmActions

アラームアクションを無効にするのに必要です。

EnableAlarmActions

cloudwatch:EnableAlarmActions

アラームアクションを有効にするのに必要です。

GetDashboard

cloudwatch:GetDashboard

既存のダッシュボードに関するデータを表示するのに必要です。

GetMetricData

cloudwatch:GetMetricData

CloudWatch コンソールでメトリクスデータをグラフ化し、大規模なメトリクスデータのバッチを取得してそのデータで Metric Math を実行するために必要となるものです。

GetMetricStatistics

cloudwatch:GetMetricStatistics

CloudWatch コンソールの他の部分やダッシュボードウィジェットにあるグラフを見るのに必要です。

GetMetricStream

cloudwatch:GetMetricStream

メトリクスストリームに関する情報を表示するために必要です。

GetMetricWidgetImage

cloudwatch:GetMetricWidgetImage

1 つ以上の CloudWatch メトリクスのスナップショットグラフをビットマップイメージとして取得するために必要です。

ListDashboards

cloudwatch:ListDashboards

アカウントで CloudWatch ダッシュボードのリストを表示するのに必要です。

ListEntitiesForMetric

(CloudWatch コンソールのみのアクセス許可)

cloudwatch:ListEntitiesForMetric

メトリクスに関連付けられたエンティティを検索するために必要です。CloudWatch コンソール内の関連するテレメトリを調べるために必要です。

ListMetrics

cloudwatch:ListMetrics

CloudWatch コンソール内または CLI のメトリクス名を表示または検索するのに必要です。ダッシュボードウィジェットでメトリクスを選択するために必要です。

ListMetricStreams

cloudwatch:ListMetricStreams

アカウント内のメトリクスストリームのリストを、表示または検索するために必要です。

PutCompositeAlarm

cloudwatch:PutCompositeAlarm

複合アラームを作成するために必要です。

複合アラームを作成するには、cloudwatch:PutCompositeAlarm のアクセス許可に * の範囲が必要です。cloudwatch:PutCompositeAlarm のアクセス許可の範囲が狭い場合、複合アラームに関する情報を返すことはできません。

PutDashboard

cloudwatch:PutDashboard

ダッシュボードを作成または既存のダッシュボードを更新するのに必要です。

PutMetricAlarm

cloudwatch:PutMetricAlarm

アラームを作成または更新するのに必要です。

PutMetricData

cloudwatch:PutMetricData

メトリクスを作成するために必要です。

PutMetricStream

cloudwatch:PutMetricStream

メトリクスストリームを作成するために必要です。

SetAlarmState

cloudwatch:SetAlarmState

手動でアラームの状態を設定するのに必要です。

StartMetricStreams

cloudwatch:StartMetricStreams

メトリクスストリームでメトリクスのフローを開始するために必要です。

StopMetricStreams

cloudwatch:StopMetricStreams

メトリクスストリーム内のメトリクスのフローを、一時的に停止するために必要です。

TagResource

cloudwatch:TagResource

アラームや Contributor Insights ルールなど、CloudWatch リソースのタグを追加または更新するために必要です。

UntagResource

cloudwatch:UntagResource

CloudWatch リソースからタグを削除するために必要です。

CloudWatch Application Signals API オペレーションおよびアクションに必要な許可

CloudWatch Application Signals API オペレーション 必要なアクセス許可 (API アクション)

BatchGetServiceLevelObjectiveBudgetReport

application-signals:BatchGetServiceLevelObjectiveBudgetReport

サービスレベル目標のバジェットレポートを取得するために必要です。

CreateServiceLevelObjective

application-signals:CreateServiceLevelObjective

サービスレベル目標 (SLO) の作成に必要です。

DeleteServiceLevelObjective

application-signals:DeleteServiceLevelObjective

サービスレベル目標 (SLO) の削除に必要です。

GetService

application-signals:GetService

Application Signals によって検出されたサービスに関する情報を取得するために必要です。

GetServiceLevelObjective

application-signals:GetServiceLevelObjective

サービスレベル目標 (SLO) に関する情報を取得するために必要です。

ListObservedEntities

application-signals:ListObservedEntities

他のエンティティに関連付けられているエンティティを一覧表示する許可を付与します。

ListServiceDependencies

application-signals:ListServiceDependencies

指定したサービスのサービス依存関係のリストを取得するために必要です。このサービスと依存関係は Application Signals によって検出されました。

ListServiceDependents

application-signals:ListServiceDependents

指定したサービスを呼び出した依存関係のリストを取得するために必要です。このサービスと依存関係は Application Signals によって検出されました。

ListServiceLevelObjectives

application-signals:ListServiceLevelObjectives

アカウントのサービスレベル目標 (SLO) のリストを取得するために必要です。

ListServiceOperations

application-signals:ListServiceOperations

指定したサービスのサービスオペレーションのリストを取得するために必要です。このサービスと依存関係は Application Signals によって検出されました。

