# 适用于 Amazon CloudWatch 的 Identity and Access Management
AWS Identity and Access Management(IAM)是一项,AWS 服务可以帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制可以通过*身份验证*(登录)和*授权*(具有权限)使用 CloudWatch 资源的人员。IAM 是一项无需额外费用即可使用的。AWS 服务
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [Amazon CloudWatch 如何与 IAM 协同工作](security_iam_service-with-iam.md)
+ [适用于 Amazon CloudWatch 的基于身份的策略示例](security_iam_id-based-policy-examples.md)
+ [Amazon CloudWatch 身份和访问问题排查](security_iam_troubleshoot.md)
+ [CloudWatch 控制面板权限更新](dashboard-permissions-update.md)
+ [用于 CloudWatch 的 AWS 托管式(预定义)策略](managed-policies-cloudwatch.md)
+ [客户管理型策略示例](customer-managed-policies-cw.md)
+ [使用条件键限制对 CloudWatch 的访问](reference_policies_condition-keys.md)
+ [为 CloudWatch 使用服务相关角色](using-service-linked-roles.md)
+ [对 CloudWatch RUM 使用服务相关角色](using-service-linked-roles-RUM.md)
+ [在 CloudWatch Application Insights 中使用服务相关角色](CHAP_using-service-linked-roles-appinsights.md)
+ [适用于 Amazon CloudWatch Application Insights 的 AWS 托管式策略](security-iam-awsmanpol-appinsights.md)
+ [Amazon CloudWatch 权限参考](permissions-reference-cw.md)
## 受众
您使用 AWS Identity and Access Management(IAM)的方式因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[Amazon CloudWatch 身份和访问问题排查](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[Amazon CloudWatch 如何与 IAM 协同工作](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[适用于 Amazon CloudWatch 的基于身份的策略示例](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您使用身份凭证登录 AWS 的方法。您必须作为 AWS 账户根用户、IAM 用户或通过担任 IAM 角色进行身份验证。
您可以使用来自 AWS IAM Identity Center(IAM Identity Center)等身份源的凭证、单点登录身份验证或 Google/Facebook 凭证,以联合身份进行登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问,AWS 提供了 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的 AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 根用户
当您创建 AWS 账户 时,最初使用的是一个对所有 AWS 服务和资源拥有完全访问权限的登录身份(称为 AWS 账户*根用户*)。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 联合身份
作为最佳实践,请要求人类用户必须使用带有身份提供者的联合身份验证才能使用临时凭证访问 AWS 服务。
*联合身份*是来自企业目录、Web 身份提供者的用户,或 Directory Service 中的用户(这些用户使用来自身份源的凭证访问 AWS 服务)。联合身份代入可提供临时凭证的角色。
要集中管理访问权限,建议使用。AWS IAM Identity Center有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅*《IAM 用户指南》*中的[要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来担任角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您将创建策略并将其附加到 AWS 身份或资源,以控制 AWS 中的访问。策略在与身份或资源关联时定义权限。当主体发出请求时,AWS 会评估这些策略。大多数策略在 AWS 中存储为 JSON 文档。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用来自 IAM 的 AWS 托管策略。
### 其他策略类型
AWS 支持额外的策略类型,这些策略类型可以设置由更常用的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略(SCP)**– 指定 AWS Organizations 中组织或组织单元的最大权限。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略(RCP)**– 设置对账户中资源的最大可用权限。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[资源控制策略(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解 AWS 如何确定在涉及多种策略类型时是否允许请求,请参阅《IAM 用户指南》**中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# Amazon CloudWatch 如何与 IAM 协同工作
在使用 IAM 管理对 CloudWatch 的访问之前,您应该了解哪些 IAM 功能可用于 CloudWatch。
下表列出可与 Amazon CloudWatch 结合使用的 IAM 功能。
| IAM 功能 | CloudWatch 支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies-cw) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies-cw) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions-cw) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources-cw) | 是 |
| [策略条件键(特定于服务)](#security_iam_service-with-iam-id-based-policies-conditionkeys-cw) | 是 |
| [ACL](#security_iam_service-with-iam-acls-cw) | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-tags-cw) | 部分 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds-cw) | 是 |
| [主体权限](#security_iam_service-with-iam-principal-permissions-cw) | 是 |
| [服务角色](#security_iam_service-with-iam-roles-service-cw) | 是 |
| [服务关联角色](security_iam_service-with-iam-cwim.md#security_iam_service-with-iam-roles-service-linked) | 否 |
要大致了解 CloudWatch 和其他 AWS 服务如何与大多数 IAM 功能结合使用,请参阅《IAM 用户指南》**中的[与 IAM 结合使用的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 适用于 CloudWatch 的基于身份的策略
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 适用于 CloudWatch 的基于身份的策略示例
要查看适用于 CloudWatch 的基于身份的策略的示例,请参阅 [适用于 Amazon CloudWatch 的基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## CloudWatch 内基于资源的策略
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。主体可以包括账户、用户、角色、联合用户或。AWS 服务
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 适用于 CloudWatch 的策略操作
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看 CloudWatch 操作的列表,请参阅《服务授权参考》**中的 [Amazon CloudWatch 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)。
CloudWatch 中的策略操作在操作前使用以下前缀:
```
cloudwatch
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"cloudwatch:action1",
"cloudwatch:action2"
]
```
要查看适用于 CloudWatch 的基于身份的策略的示例,请参阅 [适用于 Amazon CloudWatch 的基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 适用于 CloudWatch 的策略资源
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
有关 CloudWatch 资源类型及其 ARN 的列表,请参阅《服务授权参考》**中的 [Amazon CloudWatch 定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 [Amazon CloudWatch 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)。
要查看适用于 CloudWatch 的基于身份的策略的示例,请参阅 [适用于 Amazon CloudWatch 的基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 适用于 CloudWatch 的策略条件键
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
有关 CloudWatch 条件键的列表,请参阅《服务授权参考》**中的 [Amazon CloudWatch 的条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys)。要了解您可以对哪些操作和资源使用条件键,请参阅 [Amazon CloudWatch 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)。
要查看适用于 CloudWatch 的基于身份的策略的示例,请参阅 [适用于 Amazon CloudWatch 的基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## CloudWatch 中的 ACL
**支持 ACL:**否
访问控制列表(ACL)控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,但它们不使用 JSON 策略文档格式。
## ABAC 以及 CloudWatch
**支持 ABAC(策略中的标签):**部分支持
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略,以支持在主体的标签与资源上的标签匹配时执行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 将临时凭证用于 CloudWatch
