Atualizações da política CloudWatchFullAccessV2 CloudWatchFullAccess CloudWatchReadOnlyAccess CloudWatchActionsEC2Access CloudWatch-CrossAccountAccess CloudWatchAutomaticDashboardsAccess Política: CloudWatchAgentServerPolicy CloudWatchAgentAdminPolicy CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy Políticas gerenciadas da (predefinidas) da AWS para a observabilidade entre contas do CloudWatch Políticas gerenciadas (predefinidas) pela AWS para as investigações do CloudWatch Políticas (predefinidas) gerenciadas pela AWS para o CloudWatch Application Signals AWSPolíticas gerenciadas (predefinidas) pela para o CloudWatch Synthetics AWSPolíticas gerenciadas (predefinidas) da para o Amazon CloudWatch RUM Política gerenciada pela AWS para o AWS Systems Manager Incident Manager

AWSPolíticas gerenciadas (predefinidas) pela para o CloudWatch

AWS A aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Essas políticas gerenciadas pela AWS concedem as permissões indispensáveis para casos de uso comuns para que você não precise investigar quais permissões são necessárias. Para saber mais, consulte AWSPolíticas gerenciadas pela no Guia do usuário do IAM.

As políticas gerenciadas pela AWS a seguir, que você pode associar a usuários na sua conta, são específicas do CloudWatch.

Tópicos

Atualização do CloudWatch para políticas gerenciadas pela AWS
CloudWatchFullAccessV2
CloudWatchFullAccess
CloudWatchReadOnlyAccess
CloudWatchActionsEC2Access
CloudWatch-CrossAccountAccess
CloudWatchAutomaticDashboardsAccess
Política: CloudWatchAgentServerPolicy
CloudWatchAgentAdminPolicy
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
Políticas gerenciadas da (predefinidas) da AWS para a observabilidade entre contas do CloudWatch
Políticas gerenciadas (predefinidas) pela AWS para as investigações do CloudWatch
Políticas (predefinidas) gerenciadas pela AWS para o CloudWatch Application Signals
AWSPolíticas gerenciadas (predefinidas) pela para o CloudWatch Synthetics
AWSPolíticas gerenciadas (predefinidas) da para o Amazon CloudWatch RUM
Política gerenciada pela AWS para o AWS Systems Manager Incident Manager

Atualização do CloudWatch para políticas gerenciadas pela AWS

Veja detalhes sobre atualizações em políticas gerenciadas pela AWS para o CloudWatch desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Document history (Histórico de documentos) do CloudWatch.