ListServices

application-signals:ListServices

Application Signals で検出されたサービスのリストを取得するために必要です。

ListTagsForResource

application-signals:ListTagsForResource

リソースに関連付けられたタグのリストを取得するために必要です。

StartDiscovery

application-signals:StartDiscovery

アカウントで Application Signals を有効にし、必要なサービスにリンクされたロールを作成できるようにするために必要です。

TagResource

application-signals:TagResource

リソースにタグを追加できるようにするために必要です。

UntagResource

application-signals:UntagResource

リソースからタグを削除できるようにするために必要です。

UpdateServiceLevelObjective

application-signals:UpdateServiceLevelObjective

既存のサービスレベル目標を更新するのに必要です。

CloudWatch Contributor Insights API オペレーションとアクションに必要な許可

重要

ユーザーに cloudwatch:PutInsightRule アクセス許可を付与すると、デフォルトでは、そのユーザーは CloudWatch Logs 内の任意のロググループを評価するルールを作成できます。特定のロググループを含める、および除外するユーザーのアクセス許可を制限する IAM ポリシー条件を追加できます。詳細については、「Contributor Insights のユーザーのロググループへのアクセスを制限するための条件キーの使用」を参照してください。

CloudWatch Contributor Insights API オペレーション 必要なアクセス許可 (API アクション)

DeleteInsightRules

cloudwatch:DeleteInsightRules

Contributor Insights ルールを削除するために必要です。

DescribeInsightRules

cloudwatch:DescribeInsightRules

アカウントの Contributor Insights ルールを表示するために必要です。

EnableInsightRules

cloudwatch:EnableInsightRules

Contributor Insights ルールを有効にするために必要です。

GetInsightRuleReport

cloudwatch:GetInsightRuleReport

Contributor Insights ルールによって収集された時系列データおよびその他の統計情報を取得するために必要です。

PutInsightRule

cloudwatch:PutInsightRule

Contributor Insights ルールを作成するために必要です。このテーブルの冒頭にある「重要」の注記を参照してください。

CloudWatch Events API オペレーションおよびアクションに必要な許可

CloudWatch Events API オペレーション 必要なアクセス許可 (API アクション)

DeleteRule

events:DeleteRule

ルールを削除するのに必要です。

DescribeRule

events:DescribeRule

ルールについての詳細を一覧表示するのに必要です。

DisableRule

events:DisableRule

ルールを無効にするのに必要です。

EnableRule

events:EnableRule

ルールを有効にするのに必要です。

ListRuleNamesByTarget

events:ListRuleNamesByTarget

ターゲットと関連付けられるルールを一覧表示するために必要です。

ListRules

events:ListRules

アカウントの全グループを一覧表示するために必要です。

ListTargetsByRule

events:ListTargetsByRule

ルールと関連付けられるすべてのターゲットを一覧表示するために必要です。

PutEvents

events:PutEvents

ルールと一致するカスタムイベントを追加するために必要です。

PutRule

events:PutRule

ルールを作成または更新するために必要です。

PutTargets

events:PutTargets

ルールにターゲットを追加するために必要です。

RemoveTargets

events:RemoveTargets

ターゲットをルールから削除するために必要です。

TestEventPattern

events:TestEventPattern

特定のイベントに対してイベントパターンをテストするために必要です。

CloudWatch Logs API オペレーションおよびアクションに必要な許可

注記

CloudWatch Logs のアクセス許可は、CloudWatch Logs ユーザーガイドに記載されています。

Amazon EC2 API オペレーションおよびアクションで必要な許可

Amazon EC2 API オペレーション 必要なアクセス許可 (API アクション)

DescribeInstanceStatus

ec2:DescribeInstanceStatus

EC2 インスタンスの状態の詳細を表示するのに必要です。

DescribeInstances

ec2:DescribeInstances

EC2 インスタンスの詳細を表示するのに必要です。

RebootInstances

ec2:RebootInstances

EC2 インスタンスを再起動するために必要です。

StopInstances

ec2:StopInstances

EC2 インスタンスを停止するのに必要です。

TerminateInstances

ec2:TerminateInstances

EC2 インスタンスを削除するのに必要です。

Amazon EC2 Auto Scaling API オペレーションとアクションに必要な許可

Amazon EC2 Auto Scaling API オペレーション 必要なアクセス許可 (API アクション)

スケーリング

autoscaling:Scaling

Auto Scaling グループをスケーリングするために必要です。

Trigger

autoscaling:Trigger

Auto Scaling アクションをトリガーするために必要です。