**支持临时凭证:**是
临时凭证提供对 AWS 资源的短期访问权限,并且是在您使用联合身份验证或切换角色时自动创建的。AWS 建议您动态生成临时凭证,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## CloudWatch 的跨服务主体权限
**支持转发访问会话(FAS):**是
转发访问会话(FAS)使用调用 AWS 服务 的主体的权限,与发出请求的 AWS 服务 结合,向下游服务发出请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 适用于 CloudWatch 的服务角色
**支持服务角色:**是
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务 委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
更改服务角色的权限可能会破坏 CloudWatch 的功能。仅当 CloudWatch 提供相关指导时才编辑服务角色。
# 适用于 Amazon CloudWatch 的基于身份的策略示例
默认情况下,用户和角色没有创建或修改 CloudWatch 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 CloudWatch 定义的操作和资源类型的详细信息,包括每种资源类型的 ARN 格式,请参阅《服务授权参考》**中的 [Amazon CloudWatch 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [使用 CloudWatch 控制台](#security_iam_id-based-policy-examples-console)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 CloudWatch 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **AWS 托管式策略及转向最低权限许可入门**:要开始向用户和工作负载授予权限,请使用 *AWS 托管式策略*来为许多常见使用场景授予权限。您可以在 AWS 账户 中找到这些策略。建议通过定义特定于您的使用场景的 AWS 客户托管式策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的 AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果通过特定 AWS 服务(例如 CloudFormation)使用服务操作,您还可以使用条件来授予对服务操作的访问权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证(MFA)**:如果您所处的场景要求您的 AWS 账户 中有 IAM 用户或根用户,请启用 MFA 来提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 CloudWatch 控制台
要访问 Amazon CloudWatch 控制台,您必须拥有最低权限。这些权限必须允许您列出和查看有关您 AWS 账户 中的 CloudWatch 资源的详细信息。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于只需要调用 AWS CLI 或 AWS API 的用户,无需为其提供最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保用户和角色仍可使用 CloudWatch 控制台,请同时将 CloudWatch `ConsoleAccess` 或 `ReadOnly` AWS 托管式策略添加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
### CloudWatch 控制台所需的权限
下面列出了使用 CloudWatch 控制台所需的完整权限。这些权限提供对 CloudWatch 控制台的完全写入和读取权限。
+ application-autoscaling:DescribeScalingPolicies
+ autoscaling:DescribeAutoScalingGroups
+ autoscaling:DescribePolicies
+ cloudtrail:DescribeTrails
+ cloudwatch:DeleteAlarms
+ cloudwatch:DescribeAlarmHistory
+ cloudwatch:DescribeAlarms
+ cloudwatch:GetMetricData
+ cloudwatch:GetMetricStatistics
+ cloudwatch:ListMetrics
+ cloudwatch:PutMetricAlarm
+ cloudwatch:PutMetricData
+ ec2:DescribeInstances
+ ec2:DescribeTags
+ ec2:DescribeVolumes
+ es:DescribeElasticsearchDomain
+ es:ListDomainNames
+ events:DeleteRule
+ events:DescribeRule
+ events:DisableRule
+ events:EnableRule
+ events:ListRules
+ events:PutRule
+ iam:AttachRolePolicy
+ iam:CreateRole
+ iam:GetPolicy
+ iam:GetPolicyVersion
+ iam:GetRole
+ iam:ListAttachedRolePolicies
+ iam:ListRoles
+ kinesis:DescribeStream
+ kinesis:ListStreams
+ lambda:AddPermission
+ lambda:CreateFunction
+ lambda:GetFunctionConfiguration
+ lambda:ListAliases
+ lambda:ListFunctions
+ lambda:ListVersionsByFunction
+ lambda:RemovePermission
+ logs:CancelExportTask
+ logs:CreateExportTask
+ logs:CreateLogGroup
+ logs:CreateLogStream
+ logs:DeleteLogGroup
+ logs:DeleteLogStream
+ logs:DeleteMetricFilter
+ logs:DeleteRetentionPolicy
+ logs:DeleteSubscriptionFilter
+ logs:DescribeExportTasks
+ logs:DescribeLogGroups
+ logs:DescribeLogStreams
+ logs:DescribeMetricFilters
+ logs:DescribeQueries
+ logs:DescribeSubscriptionFilters
+ logs:FilterLogEvents
+ logs:GetLogGroupFields
+ logs:GetLogRecord
+ logs:GetLogEvents
+ logs:GetQueryResults
+ logs:PutMetricFilter
+ logs:PutRetentionPolicy
+ logs:PutSubscriptionFilter
+ logs:StartQuery
+ logs:StopQuery
+ logs:TestMetricFilter
+ s3:CreateBucket
+ s3:ListBucket
+ sns:CreateTopic
+ sns:GetTopicAttributes
+ sns:ListSubscriptions
+ sns:ListTopics
+ sns:SetTopicAttributes
+ sns:Subscribe
+ sns:Unsubscribe
+ sqs:GetQueueAttributes
+ sqs:GetQueueUrl
+ sqs:ListQueues
+ sqs:SetQueueAttributes
+ swf:CreateAction
+ swf:DescribeAction
+ swf:ListActionTemplates
+ swf:RegisterAction
+ swf:RegisterDomain
+ swf:UpdateAction
此外,要查看 X-Ray 跟踪地图,您需要 `AWSXrayReadOnlyAccess`
# Amazon CloudWatch 身份和访问问题排查
使用以下信息可帮助您诊断和修复在使用 CloudWatch 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在 CloudWatch 中执行操作](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我希望允许我的 AWS 账户 以外的人访问我的 CloudWatch 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在 CloudWatch 中执行操作
如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `cloudwatch:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudwatch:GetWidget on resource: my-example-widget
```
在此情况下,必须更新 `mateojackson` 用户的策略,以允许使用 `cloudwatch:GetWidget` 操作访问 `my-example-widget` 资源。
如果您需要帮助,请联系 AWS 管理员。您的管理员是提供登录凭证的人。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略才能将角色传递给 CloudWatch。
有些 AWS 服务 允许将现有角色传递到该服务,而不是创建新服务角色或服务关联角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 CloudWatch 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系 AWS 管理员。您的管理员是提供登录凭证的人。
## 我希望允许我的 AWS 账户 以外的人访问我的 CloudWatch 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。
要了解更多信息,请参阅以下内容:
+ 要了解 CloudWatch 是否支持这些功能,请参阅 [Amazon CloudWatch 如何与 IAM 协同工作](security_iam_service-with-iam.md)。
+ 要了解如何为您拥有的 AWS 账户中的资源提供访问权限,请参阅《IAM 用户指南》**中的[为您拥有的另一个 AWS 账户中的 IAM 用户提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。
+ 要了解如何为第三方 AWS 账户 提供您的资源的访问权限,请参阅《IAM 用户指南》**中的[为第三方拥有的 AWS 账户 提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# CloudWatch 控制面板权限更新
从 2018 年 5 月 1 日起,AWS 改变了访问 CloudWatch 控制面板所需的权限。现在,CloudWatch 控制台中的控制面板访问需要在 2017 年推出的权限,以支持控制面板 API 操作:
+ **cloudwatch:GetDashboard**
+ **cloudwatch:ListDashboards**
+ **cloudwatch:PutDashboard**
+ **cloudwatch:DeleteDashboards**
要访问 CloudWatch 控制面板,您需要以下项目之一:
+ **AdministratorAccess** 策略。
+ **CloudWatchFullAccess** 策略。
+ 包含以下一个或多个特定权限的自定义策略:
+ `cloudwatch:GetDashboard` 和 `cloudwatch:ListDashboards` 能够查看控制面板
+ `cloudwatch:PutDashboard` 能够创建或修改控制面板
+ `cloudwatch:DeleteDashboards` 能够删除控制面板
有关使用策略更改 IAM 用户权限的更多信息,请参阅[更改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。