Alteração	Descrição	Data
AIOpsAssistantPolicy: política atualizada	O CloudWatch atualizou a política do IAM AIOpsAssistantPolicy. Adicionou permissões para que as investigações do CloudWatch possam assistir em consultas, solução de problemas e mapeamento de topologia. As seguintes permissões foram adicionadas: `kms:GetKeyRotationStatus`, `kms:ListAliases` e `kms:ListKeyRotations`	17 de dezembro de 2025
CloudWatchNetworkMonitorServiceRolePolicy: política atualizada	O CloudWatch adicionou as permissões de `ec2:DescribeRouteTables`, `ec2:DescribeTransitGatewayAttachments`, `ec2:DescribeTransitGatewayRouteTables`, `ec2:SearchTransitGatewayRoutes` à política gerenciada CloudWatchNetworkMonitorServiceRolePolicy para conceder ao Network Synthetic Monitor permissões para gerar os valores do Network Health Indicator para clientes que utilizam gateways de trânsito.	12 de dezembro de 2025
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy: política atualizada	O CloudWatch adicionou as permissões de `ec2:DescribeVpcEndpoints` e `ec2:DescribeVpcEndpointServiceConfigurations` à política gerenciada CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy para conceder ao Network Flow Monitor permissões para gerar snapshots da topologia dos endpoints da VPC e configuração do serviço de vpce.	10 de dezembro de 2025
CloudWatchFullAccessV2: política atualizada	O CloudWatch adicionou permissões para CloudWatchFullAccessV2. As permissões para ações de administração de observabilidade foram adicionadas para possibilitar o total acesso aos pipelines de telemetria e às integrações de tabelas do S3.	02 de dezembro de 2025
CloudWatchReadOnlyAccess: política atualizada	O CloudWatch adicionou permissões ao CloudWatchReadOnlyAccess. Permissões para ações de administração de observabilidade foram adicionadas para possibilitar o acesso somente leitura aos pipelines de telemetria e às integrações de tabelas do S3.	02 de dezembro de 2025
CloudWatchFullAccessV2: política atualizada	O CloudWatch atualizou a política CloudWatchFullAccessV2 para incluir permissões para possibilitar a visualização de eventos de alteração em determinada entidade e intervalo de tempo, e a consulta de serviços e recursos não instrumentados do Application Signals por meio da habilitação do explorador de recursos.	20 de novembro de 2025
CloudWatchApplicationSignalsFullAccess: política atualizada	O CloudWatch atualizou a política CloudWatchApplicationSignalsFullAccess para incluir permissões para possibilitar a visualização de eventos de alteração em determinada entidade e intervalo de tempo, e a consulta de serviços e recursos não instrumentados do Application Signals por meio da habilitação do explorador de recursos.	20 de novembro de 2025
CloudWatchReadOnlyAccess: política atualizada	O CloudWatch atualizou a política CloudWatchReadOnlyAccess para incluir permissões para possibilitar a visualização de eventos de alteração em determinada entidade e intervalo de tempo, e a consulta de serviços e recursos não instrumentados do Application Signals.	20 de novembro de 2025
CloudWatchApplicationSignalsReadOnlyAccess: política atualizada	O CloudWatch atualizou a política CloudWatchApplicationSignalsReadOnlyAccess para incluir permissões para possibilitar a visualização de eventos de alteração em determinada entidade e intervalo de tempo, e a consulta de serviços e recursos não instrumentados do Application Signals.	20 de novembro de 2025
CloudWatchApplicationSignalsServiceRolePolicy: atualização para uma política existente	O CloudWatch atualizou a política denominada CloudWatchApplicationSignalsServiceRolePolicy. Atualizada a política para incluir `resource-explorer-2:Search` e `cloudtrail:CreateServiceLinkedChannel` para habilitar novos atributos do Application Signals.	20 de novembro de 2025
AIOpsConsoleAdminPolicy: política atualizada	O CloudWatch atualizou a política AIOpsConsoleAdminPolicy para incluir permissões de integração com o Amazon Q, possibilitando aos usuários interagir com os relatórios de incidentes das investigações do CloudWatch por meio da interface conversacional do Amazon Q.	17 de novembro de 2025
AIOpsOperatorAccess: política atualizada	O CloudWatch atualizou a política AIOpsOperatorAccess para incluir permissões de integração com o Amazon Q, possibilitando aos usuários interagir com os relatórios de incidentes das investigações do CloudWatch por meio da interface conversacional do Amazon Q.	7 de novembro de 2025
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy: política atualizada	O CloudWatch adicionou as permissões de `ec2:DescribeManagedPrefixLists` e `ec2:GetManagedPrefixListEntries` à política gerenciada CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy para conceder ao Network Flow Monitor permissões para gerar snapshots de topologia de listas de prefixos gerenciadas.	06 de novembro de 2025
AIOpsAssistantIncidentReportPolicy: nova política	O CloudWatch adicionou a política AIOpsAssistantIncidentReportPolicy para permitir que as investigações do CloudWatch gerem relatórios de incidentes a partir de dados de investigação, incluindo permissões para acessar investigações, criar relatórios e gerenciar fatos derivados por IA.	10 de outubro de 2025
AIOpsOperatorAccess: política atualizada	O CloudWatch atualizou a política AIOpsOperatorAccess para incluir permissões de geração de relatórios de incidentes, possibilitado aos usuários criar e gerenciar relatórios de incidentes e trabalhar com fatos derivados por IA nas investigações do CloudWatch.	10 de outubro de 2025
CloudWatchReadOnlyAccess: atualização de uma política existente.	O CloudWatch adicionou permissões ao CloudWatchReadOnlyAccess. Foram adicionadas permissões para ações de administração de observabilidade para permitir acesso somente leitura a regras de telemetria, configurações de centralização e dados de telemetria de recursos em todo o AWS Organizations.	10 de outubro de 2025
CloudWatchFullAccessV2: atualização a uma política existente	O CloudWatch atualizou a política CloudWatchFullAccessV2 para incluir permissões do CloudTrail e do Service Quotas para possibilitar a funcionalidade de principais observações e indicadores de alteração no Application Signals.	8.º de outubro de 2025
CloudWatchReadOnlyAccess: atualizações de políticas existentes	O CloudWatch atualizou a política CloudWatchReadOnlyAccess para incluir permissões do CloudTrail e do Service Quotas para possibilitar a funcionalidade de principais observações e indicadores de alteração no Application Signals.	8.º de outubro de 2025
CloudWatchApplicationSignalsReadOnlyAccess: política atualizada	O CloudWatch atualizou a política CloudWatchApplicationSignalsReadOnlyAccess para visualizar como os recursos e os serviços mudam em sua conta, e também visualizar as principais observações de anomalias de serviço em sua conta.	29 de setembro de 2025
CloudWatchApplicationSignalsFullAccess: política atualizada	O CloudWatch atualizou a política CloudWatchApplicationSignalsFullAccess para visualizar como os recursos e serviços mudam em sua conta, e também visualizar as principais observações de anomalias de serviço em sua conta.	29 de setembro de 2025
AIOpsAssistantPolicy: política atualizada	O CloudWatch atualizou a política AIOPsAssistantPolicy para conceder às investigações do CloudWatch acesso a recursos adicionais para auxiliar em consultas, solução de problemas e mapeamento de topologia. Essa política concede às investigações do CloudWatch as permissões necessárias para conduzir as investigações.	24 de setembro de 2025
AIOpsConsoleAdminPolicy: política atualizada	O CloudWatch atualizou a política AIOpsConsoleAdminPolicy para permitir a validação de grupos de investigação em contas diferentes. Esta política concede aos usuários acesso às ações de investigações do CloudWatch e às ações da AWS adicionais necessárias para acessar eventos de investigação.	13 de junho de 2025
AIOpsOperatorAccess: política atualizada	O CloudWatch atualizou a política AIOpsOperatorAccess para permitir a validação de grupos de investigação em contas diferentes. Esta política concede aos usuários acesso às ações de investigações do CloudWatch e às ações da AWS adicionais necessárias para acessar eventos de investigação.	13 de junho de 2025
AIOpsAssistantPolicy: atualizações na política existente	O CloudWatch atualizou a política do IAM AIOpsAssistantPolicy. Ele adicionou permissões para possibilitar que as investigações operacionais do CloudWatch Application Insights encontrem informações em seus recursos durante as investigações. As seguintes permissões foram adicionadas: `appsync:GetGraphqlApi`, `appsync:GetDataSource`, `iam:ListAttachedRolePolicies`, `iam:ListRolePolicies` e `iam:ListRoles` Além disso, a permissão `elastic-inference:Describe*` foi removida da política.	13 de junho de 2025
AmazonCloudWatchRUMReadOnlyAccess - Política atualizada	O CloudWatch adicionou permissões à política AmazonCloudWatchRUMReadOnlyAccess. As permissões `synthetics: describeCanaries` e `synthetics:describeCanariesLastRun` foram adicionadas para que o CloudWatch RUM possa exibir os canários sintéticos associados no monitor da aplicação RUM. A permissão `cloudwatch:GetMetricData` foi adicionada para que o CloudWatch RUM possa exibir métricas do CloudWatch associadas no monitor da aplicação RUM. A permissão `cloudwatch:DescribeAlarms` foi adicionada para que o CloudWatch RUM possa exibir alarmes do CloudWatch associados no monitor da aplicação RUM. A permissão `logs:DescribeLogGroups` foi adicionada para que o CloudWatch RUM possa exibir logs do CloudWatch associados no monitor da aplicação RUM. A permissão `xray:GetTraceSummaries` foi adicionada para que o CloudWatch RUM possa exibir segmentos de rastreamento do X-Ray associados no monitor da aplicação RUM. A permissão `rum:ListTagsForResources` foi adicionada para que o CloudWatch RUM possa exibir tags associadas no monitor do aplicativo RUM.	28 de junho de 2025
AIOpsReadOnlyAccess: política atualizada	O CloudWatch atualizou a política AIOpsReadOnlyAccess para permitir a validação dos grupos de investigação entre contas. Esta política concede ao usuário permissões somente leitura para o Amazon AI Operations e outros serviços relacionados.	5 de junho de 2025
AmazonCloudWatchRUMReadOnlyAccess - Política atualizada	O CloudWatch adicionou uma permissão à política AmazonCloudWatchRUMReadOnlyAccess. A permissão `rum:GetResourcePolicy` foi adicionada para que o RUM do CloudWatch possa visualizar a política de recursos anexada ao monitor da aplicação RUM.	28 de abril de 2025
AIOpsConsoleAdminPolicy: nova política	O CloudWatch criou uma política denominada AIOpsConsoleAdminPolicy. Esta política concede aos usuários acesso administrativo total para gerenciar as investigações do CloudWatch, incluindo o gerenciamento da propagação de identidade confiável e o gerenciamento do Centro de Identidade do IAM e do acesso organizacional.	3 de dezembro de 2024