有关 CloudWatch 权限的更多信息,请参阅 [Amazon CloudWatch 权限参考](permissions-reference-cw.md)。
有关控制面板 API 操作的更多信息,请参阅《Amazon CloudWatch API 参考》中的 [PutDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutDashboard.html)。
# 用于 CloudWatch 的 AWS 托管式(预定义)策略
AWS 通过提供由 AWS 创建和管理的独立 IAM 策略来满足许多常用案例的要求。这些 AWS 托管策略可针对常用案例授予必要的权限,使您免去调查所需权限的工作。有关更多信息,请参阅《IAM 用户指南》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)**。
以下 AWS 托管式策略(可附加到您账户中的用户)特定于 CloudWatch。
**Topics**
+ [CloudWatch 对 AWS 托管式策略的更新](#security-iam-awsmanpol-updates)
+ [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)
+ [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess)
+ [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)
+ [CloudWatchActionsEC2Access](#managed-policies-cloudwatch-CloudWatchActionsEC2Access)
+ [CloudWatch-CrossAccountAccess](#managed-policies-cloudwatch-CloudWatch-CrossAccountAccess)
+ [CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess)
+ [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy)
+ [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy)
+ [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)
+ [用于 CloudWatch 跨账户可观测性的 AWS 托管(预定义)策略](#managed-policies-cloudwatch-crossaccount)
+ [用于 CloudWatch 调查的 AWS 托管式(预定义)策略](#managed-policies-cloudwatch-QInvestigations)
+ [用于 CloudWatch Application Signals 的 AWS 托管(预定义)策略](#managed-policies-cloudwatch-ApplicationSignals)
+ [用于 CloudWatch Synthetics 的 AWS 托管式(预定义)策略](#managed-policies-cloudwatch-canaries)
+ [适用于 Amazon CloudWatch RUM 的 AWS 托管式(预定义)策略](#managed-policies-cloudwatch-RUM)
+ [适用于 AWS Systems Manager Incident Manager 的 AWS 托管式策略](#managed-policies-cloudwatch-incident-manager)
## CloudWatch 对 AWS 托管式策略的更新
查看有关 CloudWatch 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 CloudWatch 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 策略已更新 | CloudWatch 更新了 **CloudWatchSyntheticsFullAccess** 策略。 添加了 `cloudwatch:ListMetrics` 权限,以便 CloudWatch Synthetics 可以列出可用指标。此外,`apigateway:GET` 权限已从允许所有资源更改为特定的 API Gateway 资源:REST API、REST API 阶段、REST API 阶段 Swagger 导出和 HTTP API。 | March 31, 2026 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 更新了策略 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 策略。添加了支持 CloudWatch 调查的权限,以协助进行查询、问题排查和拓扑映射。 添加了以下权限:`appsync:GetGraphqlApiEnvironmentVariables`、`cloudtrail:GetEventConfiguration`、`kms:GetKeyPolicy` 和 `s3:GetBucketAbac` | 2026 年 2 月 6 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 更新了策略 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 策略。添加了支持 CloudWatch 调查的权限,以协助进行查询、问题排查和拓扑映射。 添加了以下权限:`kms:GetKeyRotationStatus`、`kms:ListAliases` 和 `kms:ListKeyRotations` | 2025 年 12 月 17 日 |
| [ CloudWatchNetworkMonitorServiceRolePolicy](security-iam-awsmanpol-nw.md#security-iam-CloudWatchNetworkMonitorServiceRolePolicy) – 更新了策略 | CloudWatch 在 **CloudWatchNetworkMonitorServiceRolePolicy** 托管式策略中新增以下权限:`ec2:DescribeRouteTables`、`ec2:DescribeTransitGatewayAttachments`、`ec2:DescribeTransitGatewayRouteTables`、`ec2:SearchTransitGatewayRoutes`。新增权限后,网络综合监测仪可向使用中转网关的客户生成网络运行状况指标数值。 | 2025 年 12 月 12 日 |
| [ CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 更新了策略 | CloudWatch 在 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 托管式策略中,新增 `ec2:DescribeVpcEndpoints` 与 `ec2:DescribeVpcEndpointServiceConfigurations` 权限。新增权限后,网络流量监测仪可生成 VPC 端点及 VPCE 服务配置的拓扑快照。 | 2025 年 12 月 10 日 |
| [ CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新了策略 | CloudWatch 添加了对 **CloudWatchFullAccessV2** 的权限。 添加了可观测性管理操作的权限,以允许对遥测管道及 S3 表集成进行全权限访问。 | 2025 年 12 月 2 日 |
| [ CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新了策略 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 添加了可观测性管理操作的权限,以允许对遥测管道及 S3 表集成进行只读访问。 | 2025 年 12 月 2 日 |
| [CloudWatchFullAccessV2 ](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新了策略 | CloudWatch 更新了 **CloudWatchFullAccessV2** 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及通过启用 Resource Explorer 从 Application Signals 中查询未埋点服务和资源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – 更新了策略 | CloudWatch 更新了 **CloudWatchApplicationSignalsFullAccess** 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及通过启用 Resource Explorer 从 Application Signals 中查询未埋点服务和资源。 | 2025 年 11 月 20 日 |
| [CloudWatchReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新了策略 | CloudWatch 更新了 **CloudWatchReadOnlyAccess** 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及从 Application Signals 中查询未埋点服务和资源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – 更新了策略 | CloudWatch 更新了 **CloudWatchApplicationSignalsReadOnlyAccess** 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及从 Application Signals 中查询未埋点服务和资源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新为现有策略 | CloudWatch 更新了名为 **CloudWatchApplicationSignalsServiceRolePolicy** 的策略。 更新了该策略,新增 `resource-explorer-2:Search` 和 `cloudtrail:CreateServiceLinkedChannel` 权限,以启用新的 Application Signals 功能。 | 2025 年 11 月 20 日 |
| [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 更新了策略 | CloudWatch 更新了 **AIOpsConsoleAdminPolicy** 策略,新增 Amazon Q 集成权限,让用户能够通过 Amazon Q 的对话式界面与 CloudWatch 调查功能事件报告进行交互。 | 2025 年 11 月 17 日 |
| [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) – 更新了策略 | CloudWatch 更新了 **AIOpsOperatorAccess** 策略,新增 Amazon Q 集成权限,让用户能够通过 Amazon Q 的对话式界面与 CloudWatch 调查功能事件报告进行交互。 | 2025 年 11 月 7 日 |
| [ CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 更新了策略 | CloudWatch 在 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 托管式策略中,新增 `ec2:DescribeManagedPrefixLists` 与 `ec2:GetManagedPrefixListEntries` 权限。新增权限后,网络流量监测仪可生成托管前缀列表的拓扑快照。 | 2025 年 11 月 6 日 |
| [AIOpsAssistantIncidentReportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html) – 新策略 | CloudWatch 添加了 **AIOpsAssistantIncidentReportPolicy** 策略,使 CloudWatch 调查功能可基于调查数据生成事件报告,包括访问调查、创建报告和管理人工智能分析得出的事实所需的权限。 | 2025 年 10 月 10 日 |
| [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) – 更新了策略 | CloudWatch 更新了 **AIOpsOperatorAccess** 策略,新增事件报告生成权限,让用户能够创建和管理事件报告,并在 CloudWatch 调查中处理人工智能分析得出的事实。 | 2025 年 10 月 10 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新。 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 添加了可观测性管理操作的权限,允许跨 AWS Organizations 对遥测规则、集中配置和资源遥测数据进行只读访问。 | 2025 年 10 月 10 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新现有策略 | CloudWatch 对 **CloudWatchFullAccessV2** 策略进行更新,新增 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。 | 2025 年 10 月 8 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 对 **CloudWatchReadOnlyAccess** 策略进行更新,新增 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。 | 2025 年 10 月 8 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html) – 更新了策略 | CloudWatch 更新了 **CloudWatchApplicationSignalsReadOnlyAccess** 策略,使其支持查看账户内资源与服务的变更情况,以及账户中服务异常的重点观测数据。 | 2025 年 9 月 29 日 |
| [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html) – 更新了策略 | CloudWatch 更新了 **CloudWatchApplicationSignalsFullAccess** 策略,使其支持查看账户内资源与服务的变更情况,以及账户中服务异常的重点观测数据。 | 2025 年 9 月 29 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 更新了策略 | CloudWatch 更新了 **AIOpsAssistantPolicy**,允许 CloudWatch 调查访问更多资源,以帮助进行查询、问题排查和拓扑映射。 此策略授予 CloudWatch 调查功能进行调查所需的权限。 | 2025 年 9 月 24 日 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 更新的策略 | CloudWatch 已更新 **AIOpsConsoleAdminPolicy** 策略,支持跨账户验证调查分析组。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 | 2025 年 6 月 13 日 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – 已更新策略 | CloudWatch 已更新 **AIOpsOperatorAccess** 策略,支持跨账户验证调查分析组。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 | 2025 年 6 月 13 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 对现有策略的更新 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 策略。它添加了相关权限,使 CloudWatch Application Insights 的操作调查能够在调查过程中从您的资源中查找信息。 增加了以下权限:`appsync:GetGraphqlApi`、`appsync:GetDataSource`、`iam:ListAttachedRolePolicies`、`iam:ListRolePolicies` 和 `iam:ListRoles` 此外,该 `elastic-inference:Describe*` 权限已从策略中删除。 | 2025 年 6 月 13 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新后的策略 | CloudWatch 向 **AmazonCloudWatchRUMReadOnlyAccess** 策略添加了权限。 添加了 `synthetics: describeCanaries` 和 `synthetics:describeCanariesLastRun`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 Synthetics Canary。 添加了 `cloudwatch:GetMetricData`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 CloudWatch 指标。 添加了 `cloudwatch:DescribeAlarms`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 CloudWatch 警报。 添加了 `logs:DescribeLogGroups`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 CloudWatch 日志。 添加了 `xray:GetTraceSummaries`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 X-Ray 跟踪分段。 添加了 `rum:ListTagsForResources`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的标签。 | 2025 年 6 月 28 日 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – 已更新策略 | CloudWatch 已更新 **AIOpsReadOnlyAccess** 策略,支持跨账户验证调查分析组。 此策略授予用户对 Amazon AI Operations 和其他相关服务的只读权限。 | 2025 年 6 月 5 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新后的策略 | CloudWatch 为 **AmazonCloudWatchRUMReadOnlyAccess** 策略添加了权限。 添加了 `rum:GetResourcePolicy` 权限,以便 CloudWatch RUM 可以查看附加到 RUM 应用程序监视器的资源策略。 | 2025 年 4 月 28 日 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 新策略 | CloudWatch 创建了一项名为 **AIOpsConsoleAdminPolicy** 的新策略。 该策略授予用户完全管理访问权限来管理 CloudWatch 调查,包括管理可信身份传播以及管理 IAM Identity Center 和组织访问。 | 2024 年 12 月 3 日 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – 新策略 | CloudWatch 创建了一项名为 **AIOpsOperatorAccess** 的新策略。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 | 2024 年 12 月 3 日 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – 新策略 | CloudWatch 创建了一项名为 **AIOpsReadOnlyAccess** 的新策略。 此策略授予用户对 Amazon AI Operations 和其他相关服务的只读权限。 | 2024 年 12 月 3 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 新策略 | CloudWatch 创建了一项名为 **AIOpsAssistantPolicy** 的新策略。 您不会将此策略分配给用户。而是将此策略分配给 Amazon AI 操作助手,以便 Amazon Q 操作调查能够在调查操作事件期间分析 AWS 资源。 | 2024 年 12 月 3 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新现有策略 | CloudWatch 更新了 **CloudWatchFullAccessV2** 和 **CloudWatchFullAccess**。 添加了 Amazon OpenSearch Service 的权限,以便 CloudWatch Logs 与 OpenSearch Service 的某些功能集成。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorServiceRolePolicy](using-service-linked-roles-network-flow-monitor.md) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchNetworkFlowMonitorServiceRolePolicy**。 **CloudWatchNetworkFlowMonitorServiceRolePolicy** 授予网络流量监测仪将指标发布到 CloudWatch 的权限。该策略还允许服务使用 AWS Organizations 获取多账户场景的信息。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**。 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 授予网络流监测仪生成账户中所使用资源的拓扑快照的权限。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchNetworkFlowMonitorAgentPublishPolicy**。 **CloudWatchNetworkFlowMonitorAgentPublishPolicy** 授予 Amazon EC2 和 Amazon EKS instances 等资源向网络流量监测仪端点发送遥测报告(指标)的权限。 | 2024 年 12 月 1 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch 更新了名为 **CloudWatchSyntheticsFullAccess** 的策略。 添加了以下 CloudWatch Logs 操作,允许 CloudWatch Synthetics 获取和使用 Lambda 日志组中的 Canary 日志数据。还添加了 `lambda:GetFunction` 权限,允许 Synthetics 获取有关特定函数的信息。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch.html) 此外,Lambda 层版本操作现在适用于所有 CloudWatch Synthetics 层 ARN。 | 2024 年 11 月 20 日 |
| [CloudWatchInternetMonitorReadOnlyAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorReadOnlyAccess) – 新的 **CloudWatchInternetMonitorReadOnlyAccess**。 此策略将授予对 CloudWatch 网络监测仪控制台中可用资源和操作的只读访问权限。此策略的范围包括 `internetmonitor:`,从而确保用户能够使用只读网络监测仪操作和资源。它包含检索 CloudWatch 指标相关信息的一些 `cloudwatch:` 策略。它包含管理日志查询的一些 `logs:` 策略。 | 2024 年 11 月 14 日 |
| [CloudWatchInternetMonitorFullAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorFullAccess) – 新策略 | CloudWatch 创建了一个名为 **CloudWatchInternetMonitorFullAccess** 的新策略。 此策略将授予对 CloudWatch 网络监测仪控制台中可用资源和操作的完全访问权限。此策略的范围包括 `internetmonitor:`,从而确保用户能够使用网络监测仪操作和资源。它包含检索 CloudWatch 警报和指标相关信息的一些 `cloudwatch:` 策略。它包含管理日志查询的一些 `logs:` 策略。其中包括某些 `ec2:`、`cloudfront:`、`elasticloadbalancing:` 和 `workspaces:` 策略,以便使用您添加到监测仪的资源,从而确保网络监测仪能够创建应用程序的流量概况。它包含管理 IAM 角色的一些 `iam:` 策略。 | 2024 年 10 月 23 日 |
| [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](#managed-policies-CloudWatchLambdaApplicationSignalsExecutionRolePolicy) – 新的 **CloudWatchLambdaApplicationSignalsExecutionRolePolicy**。 为 Lambda 工作负载启用 CloudWatch Application Signals 时将使用此策略。这会允许对 X-Ray 和 CloudWatch Application Signals 使用的日志组进行写入访问。 | 2024 年 10 月 16 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch 更新了名为 **CloudWatchSyntheticsFullAccess** 的策略。 添加了 `lambda:ListTags`、`lambda:TagResource` 和 `lambda:UntagResource` 权限,以便您在金丝雀上应用或更改标签时,可以选择让 Synthetics 也将相同的标签或更改应用于金丝雀使用的 Lambda 函数。 | 2024 年 10 月 11 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – 新策略 | CloudWatch 创建了一项名为 **CloudWatchApplicationSignalsReadOnlyAccess** 的新策略。 此策略授予对 Application Signals 的 CloudWatch 控制台中可用资源和操作的只读访问权限。此策略的范围包括 `application-signals:` 策略,以使用户能够使用 CloudWatch 控制台中 Application Signals 下可用的只读操作和资源。它包含管理 IAM 角色的 `iam:` 策略。它包含管理日志查询和筛选器的一些 `logs:` 策略。它包含检索 CloudWatch 警报和指标相关信息的 `cloudwatch:` 策略。它包含检索 Synthetics Canary 相关信息的一些 `synthetics:` 策略。它包含管理 RUM 客户端和作业的 `rum:` 策略。它包含获取跟踪摘要的 `xray:` 策略。 | 2024 年 6 月 7 日 |
| [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – 新策略 | CloudWatch 创建了一项名为 **CloudWatchApplicationSignalsFullAccess** 的新策略。 此策略授予对 Application Signals 的 CloudWatch 控制台中可用资源和操作的完全访问权限。此策略的范围包括 `application-signals:`,以使用户能够使用 Application Signals 操作和资源。它包含检索 CloudWatch 警报和指标相关信息的一些 `cloudwatch:` 策略。它包含管理日志查询的一些 `logs:` 策略。它包含写入和读取 Synthetics Canary 相关信息的一些 `synthetics:` 策略。它包含管理 RUM 客户端和作业的 `rum:` 策略。它包含获取跟踪摘要的 `xray:` 策略。它包含管理 CloudWatch 警报的一些 `cloudwatch:` 策略。它包含管理 IAM 角色的一些 `iam:` 策略。它包含管理 Amazon Simple Notification Service 通知的一些 `sns:` 策略。 | 2024 年 6 月 7 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2):对现有策略的更新 | CloudWatch 更新了名为 **CloudWatchFullAccessV2** 的策略。 `CloudWatchFullAccessPermissions` 策略的范围已更新为添加 `application-signals:*`,以便用户可以使用 CloudWatch Application Signals 来查看、调查和诊断其服务运行状况的问题。 | 2024 年 5 月 20 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 更新了名为 **CloudWatchReadOnlyAccess** 的策略。 `CloudWatchReadOnlyAccessPermissions` 策略的范围已更新为添加 `application-signals:BatchGet*`、`application-signals:List*` 和 `application-signals:Get*`,以便用户可以使用 CloudWatch Application Signals 来查看、调查和诊断其服务运行状况的问题。`CloudWatchReadOnlyGetRolePermissions` 的范围已更新为添加 `iam:GetRole` 操作,以便用户可以检查是否已设置 CloudWatch Application Signals。 | 2024 年 5 月 20 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新为现有策略 | CloudWatch 更新了名为 **CloudWatchApplicationSignalsServiceRolePolicy** 的策略。 `logs:StartQuery` 和 `logs:GetQueryResults` 权限的范围已更改,添加 `arn:aws:logs:*:*:log-group:/aws/appsignals/*:*` 和 `arn:aws:logs:*:*:log-group:/aws/application-signals/data:*` ARN 以在更多架构上启用 Application Signals。 | 2024 年 4 月 18 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新为现有策略 | CloudWatch 更改了 **CloudWatchApplicationSignalsServiceRolePolicy** 中权限的范围。 `cloudwatch:GetMetricData` 权限的范围已更改为 `*`,以使 Application Signals 可以从关联账户中的源检索指标。 | 2024 年 4 月 8 日 |
| [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy) – 更新到现有策略 | CloudWatch 已将权限添加到 **CloudWatchAgentServerPolicy**。 已添加 `xray:PutTraceSegments`、`xray:PutTelemetryRecords`、`xray:GetSamplingRules`、`xray:GetSamplingTargets`、`xray:GetSamplingStatisticSummaries` 和 `logs:PutRetentionPolicy` 权限,从而使 CloudWatch 代理可以发布 X-Ray 跟踪和修改日志组保留期。 | 2024 年 2 月 12 日 |
| [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy) – 更新到现有策略 | CloudWatch 已将权限添加到 **CloudWatchAgentAdminPolicy**。 已添加 `xray:PutTraceSegments`、`xray:PutTelemetryRecords`、`xray:GetSamplingRules`、`xray:GetSamplingTargets`、`xray:GetSamplingStatisticSummaries` 和 `logs:PutRetentionPolicy` 权限,从而使 CloudWatch 代理可以发布 X-Ray 跟踪和修改日志组保留期。 | 2024 年 2 月 12 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2):对现有策略的更新 | CloudWatch 添加了对 **CloudWatchFullAccessV2** 的权限。 添加了 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 操作的现有权限以及 CloudWatch Application Signals 的新权限,因此拥有此策略的用户可以管理 CloudWatch Application Signals。 添加了创建 CloudWatch Application Signals 服务相关角色的权限,以允许 CloudWatch Application Signals 发现日志、指标、跟踪和标签中的遥测数据。 | 2023 年 12 月 5 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 添加了 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 操作的现有只读权限以及 CloudWatch Application Signals 的新只读权限,因此拥有此策略的用户可以对 CloudWatch Application Signals 报告的服务运行状况问题进行分类和诊断。 添加了 `cloudwatch:GenerateQuery` 权限,以便拥有此策略的用户可以根据自然语言提示来生成 CloudWatch Metrics Insights 查询字符串。 | 2023 年 12 月 5 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新。 | CloudWatch 已向 **CloudWatchReadOnlyAccess** 添加了权限。 添加了 `cloudwatch:GenerateQuery` 权限,以便拥有此策略的用户可以根据自然语言提示来生成 [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) 查询字符串。 | 2023 年 12 月 1 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchApplicationSignalsServiceRolePolicy**。 **CloudWatchApplicationSignalsServiceRolePolicy** 会授予一项即将推出的功能权限,用于收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据和标记数据。 | 2023 年 11 月 9 日 |
| [AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-permissions-dbperfinsights) – 新策略 | CloudWatch 添加了一个新策略 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy**。 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy** 授予 CloudWatch 代表您从数据库获取性能详情指标的权限。 | 2023 年 9 月 20 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 已向 **CloudWatchReadOnlyAccess** 添加了权限。 添加了 `application-autoscaling:DescribeScalingPolicies` 权限,以便拥有此策略的用户可以访问有关 Application Auto Scaling 策略的信息。 | 2023 年 9 月 14 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchFullAccessV2**。 **CloudWatchFullAccessV2** 授予对 CloudWatch 操作和资源的完全访问权限,同时可以更好地限定授予其他服务(例如 Amazon SNS 和 Amazon EC2 Auto Scaling)的权限。有关更多信息,请参阅 [CloudWatchFullAccessV2](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch-CloudWatchFullAccessV2.html)。 | 2023 年 8 月 1 日 |