AIOpsOperatorAccess: nova política	O CloudWatch criou uma política denominada AIOpsOperatorAccess. Esta política concede aos usuários acesso às ações de investigações do CloudWatch e às ações da AWS adicionais necessárias para acessar eventos de investigação.	3 de dezembro de 2024
AIOpsReadOnlyAccess: nova política	O CloudWatch criou uma política denominada AIOpsReadOnlyAccess. Esta política concede ao usuário permissões somente leitura para o Amazon AI Operations e outros serviços relacionados.	3 de dezembro de 2024
AIOpsAssistantPolicy: nova política	O CloudWatch criou uma política denominada AIOpsAssistantPolicy. Você não atribui esta política a um usuário. Você atribui esta política ao assistente do Amazon AI Operations para permitir que as investigações do CloudWatch analisem os recursos da AWS durante a investigação de eventos operacionais.	3 de dezembro de 2024
CloudWatchFullAccessV2: atualização a uma política existente	O CloudWatch atualizou as políticas CloudWatchFullAccessV2 e CloudWatchFullAccess. As permissões para Amazon OpenSearch Service foram adicionadas a fim de permitir a integração do CloudWatch Logs com o OpenSearch Service de alguns recursos.	1.º de dezembro de 2024
CloudWatchNetworkFlowMonitorServiceRolePolicy: nova política	O CloudWatch adicionou uma nova política denominada CloudWatchNetworkFlowMonitorServiceRolePolicy. A política CloudWatchNetworkFlowMonitorServiceRolePolicy concede permissões para o Network Flow Monitor publicar métricas no CloudWatch. Também permite que o serviço use o AWS Organizations para obter informações para cenários de várias contas.	1.º de dezembro de 2024
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy: nova política	O CloudWatch adicionou uma nova política denominada CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy. A política CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy concede permissões para que o Network Flow Monitor gere snapshots de topologia dos recursos usados na conta.	1.º de dezembro de 2024
CloudWatchNetworkFlowMonitorAgentPublishPolicy: nova política	O CloudWatch adicionou uma nova política denominada CloudWatchNetworkFlowMonitorAgentPublishPolicys. A política CloudWatchNetworkFlowMonitorAgentPublishPolicy concede permissões para os recursos, como instâncias do Amazon EC2 e do Amazon EKS, enviarem relatórios de telemetria (métricas) para um endpoint do Network Flow Monitor.	1.º de dezembro de 2024
CloudWatchSyntheticsFullAccess: atualização para uma política existente	O CloudWatch atualizou a política denominada CloudWatchSyntheticsFullAccess. As ações do CloudWatch Logs a seguir foram adicionadas para permitir que o CloudWatch Synthetics obtenha e use dados de logs dos canários em grupos de logs do Lambda. A permissão `lambda:GetFunction` também foi adicionada para permitir que o Synthetics obtenha informações sobre uma função específica. `logs:GetLogRecord`: necessária para expandir uma entrada de log no CloudWatch Logs Insights. (Necessária para visualizar os logs no console do Synthetics.) `logs:DescribeLogStreams`: necessária para listar todos os fluxos de logs em um grupo de logs. `logs:StartQuery`: necessária para iniciar uma consulta do Logs Insights (necessária no console do Synthetics para visualizar os logs). `logs:GetLogEvents` – Necessária para listar os eventos de logs do fluxo de logs específico. Usada para consultar um fluxo de logs específico em um grupo de logs. `logs:FilterLogEvents`: necessária para visualizar logs no grupo de logs de um canário. `logs:GetLogGroupFields`: necessária para executar uma consulta do Logs Insights no console. (O console do Synthetics está vinculado à consulta do Logs Insights. Sem essa permissão, as consultas do Logs Insights em um grupo de logs falham.) Além disso, as ações da versão da camada do Lambda agora se aplicam a todos os ARNs de camada do CloudWatch Synthetics.	20 de novembro de 2024
CloudWatchInternetMonitorReadOnlyAccess: nova CloudWatchInternetMonitorReadOnlyAccess. Esta política concede acesso somente leitura aos recursos e às ações disponíveis no console do CloudWatch para o Monitor de Internet. O escopo desta política inclui `internetmonitor:` para que os usuários possam usar as ações e os recursos do Monitor de Internet em modo somente leitura. Além disso, o escopo inclui algumas políticas `cloudwatch:` para recuperar informações sobre as métricas do CloudWatch. Inclui algumas políticas de `logs:` para gerenciar consultas de logs.	14 de novembro de 2024
CloudWatchInternetMonitorFullAccess: nova política	O CloudWatch criou uma nova política denominada CloudWatchInternetMonitorFullAccess. Essa política concede acesso total aos recursos e às ações disponíveis no console do CloudWatch para o Monitor de Internet. O escopo dessa política inclui `internetmonitor:` para que os usuários possam usar as ações e os recursos do Monitor de Internet. Inclui algumas políticas de `cloudwatch:` para recuperar informações sobre alarmes e métricas do CloudWatch. Inclui algumas políticas de `logs:` para gerenciar consultas de logs. Inclui algumas políticas de `ec2:`, `cloudfront:`, `elasticloadbalancing:` e `workspaces:` para trabalhar com recursos que você adiciona aos monitores para que o Monitor de Internet possa criar um perfil de tráfego para sua aplicação. Contém algumas políticas de `iam:` para gerenciar os perfis do IAM.	23 de outubro de 2024
CloudWatchLambdaApplicationSignalsExecutionRolePolicy: nova CloudWatchLambdaApplicationSignalsExecutionRolePolicy. Essa política é usada quando o CloudWatch Application Signals está habilitado para workloads do Lambda. Ela permite acesso de gravação ao X-Ray e ao grupo de logs usado pelo CloudWatch Application Signals.	16 de outubro de 2024
CloudWatchSyntheticsFullAccess: atualização para uma política existente	O CloudWatch atualizou a política denominada CloudWatchSyntheticsFullAccess. As permissões `lambda:ListTags`, `lambda:TagResource` e `lambda:UntagResource` foram adicionadas para que, ao aplicar ou alterar tags em um canário, você possa optar por fazer com que a Synthetics também aplique essas mesmas tags ou alterações na função do Lambda que o canário usa.	11 de outubro de 2024
CloudWatchApplicationSignalsReadOnlyAccess: nova política	O CloudWatch criou uma nova política chamada CloudWatchApplicationSignalsReadOnlyAccess. Essa política concede acesso somente leitura às ações e aos recursos disponíveis no console do CloudWatch em Application Signals. O escopo dessa política inclui políticas de `application-signals:` para que os usuários possam usar as ações e os recursos somente leitura disponíveis no console do CloudWatch em Application Signals. Contém uma política de `iam:` para gerenciar os perfis do IAM. Inclui algumas políticas de `logs:` para gerenciar filtros e consultas de logs. Inclui políticas de `cloudwatch:` para recuperar informações sobre alarmes e métricas do CloudWatch. Inclui algumas políticas de `synthetics:` para recuperar informações sobre canários do Synthetics. Inclui políticas de `rum:` para gerenciar trabalhos e clientes do RUM. Contém uma política de `xray:` para obter resumos de rastreamento.	7 de junho de 2024
CloudWatchApplicationSignalsFullAccess: nova política	O CloudWatch criou uma nova política chamada CloudWatchApplicationSignalsFullAccess. Essa política concede acesso total às ações e aos recursos disponíveis no console do CloudWatch em Application Signals. O escopo dessa política inclui `application-signals:` para que os usuários possam usar as ações e os recursos do Application Signals. Inclui algumas políticas de `cloudwatch:` para recuperar informações sobre alarmes e métricas do CloudWatch. Inclui algumas políticas de `logs:` para gerenciar consultas de logs. Inclui algumas políticas de `synthetics:` para gravar e recuperar informações sobre canários do Synthetics. Inclui políticas de `rum:` para gerenciar trabalhos e clientes do RUM. Contém uma política de `xray:` para obter resumos de rastreamento. Inclui algumas políticas de `cloudwatch:` para gerenciar os alarmes do CloudWatch. Contém algumas políticas de `iam:` para gerenciar os perfis do IAM. Inclui algumas políticas de `sns:` para gerenciar notificações do Amazon Simple Notification Service.	7 de junho de 2024
CloudWatchFullAccessV2: atualização para uma política existente	O CloudWatch atualizou a política chamada CloudWatchFullAccessV2. O escopo da política `CloudWatchFullAccessPermissions` foi atualizado para adicionar `application-signals:*` com a finalidade de que os usuários possam usar o CloudWatch Application Signals para visualizar, investigar e diagnosticar problemas relacionados com a integridade de seus serviços.	20 de maio de 2024
CloudWatchReadOnlyAccess – Atualização de política existente	O CloudWatch atualizou a política chamada CloudWatchReadOnlyAccess. O escopo da política `CloudWatchReadOnlyAccessPermissions` foi atualizado para adicionar `application-signals:BatchGet`, `application-signals:List` e `application-signals:Get*` com a finalidade de que os usuários possam usar o CloudWatch Application Signals para visualizar, investigar e diagnosticar problemas relacionados com a integridade de seus serviços. O escopo de `CloudWatchReadOnlyGetRolePermissions` foi atualizado para adicionar a ação `iam:GetRole` com a finalidade de que os usuários possam verificar se o CloudWatch Application Signals está configurado.	20 de maio de 2024
CloudWatchApplicationSignalsServiceRolePolicy: atualização para uma política existente	O CloudWatch atualizou a política denominada CloudWatchApplicationSignalsServiceRolePolicy. O escopo das permissões `logs:StartQuery` e `logs:GetQueryResults` foi alterado para adicionar os ARNs `arn:aws:logs:::log-group:/aws/appsignals/:` e `arn:aws:logs:::log-group:/aws/application-signals/data:*` com a finalidade de habilitar o Application Signals em mais arquiteturas.	18 de abril de 2024
CloudWatchApplicationSignalsServiceRolePolicy: atualização para uma política existente	O CloudWatch alterou o escopo de uma permissão em CloudWatchApplicationSignalsServiceRolePolicy. O escopo da permissão `cloudwatch:GetMetricData` foi alterado para `*` com a finalidade de que o Application Signals possa recuperar métricas de origens em contas vinculadas.	8 de abril de 2024
CloudWatchAgentServerPolicy: atualização para uma política existente	O CloudWatch adicionou permissões à CloudWatchAgentServerPolicy. As permissões `xray:PutTraceSegments`, `xray:PutTelemetryRecords`, `xray:GetSamplingRules`, `xray:GetSamplingTargets`, `xray:GetSamplingStatisticSummaries` e `logs:PutRetentionPolicy` foram adicionadas para que o agente do CloudWatch possa publicar rastreamentos do X-Ray e modificar os períodos de retenção do grupo de logs.	12 de fevereiro de 2024