| [AWSServiceRoleForInternetMonitor](using-service-linked-roles-CWIM.md#service-linked-role-permissions-CWIM-AWSServiceRoleForInternetMonitor) — 更新到现有政策 | Amazon CloudWatch 网络监测仪添加了监控网络负载均衡器资源的新权限。 需要 `elasticloadbalancing:DescribeLoadBalancers` 和 `ec2:DescribeNetworkInterfaces` 权限,以便网络监测仪可以通过分析 NLB 资源的流日志来监测客户的网络负载均衡器流量。 有关更多信息,请参阅 [使用 Internet Monitor](CloudWatch-InternetMonitor.md)。 | 2023 年 7 月 15 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 增加了 `logs:StartLiveTail` 和 `logs:StopLiveTail` 权限,以便使用此策略的用户可以使用控制台启动和停止 CloudWatch Logs Live Tail 会话。有关更多信息,请参阅 [使用 Live Tail 近乎实时地查看日志](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)。 | 2023 年 6 月 6 日 |
| [CloudWatchCrossAccountSharingConfiguration](#managed-policies-cloudwatch-CloudWatchCrossAccountSharingConfiguration) – 新策略 | CloudWatch 添加了新策略,助力您管理用于分享 CloudWatch 指标的 CloudWatch 跨账户可观测性链接。 有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [OAMFullAccess](#managed-policies-cloudwatch-OAMFullAccess) – 新策略 | CloudWatch 添加了新策略,助力您全面管理 CloudWatch 跨账户可观测性链接和汇点。 有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [OAMReadOnlyAccess](#managed-policies-cloudwatch-OAMReadOnlyAccess) – 新策略 | CloudWatch 添加了新策略,助力您查看关于 CloudWatch 跨账户可观测性链接和汇点的信息。 有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess) – 对现有策略的更新 | CloudWatch 添加了对 **CloudWatchFullAccess** 的权限。 添加了 `oam:ListSinks` 和 `oam:ListAttachedLinks` 权限,以便使用此策略的用户可以借助控制台在 CloudWatch 跨账户可观察性中查看源账户共享的数据。 | 2022 年 11 月 27 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 添加了 `oam:ListSinks` 和 `oam:ListAttachedLinks` 权限,以便使用此策略的用户可以借助控制台在 CloudWatch 跨账户可观察性中查看源账户共享的数据。 | 2022 年 11 月 27 日 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – 对现有策略的更新 | CloudWatch RUM 更新了 **AmazonCloudWatchRUMServiceRolePolicy** 中的一个条件键。 `"Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } }` 条件键已进行如下更改,以便 CloudWatch RUM 可以将自定义指标发送到自定义指标命名空间。 "Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
| 2023 年 2 月 2 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新后的策略 | CloudWatch 向 **AmazonCloudWatchRUMReadOnlyAccess** 策略添加了权限。 添加了 `rum:ListRumMetricsDestinations` 和 `rum:BatchGetRumMetricsDefinitions` 权限,这样 CloudWatch RUM 就可以向 CloudWatch 发送扩展指标。 | 2022 年 10 月 27 日 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – 对现有策略的更新 | CloudWatch RUM 向 **AmazonCloudWatchRUMServiceRolePolicy** 添加了权限。 添加了 `cloudwatch:PutMetricData` 权限,这样 CloudWatch RUM 就可以向 CloudWatch 发送扩展指标。 | 2022 年 10 月 26 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch Synthetics 添加了对 **CloudWatchSyntheticsFullAccess** 的权限。 添加了 `lambda:DeleteFunction` 和 `lambda:DeleteLayerVersion` 权限,以便 CloudWatch Synthetics 可在 Canary 时删除相关资源。添加了 `iam:ListAttachedRolePolicies`,以便客户可以查看附加到 Canary IAM 角色的策略。 | 2022 年 5 月 6 日 |
| [AmazonCloudWatchRUMFullAccess](#managed-policies-CloudWatchRUMFullAccess) – 新策略 | CloudWatch 添加了一项启用对 CloudWatch RUM 的全面管理的新策略。 CloudWatch RUM 允许您对 Web 应用程序执行真实的用户监控。有关更多信息,请参阅 [CloudWatch RUM](CloudWatch-RUM.md)。 | 2021 年 11 月 29 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 新策略 | CloudWatch 添加了一项启用对 CloudWatch RUM 的只读访问的新策略。 CloudWatch RUM 允许您对 Web 应用程序执行真实的用户监控。有关更多信息,请参阅 [CloudWatch RUM](CloudWatch-RUM.md)。 | 2021 年 11 月 29 日 |
| [**AWSServiceRoleForCloudWatchRUM**](using-service-linked-roles-RUM.md) – 新的托管式策略 | CloudWatch 添加了一项新的服务相关角色的策略,以允许 CloudWatch RUM 将监控数据发布给其他相关 AWS 服务。 | 2021 年 11 月 29 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch Synthetics 向 **CloudWatchSyntheticsFullAccess** 添加了权限,还更改了一个权限的范围。 添加了 `kms:ListAliases` 权限,以便用户可以列出可用于加密 canary 构件的可用 AWS KMS 密钥。添加了 `kms:DescribeKey` 权限,以便用户可以查看将用于加密 canary 构件的密钥的详细信息。此外,还添加了 `kms:Decrypt` 权限,以便用户能够解密 canary 构件。此解密功能仅限用于 Amazon S3 存储桶中的资源。 `s3:GetBucketLocation` 权限的 `Resource` 范围从 `*` 更改为了 `arn:aws:s3:::*`。 | 2021 年 9 月 29 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch Synthetics 添加了一个对 **CloudWatchSyntheticsFullAccess** 策略的权限。 `lambda:UpdateFunctionCode` 权限,以便使用此策略的用户可以更改 Canary 的运行时版本。 | 2021 年 7 月 20 日 |
| [AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy](#managed-policies-cloudwatch-incident-manager) – 新托管式策略 | CloudWatch 添加了一个新的托管式 IAM 策略,以允许 CloudWatch 在 AWS Systems Manager Incident Manager 中创建事件。 | 2021 年 5 月 10 日 |
| [CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess) – 对现有策略的更新 | CloudWatch 添加了一个对 **CloudWatchAutomaticDashboardsAccess** 托管式策略的权限。`synthetics:DescribeCanariesLastRun` 权限添加到此策略中,以使跨账户控制面板用户能够查看有关 CloudWatch Synthetics canary 运行的详细信息。 | 2021 年 4 月 20 日 |
| CloudWatch 开始跟踪更改 | CloudWatch 开始跟踪其 AWS 托管式策略的更改。 | 2021 年 4 月 14 日 |
## CloudWatchFullAccessV2
AWS 最近添加了 **CloudWatchFullAccessV2** 托管 IAM 策略。此策略授予对 CloudWatch 操作和资源的完全访问权限,并更正确地确定授予其他服务(如 Amazon SNS 和 Amazon EC2 Auto Scaling)的权限范围。我们建议您开始使用此策略,而不是使用 **CloudWatchFullAccess**。AWS 计划在不久的将来弃用 **CloudWatchFullAccess** 。
它包括 `application-signals:` 权限,以便用户可以从 CloudWatch 控制台的 Application Signals 下访问所有功能。它包含一些 `autoscaling:Describe` 权限,以便使用此策略的用户可以查看与 CloudWatch 警报关联的自动扩缩操作。它包含一些 `sns` 权限,以便使用此策略的用户可以检索、创建 Amazon SNS 主题并将其与 CloudWatch 警报关联。它包含 IAM 权限,以便使用此策略的用户可以查看有关与 CloudWatch 关联的服务相关角色的信息。它包含 `oam:ListSinks` 和 `oam:ListAttachedLinks` 权限,以便使用此策略的用户可以借助控制台在 CloudWatch 跨账户可观察性中查看源账户共享的数据。该策略还包括 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。
它包含 Amazon OpenSearch Service 权限,以便支持使用 Amazon OpenSearch Service 分析创建的 CloudWatch Logs 中公开日志控制面板。该策略包括 `resource-explorer-2:` 策略,使用户可以使用控制台查看其账户中的未插桩服务。
其中包括 `rum`、`synthetics` 和 `xray` 权限,因此用户可以完全访问 CloudWatch Synthetics、AWS X-Ray 和 CloudWatch RUM,所有这些都在 CloudWatch 服务范围之内。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchFullAccessV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchFullAccessV2.html)。