CloudWatchAgentAdminPolicy: atualização para uma política existente	O CloudWatch adicionou permissões à CloudWatchAgentAdminPolicy. As permissões `xray:PutTraceSegments`, `xray:PutTelemetryRecords`, `xray:GetSamplingRules`, `xray:GetSamplingTargets`, `xray:GetSamplingStatisticSummaries` e `logs:PutRetentionPolicy` foram adicionadas para que o agente do CloudWatch possa publicar rastreamentos do X-Ray e modificar os períodos de retenção do grupo de logs.	12 de fevereiro de 2024
CloudWatchFullAccessV2: atualização para uma política existente	O CloudWatch adicionou permissões para CloudWatchFullAccessV2. Permissões existentes para as ações do CloudWatch Synthetics, do X-Ray e do CloudWatch RUM e novas permissões para o CloudWatch Application Signals foram adicionadas com a finalidade de que os usuários com essa política possam gerenciar o CloudWatch Application Signals. A permissão para a criação de um perfil vinculado ao serviço CloudWatch Application Signals foi adicionada com a finalidade de permitir que o CloudWatch Application Signals descubra dados de telemetria em logs, métricas, rastreamentos e tags.	5 de dezembro de 2023
CloudWatchReadOnlyAccess – Atualização de política existente	O CloudWatch adicionou permissões ao CloudWatchReadOnlyAccess. Permissões somente leitura existentes para as ações do CloudWatch Synthetics, do X-Ray e do CloudWatch RUM e novas permissões somente leitura para o CloudWatch Application Signals foram adicionadas com a finalidade de que os usuários com essa política possam realizar a triagem e avaliar os problemas de integridade de serviço, conforme relatado pelo CloudWatch Application Signals. A permissão `cloudwatch:GenerateQuery` foi adicionada para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Metrics Insights de um prompt em linguagem natural.	5 de dezembro de 2023
CloudWatchReadOnlyAccess: atualização de uma política existente.	O CloudWatch adicionou uma permissão a CloudWatchReadOnlyAccess. A permissão `cloudwatch:GenerateQuery` foi adicionada para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Metrics Insights de um prompt em linguagem natural.	1.º de dezembro de 2023
CloudWatchApplicationSignalsServiceRolePolicy: nova política	O CloudWatch adicionou uma nova política CloudWatchApplicationSignalsServiceRolePolicy. O CloudWatchApplicationSignalsServiceRolePolicy concede a um futuro recurso permissões para coletar dados de registros do CloudWatch, dados de rastreamento do X-Ray, dados de métricas do CloudWatch e dados de marcação.	9 de novembro de 2023
AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy: nova política	O CloudWatch adicionou uma nova política AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy. AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy concede permissão ao CloudWatch para buscar métricas do Insights de Performance de bancos de dados em seu nome.	20 de setembro de 2023
CloudWatchReadOnlyAccess – Atualização de política existente	O CloudWatch adicionou uma permissão a CloudWatchReadOnlyAccess. A permissão `application-autoscaling:DescribeScalingPolicies` foi adicionada de forma que os usuários com essa política possam acessar informações sobre as políticas do Application Auto Scaling.	14 de setembro de 2023
CloudWatchFullAccessV2: nova política	O CloudWatch adicionou uma nova política: CloudWatchFullAccessV2. CloudWatchFullAccessV2 concede acesso total às ações e recursos do CloudWatch, ao mesmo tempo em que define melhor o escopo das permissões concedidas a outros serviços, como o Amazon SNS e o Amazon EC2 Auto Scaling. Para obter mais informações, consulte CloudWatchFullAccessV2.	1º de agosto de 2023
AWSServiceRoleForInternetMonitor: atualização de uma política existente	O Monitor de Internet do Amazon CloudWatch adicionou novas permissões para monitorar recursos do Network Load Balancer. As permissões `elasticloadbalancing:DescribeLoadBalancers` e `ec2:DescribeNetworkInterfaces` são necessárias para que o Monitor de Internet possa monitorar o tráfego do Network Load Balancer dos clientes analisando os logs de fluxo dos recursos do NLB. Para saber mais, consulte Usar o Monitor de Internet.	15 de julho de 2023
CloudWatchReadOnlyAccess – Atualização de política existente	O CloudWatch adicionou permissões ao CloudWatchReadOnlyAccess. As permissões `logs:StartLiveTail` e `logs:StopLiveTail` foram adicionadas para que os usuários com essa política possam usar o console para iniciar e interromper as sessões de teste ao vivo do CloudWatch Logs. Para obter mais informações, consulte Usar o Live Tail para visualizar registros quase em tempo real.	6 de junho de 2023
CloudWatchCrossAccountSharingConfiguration – Nova política	O CloudWatch adicionou uma nova política para possibilitar o gerenciamento dos links de observabilidade entre contas do CloudWatch que compartilham métricas do CloudWatch. Para saber mais, consulte Observabilidade entre contas do CloudWatch.	27 de novembro de 2022
OAMFullAccess – Nova política	O CloudWatch adicionou uma nova política para possibilitar o gerenciamento completo dos links e coletores de observabilidade entre contas do CloudWatch. Para saber mais, consulte Observabilidade entre contas do CloudWatch.	27 de novembro de 2022
OAMReadOnlyAccess – Nova política	O CloudWatch adicionou uma nova política para possibilitar que você visualize informações sobre links e coletores de observabilidade entre contas do CloudWatch. Para saber mais, consulte Observabilidade entre contas do CloudWatch.	27 de novembro de 2022
CloudWatchFullAccess – Atualização de política existente	O CloudWatch adicionou permissões a CloudWatchFullAccess. As permissões `oam:ListSinks` e `oam:ListAttachedLinks` foram adicionadas para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na observabilidade entre contas do CloudWatch.	27 de novembro de 2022
CloudWatchReadOnlyAccess – Atualização de política existente	O CloudWatch adicionou permissões ao CloudWatchReadOnlyAccess. As permissões `oam:ListSinks` e `oam:ListAttachedLinks` foram adicionadas para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na observabilidade entre contas do CloudWatch.	27 de novembro de 2022
AmazonCloudWatchRUMServiceRolePolicy - Atualização de uma política existente	O CloudWatch RUM atualizou uma chave de condição em AmazonCloudWatchRUMServiceRolePolicy. A chave de condição `"Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } }` foi alterada para a seguinte, de forma que o CloudWatch RUM possa enviar métricas personalizadas para namespaces de métricas personalizadas. `"Condition": { "StringLike": { "cloudwatch:namespace": [ "RUM/CustomMetrics/*", "AWS/RUM" ] } }`	2 de fevereiro de 2023
AmazonCloudWatchRUMReadOnlyAccess - Política atualizada	O CloudWatch adicionou permissões à política AmazonCloudWatchRUMReadOnlyAccess. As permissões `rum:ListRumMetricsDestinations` e `rum:BatchGetRumMetricsDefinitions` foram adicionadas para que o CloudWatch RUM possa enviar métricas ampliadas ao CloudWatch.	27 de outubro de 2022
AmazonCloudWatchRUMServiceRolePolicy - Atualização de uma política existente	O CloudWatch RUM adicionou permissões à AmazonCloudWatchRUMServiceRolePolicy. A permissão `cloudwatch:PutMetricData` foi adicionada para que o CloudWatch RUM possa enviar métricas estendidas para o CloudWatch.	26 de outubro de 2022
CloudWatchSyntheticsFullAccess: atualização para uma política existente	O CloudWatch Synthetics adicionou permissões para CloudWatchSyntheticsFullAccess. As permissões `lambda:DeleteFunction` e `lambda:DeleteLayerVersion` foram adicionadas para que o CloudWatch Synthetics possa excluir recursos relacionados quando um canário for excluído. `iam:ListAttachedRolePolicies` foi adicionada para que os clientes possam visualizar as políticas que estão anexadas à função do IAM de um canário.	6 de maio de 2022
AmazonCloudWatchRUMFullAccess: nova política	O CloudWatch adicionou uma nova política para permitir o gerenciamento completo do CloudWatch RUM. O CloudWatch RUM permite que você execute o monitoramento real do usuário de sua aplicação Web. Para saber mais, consulte CloudWatch RUM.	29 de novembro de 2021
AmazonCloudWatchRUMReadOnlyAccess: nova política	O CloudWatch adicionou uma nova política para permitir o acesso somente leitura ao CloudWatch RUM. O CloudWatch RUM permite que você execute o monitoramento real do usuário de sua aplicação Web. Para saber mais, consulte CloudWatch RUM.	29 de novembro de 2021
AWSServiceRoleForCloudWatchRUM: nova política gerenciada	O CloudWatch adicionou uma política voltada para uma nova função vinculada a serviços para permitir que o CloudWatch RUM substitua dados de monitoramento para outros serviços relevantes da AWS.	29 de novembro de 2021
CloudWatchSyntheticsFullAccess: atualização para uma política existente	O CloudWatch Synthetics adicionou permissões ao CloudWatchSyntheticsFullAccess, e também alterou o escopo de uma permissão. A permissão `kms:ListAliases` foi adicionada para que os usuários possam listar chaves KMS AWS KMS que podem ser usadas para criptografar artefatos do canário. A permissão `kms:DescribeKey` foi adicionada para que os usuários possam ver os detalhes das chaves que serão usadas para criptografar artefatos do canário. E a permissão `kms:Decrypt` foi adicionada para permitir que os usuários descriptografassem artefatos do canário. Essa capacidade de descriptografia é limitada ao uso em recursos dentro de buckets do Amazon S3. O escopo do `Resource` da permissão `s3:GetBucketLocation` foi alterado de `` para `arn:aws:s3:::`.	29 de setembro de 2021
CloudWatchSyntheticsFullAccess: atualização para uma política existente	O CloudWatch Synthetics adicionou uma permissão para CloudWatchSyntheticsFullAccess. A permissão `lambda:UpdateFunctionCode` foi adicionada para que os usuários com esta política possam alterar a versão de runtime dos canaries.	20 de julho de 2021
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy: nova política gerenciada	O CloudWatch adicionou uma nova política do IAM gerenciada para permitir que o CloudWatch crie incidentes no AWS Systems Manager Incident Manager.	10 de maio de 2021
CloudWatchAutomaticDashboardsAccess: atualização para uma política existente	O CloudWatch adicionou uma permissão à política gerenciada CloudWatchAutomaticDashboardsAccess. A permissão `synthetics:DescribeCanariesLastRun` foi adicionada a esta política para permitir que os usuários de painel entre contas visualizem detalhes sobre execuções do canário do CloudWatch Synthetics.	20 de abril de 2021
O CloudWatch começou a monitorar alterações	O CloudWatch começou a rastrear alterações para as políticas gerenciadas pela AWS.	14 de abril de 2021

CloudWatchFullAccessV2

A AWS adicionou recentemente a política do IAM gerenciada CloudWatchFullAccessV2. Essa política concede acesso total às ações e recursos do CloudWatch, ao mesmo tempo em que define melhor o escopo das permissões concedidas para outros serviços, como o Amazon SNS e o Amazon EC2 Auto Scaling. Recomendamos que você comece a usar essa política em vez de usar CloudWatchFullAccess. A AWS planeja descontinuar o uso de CloudWatchFullAccess em um futuro próximo.

A política inclui permissões application-signals: para que os usuários possam acessar todas as funcionalidades do console do CloudWatch no Application Signals. Isso inclui algumas permissões autoscaling:Describe para que os usuários com essa política possam ver as ações do Auto Scaling associadas aos alarmes do CloudWatch. Isso inclui algumas permissões sns para que os usuários com essa política possam recuperar tópicos criados do Amazon SNS e associá-los a alarmes do CloudWatch. Inclui permissões do IAM para que os usuários com essa política possam visualizar informações sobre perfis vinculados a serviço associados ao CloudWatch. Inclui as permissões oam:ListSinks e oam:ListAttachedLinks para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na observabilidade entre contas do CloudWatch. Inclui também permissões para o CloudTrail e o Service Quotas para possibilitar a funcionalidade de principais observações e indicadores de alteração no Application Signals.