## CloudWatchFullAccess
**CloudWatchFullAccess** 策略即将被弃用。我们建议您停止使用它,改用 [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)。
## CloudWatchReadOnlyAccess
**CloudWatchReadOnlyAccess** 策略授予对 CloudWatch 的只读访问权限和相关可观测性功能。
策略包含一些 `logs:` 权限,因此拥有此策略的用户可以使用控制台查看 CloudWatch 日志信息和 CloudWatch Logs Insights 查询。其中包含 `autoscaling:Describe*`,因此拥有此策略的用户可以查看与 CloudWatch 警报关联的 Auto Scaling 操作。它包括 `application-signals:` 权限,以便用户可以使用 Application Signals 来监控其服务的运行状况。其中包含 `application-autoscaling:DescribeScalingPolicies`,因此拥有此策略的用户可以访问有关 Application Auto Scaling 策略的信息。其中包含 `sns:Get*` 和 `sns:List*`,因此拥有此策略的用户可以检索有关接收 CloudWatch 警报通知的 Amazon SNS 主题的信息。其中包含 `oam:ListSinks` 和 `oam:ListAttachedLinks` 权限,因此拥有此策略的用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。它包括 `iam:GetRole` 权限,以便用户可以检查是否已设置 CloudWatch Application Signals。该策略还包括 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。该策略中的可观测性管理权限可用于跨 AWS Organizations 查看遥测规则、集中配置和资源遥测数据。它包含 `cloudwatch:GenerateQuery` 权限,以便具有此策略的用户可以从自然语言提示生成 [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) 查询字符串。该策略包括 `resource-explorer-2:` 策略,使用户可以使用控制台查看其账户中的未插桩服务。
其中包含 `rum`、`synthetics` 和 `xray` 权限,因此用户可以只读访问 CloudWatch Synthetics、AWS X-Ray 和 CloudWatch RUM,所有这些都在 CloudWatch 服务范围之内。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchReadOnlyAccess.html)。
## CloudWatchActionsEC2Access
**CloudWatchActionsEC2Access** 策略授予对 CloudWatch 告警和指标,以及 Amazon EC2 元数据的只读访问权限。其还授予对 EC2 实例的停止、终止和重启 API 操作的访问权限。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchActionsEC2Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchActionsEC2Access.html)。
## CloudWatch-CrossAccountAccess
**CloudWatch-CrossAccountAccess** 托管式策略由**CloudWatch-CrossAccountSharingRole** IAM 角色使用。此角色和策略使跨账户控制面板的用户能够查看共享仪表板的各个账户中的自动控制面板。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatch-CrossAccountAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatch-CrossAccountAccess.html)。
## CloudWatchAutomaticDashboardsAccess
**CloudWatchAutomaticDashboardsAccess** 托管策略授予非 CloudWatch API 访问 CloudWatch 的权限,因此 Lambda 函数等资源可以在 CloudWatch 自动控制面板上显示。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchAutomaticDashboardsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAutomaticDashboardsAccess.html)。
## CloudWatchAgentServerPolicy
**CloudWatchAgentServerPolicy** 策略可用于附加到 Amazon EC2 实例的 IAM 角色中,以允许 CloudWatch 代理从实例读取信息并将其写入 CloudWatch。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html)。
## CloudWatchAgentAdminPolicy
**CloudWatchAgentAdminPolicy** 策略可用于附加到 Amazon EC2 实例的 IAM 角色。此策略允许 CloudWatch 代理从实例读取信息并将其写入 CloudWatch,还可以将信息写入 Parameter Store。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchAgentAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentAdminPolicy.html)。
## CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
您不能将 ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到名为 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服务相关角色。该服务相关角色使用这些权限以及内部元数据信息收集(旨在提高性能效率),为该服务监控网络流量的资源收集有关资源网络配置的元数据,例如描述路由表和网关。借助这些元数据,Network Flow Monitor 能够生成资源的拓扑快照。当出现网络性能下降时,Network Flow Monitor 会使用拓扑来提供有关网络中问题位置的见解,并帮助确定问题的归因。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
有关更多信息,请参阅 [适用于 Network Flow Monitor 的服务相关角色](using-service-linked-roles-network-flow-monitor.md)。
**注意**
您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看这些权限策略。
此外,您还可以创建您自己的自定义 IAM 策略,以授予对 CloudWatch 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。
## 用于 CloudWatch 跨账户可观测性的 AWS 托管(预定义)策略
本节中的策略授予与 CloudWatch 跨账户可观测性相关的权限。有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。
### CloudWatchCrossAccountSharingConfiguration
**CloudWatchCrossAccountSharingConfiguration** 策略授予可创建、管理和查看可观测性访问管理器链接的权限,用于在账户之间共享 CloudWatch 资源。有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchCrossAccountSharingConfiguration.html)。
### OAMFullAccess
**OAMFullAccess** 策略授予可创建、管理和查看可观测性访问管理器汇点和链接的权限,这些汇点和链接用于 CloudWatch 跨账户可观测性。
**OAMFullAccess** 策略本身不允许您跨链接共享可观测性数据。要创建可共享 CloudWatch 指标的链接,您还需要 **CloudWatchFullAccess** 或 **CloudWatchCrossAccountSharingConfiguration**。要创建可共享 CloudWatch Logs 日志组的链接,您还需要 **CloudWatchLogsFullAccess** 或 **CloudWatchLogsCrossAccountSharingConfiguration**。要创建可共享 X-Ray 追踪信息的链接,您还需要 **AWSXRayFullAccess** 或 **AWSXRayCrossAccountSharingConfiguration**。
有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [OAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMFullAccess.html)。
### OAMReadOnlyAccess
**OAMReadOnlyAccess** 策略授予 Observability Access Manager 资源的只读访问权限,用于 CloudWatch 跨账户可观测性。有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [OAMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMReadOnlyAccess.html)。
## 用于 CloudWatch 调查的 AWS 托管式(预定义)策略
本节中的策略授予与 CloudWatch 调查相关的权限。有关更多信息,请参阅 [CloudWatch 调查](Investigations.md)。
### AIOpsConsoleAdminPolicy
**AIOpsConsoleAdminPolicy** 策略通过 AWS 控制台授予对所有 CloudWatch 调查操作及其所需权限的完全访问权限。此策略还授予对 CloudWatch 调查功能所需的其他服务 API 的有限访问权限。
+ 该 `aiops` 权限可授予对全部 CloudWatch 调查操作的访问权限。
+ `organizations`、`sso`、`identitystore` 和 `sts` 权限允许 IAM Identity Center 管理执行所需的操作,这有助于生成身份感知会话。
+ SSM Ops Item 与第三方问题管理集成需要 `ssm` 权限。
+ 管理员需要 `iam` 权限才能将 IAM 角色传递给 `aiops` 和 `ssm.integrations` 服务,助手随后会使用该角色来分析 AWS 资源
**重要**
这些权限允许拥有此策略的用户将任何 IAM 角色传递给 `aiops` 和 `ssm.integrations` 服务。
+ 该权限允许来自 CloudWatch 调查以外的服务的 API,这是调查功能所必需的。这些 API 包括配置 聊天应用程序中的 Amazon Q 开发者版、AWS KMS、CloudTrail 跟踪和 SSM 第三方问题管理的操作。
+ 利用 `q` 权限,用户可与 Amazon Q 集成,从而通过 Amazon Q 的对话式界面,与 CloudWatch 调查功能报告进行交互并更新报告。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsConsoleAdminPolicy.html)。
### AIOpsOperatorAccess
**AIOpsOperatorAccess** 策略授予对一组有限的 CloudWatch 调查 API 的访问权限,其中包括创建、更新和删除调查、调查事件和调查资源。
此策略仅为调查提供权限。您应确保具有此策略的 IAM 主体也有权读取指标、SLO 和 CloudWatch Logs 查询结果等 CloudWatch 可观测性数据。
+ `aiops` 权限允许访问 CloudWatch 调查 API 来创建、更新和删除调查。
+ `sso-directory`、`sso`、`identitystore` 和 `sts` 权限允许 IAM Identity Center 管理执行所需的操作,这有助于生成身份感知会话。
+ SSM Ops Item 与第三方问题管理集成需要 `ssm` 权限。