Inclui as permissões do Amazon OpenSearch Service para ser compatível com painéis de logs vendidos no CloudWatch Logs, que são criados com analytics do Amazon OpenSearch Service. Inclui políticas do resource-explorer-2: para que os usuários possam usar o console para visualizar serviços não instrumentados em suas contas.

Inclui as permissões rum, synthetics e xray para que os usuários possam ter acesso total ao CloudWatch Synthetics, ao AWS X-Ray e ao CloudWatch RUM usando o serviço CloudWatch.

Para ver o conteúdo completo da política, consulte CloudWatchFullAccessV2 no Guia de referência de políticas gerenciadas pela AWS.

CloudWatchFullAccess

A política CloudWatchFullAccess está prestes a ser descontinuada. Recomendamos que você pare de usá-la e use CloudWatchFullAccessV2 em seu lugar.

CloudWatchReadOnlyAccess

A política CloudWatchReadOnlyAccess concede acesso somente leitura ao CloudWatch e aos atributos de observabilidade relacionados.

A política inclui algumas permissões logs:, portanto, os usuários com essa política podem usar o console para visualizar as informações do CloudWatch Logs e as consultas do CloudWatch Logs Insights. Ela inclui autoscaling:Describe* para que os usuários com essa política possam visualizar as ações do Auto Scaling associadas aos alarmes do CloudWatch. A política inclui permissões application-signals: para que os usuários possam usar o Application Signals para monitorar a integridade dos serviços. Ela inclui application-autoscaling:DescribeScalingPolicies para que os usuários com essa política possam acessar informações sobre as políticas do Application Auto Scaling. Ela inclui sns:Get* e sns:List* para que os usuários com essa política possam recuperar informações sobre os tópicos do Amazon SNS que recebem notificações sobre alarmes do CloudWatch. Ela inclui as permissões oam:ListSinks e oam:ListAttachedLinks para que os usuários com essa política possam usar o console para visualizar os dados compartilhados de contas de origem na observabilidade entre contas do CloudWatch. Ela inclui as permissões iam:GetRole para que os usuários possam verificar se o CloudWatch Application Signals foi configurado. Inclui também permissões para o CloudTrail e o Service Quotas para possibilitar a funcionalidade de principais observações e indicadores de alteração no Application Signals. Ela inclui permissões de administração de observabilidade para visualização de regras de telemetria, configurações de centralização e dados de telemetria de recursos em todo o AWS Organizations. Ela inclui a permissão de cloudwatch:GenerateQuery para que os usuários com essa política possam gerar uma string de consulta do CloudWatch Metrics Insights com um prompt em linguagem natural. Inclui políticas do resource-explorer-2: para que os usuários possam usar o console para visualizar serviços não instrumentados em suas contas.

Ela inclui permissões rum, synthetics e xray para que os usuários possam ter acesso somente leitura ao CloudWatch Synthetics, ao AWS X-Ray e ao CloudWatch RUM usando o serviço CloudWatch.

Para ver o conteúdo completo da política, consulte CloudWatchReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

CloudWatchActionsEC2Access

A política CloudWatchActionsEC2Access concede acesso somente leitura aos alarmes e às métricas do CloudWatch, bem como aos metadados do Amazon EC2. Também concede acesso às ações da API de interromper, terminar e reinicializar para instâncias do EC2.

Para ver o conteúdo completo da política, consulte CloudWatchActionsEC2Access no Guia de referência de políticas gerenciadas pela AWS.

CloudWatch-CrossAccountAccess

A política gerenciada CloudWatch-CrossAccountAccess é usada pela função do IAM CloudWatch-CrossAccountSharingRole. Essa função e política permitem que os usuários de painéis entre contas visualizem painéis automáticos em cada conta que está compartilhando painéis.

Para ver o conteúdo completo da política, consulte CloudWatch-CrossAccountAccess no Guia de referência de políticas gerenciadas pela AWS.

CloudWatchAutomaticDashboardsAccess

A política gerenciada CloudWatchAutomaticDashboardsAccess concede acesso ao CloudWatch para APIs que não são relacionadas ao CloudWatch, permitindo que recursos, como as funções do Lambda, sejam exibidos nos painéis automáticos do CloudWatch.

Para ver o conteúdo completo da política, consulte CloudWatchAutomaticDashboardsAccess no Guia de referência de políticas gerenciadas pela AWS.

Política: CloudWatchAgentServerPolicy

A política CloudWatchAgentServerPolicy pode ser usada em funções do IAM anexadas às instâncias do Amazon EC2 para permitir que o atendente do CloudWatch leia informações da instância e as grave no CloudWatch.

Para ver o conteúdo completo da política, consulte CloudWatchAgentServerPolicy no Guia de referência de políticas gerenciadas pela AWS.

CloudWatchAgentAdminPolicy

A política CloudWatchAgentAdminPolicy pode ser usada em funções do IAM anexadas às instâncias do Amazon EC2. Essa política permite que o atendente do CloudWatch leia informações da instância, grave-as no CloudWatch e grave informações no Parameter Store.

Para ver o conteúdo completo da política, consulte CloudWatchAgentAdminPolicy no Guia de referência de políticas gerenciadas pela AWS.

CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy

Não é possível anexar a CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço denominado AWSServiceRoleForNetworkFlowMonitor_Topology. Usando essas permissões, bem como a coleta interna de informações de metadados (para eficiência de performance), esse perfil vinculado ao serviço coleta metadados sobre configurações de rede de recursos, como a descrição de tabelas de rotas e gateways, para recursos para os quais esse serviço monitora o tráfego de rede. Esses metadados permitem que o Network Flow Monitor gere snapshots de topologia dos recursos. Quando há degradação da rede, o Network Flow Monitor usa as topologias para fornecer insights sobre a localização dos problemas na rede e ajudar a determinar a atribuição dos problemas.

Para visualizar as permissões dessa política, consulte CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy na Referência de políticas gerenciadas pela AWS.

Para saber mais, consulte Perfis vinculados ao serviço do Network Flow Monitor.

nota

É possível analisar essas políticas de permissões fazendo login no console do IAM e pesquisando políticas específicas.

Você também pode criar as próprias políticas do IAM personalizadas a fim de conceder permissões para ações e recursos do CloudWatch. Você pode anexar essas políticas personalizadas a usuários ou grupos do IAM que exijam essas permissões.

Políticas gerenciadas da (predefinidas) da AWS para a observabilidade entre contas do CloudWatch

As políticas dessa seção concedem permissões relacionadas à observabilidade entre contas do CloudWatch. Para saber mais, consulte Observabilidade entre contas do CloudWatch.

CloudWatchCrossAccountSharingConfiguration

A política CloudWatchCrossAccountSharingConfiguration dá acesso para criar, gerenciar e exibir links do Observability Access Manager para compartilhar recursos do CloudWatch entre contas. Para saber mais, consulte Observabilidade entre contas do CloudWatch.

Para ver o conteúdo completo da política, consulte CloudWatchCrossAccountSharingConfiguration no Guia de referência de políticas gerenciadas pela AWS.

OAMFullAccess

A política OAMFullAccess dá acesso para criar, gerenciar e visualizar coletores e links do Observability Access Manager, que são utilizadas para a observabilidade entre contas do CloudWatch.

A política OAMFullAccess por si só não permite compartilhar dados de observabilidade entre links. Para criar um link para compartilhar métricas do CloudWatch, você também precisa da política CloudWatchFullAccess ou CloudWatchCrossAccountSharingConfiguration. Para criar um link para compartilhar grupos de logs do CloudWatch Logs, você também precisa da política CloudWatchLogsFullAccess ou CloudWatchLogsCrossAccountSharingConfiguration. Para criar um link para compartilhar rastreamentos do X-Ray, você também precisa da política AWSXRayFullAccess ou AWSXRayCrossAccountSharingConfiguration.

Para saber mais, consulte Observabilidade entre contas do CloudWatch.

Para ver o conteúdo completo da política, consulte OAMFullAccess no Guia de referência de políticas gerenciadas pela AWS.

OAMReadOnlyAccess

A política OAMReadOnlyAccess dá acesso somente leitura aos recursos do Observability Access Manager, que são utilizados para a observabilidade entre contas do CloudWatch. Para saber mais, consulte Observabilidade entre contas do CloudWatch.

Para ver o conteúdo completo da política, consulte OAMReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

Políticas gerenciadas (predefinidas) pela AWS para as investigações do CloudWatch

As políticas desta seção concedem permissões relacionadas às investigações do CloudWatch. Para saber mais, consulte Investigações do CloudWatch.

AIOpsConsoleAdminPolicy

A política AIOpsConsoleAdminPolicy concede acesso total a todas as ações de investigações do CloudWatch e às permissões necessárias via Console da AWS. Esta política também concede acesso limitado às APIs de outros serviços necessárias para a funcionalidade de investigações do CloudWatch.

As permissões aiops concedem acesso a todas as ações de investigações do CloudWatch.
As permissões organizations, sso, identitystore e sts permitem as ações necessárias para o gerenciamento do Centro de Identidade do IAM, o que facilita as sessões com reconhecimento de identidade.
As permissões ssm são necessárias para a integração do SSM Ops Item com o gerenciamento de problemas de terceiros.
As permissões iam são necessárias para que os administradores possam passar perfis do IAM para os serviços aiops e ssm.integrations e, posteriormente, o perfil é usado pelo assistente para analisar recursos da AWS.

Importante
Essas permissões permitem que os usuários com essa política passem qualquer perfil do IAM para os serviços aiops e ssm.integrations.
Elas permitem o uso de APIs de serviços fora das investigações do CloudWatch necessárias para a funcionalidade do recurso de investigação. Inclui ações para configurar o Amazon Q Developer em aplicações de chat, o AWS KMS, trilhas do CloudTrail e o gerenciamento de problemas de terceiros do SSM.
As permissões do q habilitam a integração com o Amazon Q, possibilitando aos usuários atualizar e interagir com os relatórios das investigações do CloudWatch por meio da interface conversacional do Amazon Q.

Para ver o conteúdo completo da política, consulte AIOpsConsoleAdminPolicy no Guia de referência de políticas gerenciadas pela AWS.

AIOpsOperatorAccess

A política AIOpsOperatorAccess concede acesso a um conjunto limitado de APIs de investigações do CloudWatch que incluem a criação, atualização e exclusão de investigações, eventos de investigação e recursos de investigação.

Esta política fornece acesso somente às investigações. Você deve se certificar de que as entidades principais do IAM com essa política também tenham permissões para ler dados de observabilidade do CloudWatch, como métricas, SLOs e resultados de consultas do CloudWatch Logs.

As permissões aiops permitem o acesso às APIs de investigações do CloudWatch para criar, atualizar e excluir investigações.
As permissões sso-directory, sso, identitystore e sts permitem as ações necessárias para o gerenciamento do Centro de Identidade do IAM, o que facilita as sessões com reconhecimento de identidade.
As permissões ssm são necessárias para a integração do SSM Ops Item com o gerenciamento de problemas de terceiros.
As permissões do q habilitam a integração com o Amazon Q, possibilitando aos usuários atualizar e interagir com os relatórios das investigações do CloudWatch por meio da interface conversacional do Amazon Q.

Para ver o conteúdo completo da política, consulte AIOpsOperatorAccess no Guia de referência de políticas gerenciadas pela AWS.

AIOpsReadOnlyAccess

A política AIOpsReadOnlyAccess concede permissões somente leitura para investigações do CloudWatch e outros serviços relacionados.

As permissões aiops possibilitam o acesso às APIs de investigações do CloudWatch para obter, listar e validar grupos de investigação.
As permissões sso possibilitam as ações necessárias para o gerenciamento do Centro de Identidade do IAM, o que facilita as sessões com reconhecimento de identidade.
As permissões ssm são necessárias para a integração do SSM Ops Item com o gerenciamento de problemas de terceiros.

Para ver o conteúdo completo da política, consulte AIOpsReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

AIOpsAssistantPolicy

A política AIOpsAssistantPolicy é a política padrão que a AWS recomenda que seja atribuída ao perfil Operações de AI da Amazon (AIOps) usado pelo grupo de investigação para que ele possa analisar os recursos da AWS durante investigações de eventos operacionais. Esta política destina-se a ser usada por humanos.

Você pode optar por atribuir a política automaticamente ao criar uma investigação ou pode atribuir a política manualmente ao perfil sendo usado pela investigação. O escopo dessa política é baseado nos recursos que as investigações do CloudWatch analisam ao realizar investigações, e será atualizado à medida que mais recursos se tornarem compatíveis. Para obter uma lista completa de serviços que funcionam com as investigações do CloudWatch, consulte Serviços da AWS com os quais as investigações são compatíveis.

Você também pode optar por anexar a política geral ReadOnlyAccess da AWS ao assistente, além de anexar a política AIOpsAssistantPolicy. O motivo para fazer isso é que a política ReadOnlyAccess é atualizada com mais frequência pela AWS com permissões para novos serviços e ações da AWS que são lançados. A política AIOpsAssistantPolicy também será atualizada para novas ações, mas não com tanta frequência.

Para ver o conteúdo completo da política, consulte AIOpsAssistantPolicy no Guia de referência de políticas gerenciadas pela AWS.

AIOpsAssistantIncidentReportPolicy

A política AIOpsAssistantIncidentReportPolicy concede as permissões requeridas pelas investigações do CloudWatch para gerar relatórios de incidentes a partir dos dados da investigação.

Essa política deve ser usada pelas investigações do CloudWatch para permitir a geração automática de relatórios de incidentes a partir dos resultados da investigação.

As permissões aiops concedem às APIs de investigações do CloudWatch acesso para ler dados e eventos de investigações, criar e atualizar relatórios de incidentes e gerenciar fatos derivados por IA que servem de base para a geração de relatórios.

Para ver o conteúdo completo da política, consulte AIOpsAssistantIncidentReportPolicy no Guia de referência de políticas gerenciadas pela AWS.

Políticas (predefinidas) gerenciadas pela AWS para o CloudWatch Application Signals

As políticas desta seção concedem permissões relacionadas ao CloudWatch Application Signals. Para saber mais, consulte Application Signals.

CloudWatchApplicationSignalsReadOnlyAccess

A AWS adicionou a política do IAM gerenciada CloudWatchApplicationSignalsReadOnlyAccess. Essa política concede acesso somente leitura às ações e aos recursos disponíveis para os usuários no console do CloudWatch em Application Signals. Inclui políticas de application-signals: para que os usuários possam usar o CloudWatch Application Signals para visualizar, investigar e monitorar a integridade de seus serviços. Inclui uma política de iam:GetRole para permitir que os usuários recuperem informações sobre um perfil do IAM. Inclui políticas de logs: para iniciar e interromper consultas, recuperar a configuração de um filtro de métricas e obter resultados de consultas. Inclui políticas de cloudwatch: para que os usuários possam obter informações sobre um alarme ou métricas do CloudWatch. Inclui políticas de synthetics: para que os usuários possam recuperar as informações sobre execuções de canários do Synthetics. Inclui políticas de rum: para executar operações em lote, recuperar dados e atualizar definições de métricas para clientes do RUM. Inclui uma política de xray: para recuperar resumos de rastreamento. Inclui políticas de oam: para que os usuários possam usar o console para visualizar dados compartilhados das contas de origem na observabilidade entre contas do CloudWatch. Inclui políticas do resource-explorer-2: para que os usuários possam usar o console para visualizar serviços não instrumentados em suas contas.

Para ver o conteúdo completo da política, consulte CloudWatchApplicationSignalsReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

CloudWatchApplicationSignalsFullAccess

A AWS adicionou a política do IAM gerenciada CloudWatchApplicationSignalsFullAccess. Essa política concede acesso a todas as ações e recursos disponíveis para os usuários no console do CloudWatch. Inclui políticas de application-signals: para que os usuários possam usar o CloudWatch Application Signals para visualizar, investigar e monitorar a integridade de seus serviços. Usa políticas de cloudwatch: para recuperar dados de métricas e alarmes. Usa políticas de logs: para gerenciar consultas e filtros. Usa políticas de synthetics: para que os usuários possam recuperar as informações sobre execuções de canários do Synthetics. Inclui políticas de rum: para executar operações em lote, recuperar dados e atualizar definições de métricas para clientes do RUM. Inclui uma política de xray: para recuperar resumos de rastreamento. Inclui políticas de arn:aws:cloudwatch:*:*:alarm: para que os usuários possam recuperar as informações sobre um alarme de objetivo de nível de serviço (SLO). Inclui políticas de iam: para gerenciar os perfis do IAM. Usa políticas de sns: para criar, listar e assinar um tópico do Amazon SNS. Inclui políticas de oam: para que os usuários possam usar o console para visualizar dados compartilhados das contas de origem na observabilidade entre contas do CloudWatch. Inclui políticas de resource-explorer-2: para que os usuários possam usar o console para visualizar serviços não instrumentados em suas contas

Para ver o conteúdo completo da política, consulte CloudWatchApplicationSignalsFullAccess no Guia de referência de políticas gerenciadas pela AWS.

CloudWatchLambdaApplicationSignalsExecutionRolePolicy

Essa política é usada quando o CloudWatch Application Signals está habilitado para workloads do Lambda. Ela permite acesso de gravação ao X-Ray e ao grupo de logs usado pelo CloudWatch Application Signals.

Para ver o conteúdo completo da política, consulte CloudWatchLambdaApplicationSignalsExecutionRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

AWSPolíticas gerenciadas (predefinidas) pela para o CloudWatch Synthetics

As políticas CloudWatchSyntheticsFullAccess e CloudWatchSyntheticsReadOnlyAccess gerenciadas pela AWS estão disponíveis para você atribuir aos usuários que vão gerenciar ou usar CloudWatch Synthetics. Estas políticas adicionais também são relevantes:

AmazonS3ReadOnlyAccess e CloudWatchReadOnlyAccess: são necessárias para poder ler todos os dados do Synthetics no console do CloudWatch.
AWSLambdaReadOnlyAccess: necessária para poder visualizar o código fonte usado pelos canários.
CloudWatchSyntheticsFullAccess: permite criar canários. Além disso, para criar e excluir canários para os quais foi criado um novo perfil do IAM, você precisa de permissões específicas da política integrada.

Importante
A concessão das permissões iam:CreateRole, iam:DeleteRole, iam:CreatePolicy, iam:DeletePolicy, iam:AttachRolePolicy e iam:DetachRolePolicy a um usuário proporciona acesso administrativo total para esse usuário criar, anexar e excluir funções e políticas que tenham ARNs correspondentes a arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole* e arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*. Por exemplo, um usuário com essas permissões pode criar uma política com permissões completas para todos os recursos e anexar essa política a qualquer função correspondente ao padrão de ARN. Tenha cuidado para quem você concede essas permissões.

Para obter informações sobre como anexar políticas e conceder permissões a usuários, consulte Alterar permissões para um usuário do IAM e Incorporar uma política em linha para um usuário ou para uma função.

CloudWatchSyntheticsFullAccess

Para ver o conteúdo completo da política, consulte CloudWatchSyntheticsFullAccess no Guia de referência de políticas gerenciadas pela AWS.

CloudWatchSyntheticsReadOnlyAccess

Para ver o conteúdo completo da política, consulte CloudWatchSyntheticsReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

AWSPolíticas gerenciadas (predefinidas) da para o Amazon CloudWatch RUM

As políticas gerenciadas da AWSAmazonCloudWatchRUMFullAccess e AmazonCloudWatchRUMReadOnlyAccess estão disponíveis para que você as atribua a usuários que gerenciarão ou usarão o CloudWatch RUM.

AmazonCloudWatchRUMFullAccess

Para ver o conteúdo completo da política, consulte AmazonCloudWatchRUMFullAccess no Guia de referência de políticas gerenciadas pela AWS.

AmazonCloudWatchRUMReadOnlyAccess

A política AmazonCloudWatchRUMReadOnlyAccess permite o acesso administrativo somente leitura ao RUM do CloudWatch.

A permissão synthetics permite exibir canários sintéticos associados ao monitor do aplicativo RUM
A permissão cloudwatch permite exibir métricas do CloudWatch associadas ao monitor do aplicativo RUM
A permissão cloudwatch alarms permite exibir alarmes do CloudWatch associados ao monitor do aplicativo RUM
A permissão cloudwatch logs permite exibir logs do CloudWatch associados ao monitor do aplicativo RUM
A permissão x-ray permite exibir segmentos de rastreamento do X-Ray associados ao monitor do aplicativo RUM
A permissão rum permite exibir tags associadas ao monitor do aplicativo RUM

Para ver o conteúdo completo da política, consulte AmazonCloudWatchRUMReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

AmazonCloudWatchRUMServiceRolePolicy

Não é possível anexar o AmazonCloudWatchRUMServiceRolePolicy em suas entidades do IAM. Essa política é anexada a uma função vinculada a serviços que permite que o CloudWatch RUM publique dados de monitoramento para outros serviços relevantes da AWS. Para obter mais informações sobre essa função vinculada ao serviço, consulte Usar funções vinculadas ao serviço para o CloudWatch RUM.

Para ver o conteúdo completo da política, consulte AmazonCloudWatchRUMServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS para o AWS Systems Manager Incident Manager

A política AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy está anexada a uma função vinculada ao serviço que permite que o CloudWatch inicie incidentes no AWS Systems Manager Incident Manager em seu nome. Para saber mais, consulte Permissões de função vinculada ao serviço para ações do Systems Manager Incident Manager de alarmes do CloudWatch.

A política tem a seguinte permissão:

ssm-incidents:StartIncident

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Atualização de permissões do painel do CloudWatch

Exemplos de política gerenciada pelo cliente