+ 利用 `q` 权限,用户可与 Amazon Q 集成,从而通过 Amazon Q 的对话式界面,与 CloudWatch 调查功能报告进行交互并更新报告。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)。
### AIOpsReadOnlyAccess
**AIOpsReadOnlyAccess** 策略授予 CloudWatch 调查和其他相关服务的只读权限。
+ `aiops` 权限允许访问 CloudWatch 调查 API 来获取、列出和验证调查租。
+ `sso` 权限允许 IAM Identity Center 管理执行所需的操作,这些操作可助力实现具备身份感知能力的会话。
+ SSM Ops Item 与第三方问题管理集成需要 `ssm` 权限。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AIOpsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsReadOnlyAccess.html)。
### AIOpsAssistantPolicy
**AIOpsAssistantPolicy** 策略是 AWS 推荐的默认策略,用于分配给您的调查组使用的 Amazon AI 操作(AIOps)角色,使其能够在调查运营事件期间分析您的 AWS 资源。此策略不供人类用户使用。
您可以选择在创建调查时自动分配策略,也可以手动将策略分配给调查所使用的角色。此策略的权限范围基于 CloudWatch 调查功能在执行调查时分析的资源来界定;随着后续支持的资源种类增多,此策略也将随之更新。有关使用 CloudWatch 调查功能的服务的完整列表,请参阅 [支持调查的 AWS 服务](Investigations-Services.md)。
除了为助手分配 **AIOpsAssistantPolicy** 策略之外,还可以选择为助手分配常规的 AWS [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html) 策略。这样做的原因是 AWS 将更频繁地更新 **ReadOnlyAccess**,以便提供发布的新 AWS 服务和操作的权限。**AIOpsAssistantPolicy** 也将针对新操作进行更新,但更新频率不会那么高。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AIOpsAssistantPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)。
### AIOpsAssistantIncidentReportPolicy
**AIOpsAssistantIncidentReportPolicy** 策略使 CloudWatch 调查功能可基于调查数据生成事件报告。
此策略旨在供 CloudWatch 调查功能使用,以便基于调查发现自动生成事件报告。
+ `aiops` 权限允许访问 CloudWatch 调查 API 以读取调查数据和事件、创建和更新事件报告,以及管理构成报告生成基础的人工智能分析得出的事实。
要查看该政策的全部内容,请参阅**《AWS 托管式策略参考指南》中的 [AIOpsAssistantIncidentReportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html)。
## 用于 CloudWatch Application Signals 的 AWS 托管(预定义)策略
本节中的策略授予与 CloudWatch Application Signals 相关的权限。有关更多信息,请参阅 [Application Signals](CloudWatch-Application-Monitoring-Sections.md)。
### CloudWatchApplicationSignalsReadOnlyAccess
AWS 添加了 **CloudWatchApplicationSignalsReadOnlyAccess** 托管 IAM 策略。此策略授予用户对 CloudWatch 控制台中 Application Signals 下可用操作和资源的只读访问权限。它包括 `application-signals:` 策略,以使用户可以使用 CloudWatch Application Signals 来查看、调查和监控其服务的运行状况。它包括一项允许用户检索 IAM 角色相关信息的 `iam:GetRole` 策略。它包括启动和停止查询、检索指标筛选器的配置以及获取查询结果的 `logs:` 策略。它包括 `cloudwatch:` 策略,以使用户能够获取有关 CloudWatch 警报或指标的信息。它包括 `synthetics:` 策略,以使用户能够检索有关 Synthetics canary 运行的信息。它包括运行批量操作、检索数据和更新 RUM 客户端指标定义的 `rum:` 策略。它包括一项检索跟踪摘要的 `xray:` 策略。其中包含 `oam:` 策略,以便用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。该策略包括 `resource-explorer-2:` 策略,使用户可以使用控制台查看其账户中的未插桩服务。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html)。
### CloudWatchApplicationSignalsFullAccess
AWS 添加了 **CloudWatchApplicationSignalsFullAccess** 托管 IAM 策略。此策略授予用户对 CloudWatch 控制台中所有可用操作和资源的访问权限。它包括 `application-signals:` 策略,以使用户可以使用 CloudWatch Application Signals 来查看、调查和监控其服务的运行状况。它使用 `cloudwatch:` 策略从指标和警报中检索数据。它使用 `logs:` 策略来管理查询和筛选器。它使用 `synthetics:` 策略,以使用户能够检索有关 Synthetics canary 运行的信息。它包括运行批量操作、检索数据和更新 RUM 客户端指标定义的 `rum:` 策略。它包括一项检索跟踪摘要的 `xray:` 策略。它包括 `arn:aws:cloudwatch:*:*:alarm:` 策略,以使用户能够检索有关服务级别目标(SLO)警报的信息。它包括管理 IAM 角色的 `iam:` 策略。它使用 `sns:` 策略创建、列出和订阅 Amazon SNS 主题。其中包含 `oam:` 策略,以便用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。其中包含 `resource-explorer-2:` 策略,以便用户可以使用控制台查看其账户中的未插桩服务
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html)。
### CloudWatchLambdaApplicationSignalsExecutionRolePolicy
为 Lambda 工作负载启用 CloudWatch Application Signals 时将使用此策略。这会允许对 X-Ray 和 CloudWatch Application Signals 使用的日志组进行写入访问。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLambdaApplicationSignalsExecutionRolePolicy.html)。
## 用于 CloudWatch Synthetics 的 AWS 托管式(预定义)策略
**CloudWatchSyntheticsFullAccess** 和 **CloudWatchSyntheticsReadOnlyAccess** AWS 托管式策略可供您分配给将要管理或使用 CloudWatch Synthetics 的用户。以下其他策略也是相关的:
+ **AmazonS3ReadOnlyAccess** 和 **CloudWatchReadOnlyAccess** – 在 CloudWatch 控制台中读取所有 Synthetics 数据所必需的策略。
+ **AWSLambdaReadOnlyAccess** – 查看 Canary 所用源代码的所需策略。
+ **CloudWatchSyntheticsFullAccess** – 允许创建 Canary。此外,要创建和删除为其创建了新 IAM 角色的金丝雀,还需要特定内联策略权限。
**重要**
授予用户 `iam:CreateRole`、`iam:DeleteRole`、`iam:CreatePolicy`、`iam:DeletePolicy`、`iam:AttachRolePolicy` 和 `iam:DetachRolePolicy` 权限,将授予用户完全管理访问权限,用户可以创建、附加和删除具有匹配 `arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*` 和 `arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*` 的 ARN 的角色和策略。例如,拥有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到匹配该 ARN 模式的任何角色。请谨慎地为相关人员授予这些权限。
有关附加策略和向用户授予权限的信息,请参阅[更改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)和[为用户或角色嵌入内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console)。
### CloudWatchSyntheticsFullAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchSyntheticsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsFullAccess.html)。
### CloudWatchSyntheticsReadOnlyAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchSyntheticsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsReadOnlyAccess.html)。
## 适用于 Amazon CloudWatch RUM 的 AWS 托管式(预定义)策略
您可以将 AWS 托管式策略 **AmazonCloudWatchRUMFullAccess** 和 **AmazonCloudWatchRUMReadOnlyAccess** 分配给将管理或使用 CloudWatch RUM 的用户。
### AmazonCloudWatchRUMFullAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AmazonCloudWatchRUMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMFullAccess.html)。
### AmazonCloudWatchRUMReadOnlyAccess
**AmazonCloudWatchRUMReadOnlyAccess** 允许对 CloudWatch RUM 进行只读管理访问。
+ 通过该 `synthetics` 权限,可以在 RUM 应用程序监视器中显示关联的 Synthetics Canary
+ 通过该 `cloudwatch` 权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 指标
+ 通过该 `cloudwatch alarms` 权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 警报
+ 通过该 `cloudwatch logs` 权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 日志
+ 通过该 `x-ray` 权限,可以在 RUM 应用程序监视器中显示关联的 X-Ray 跟踪分段
+ 通过该 `rum` 权限,可以在 RUM 应用程序监视器中显示关联的标签
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AmazonCloudWatchRUMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMReadOnlyAccess.html)。
### AmazonCloudWatchRUMServiceRolePolicy
您无法将 **AmazonCloudWatchRUMServiceRolePolicy** 附加到 IAM 实体。此策略会附加到允许 CloudWatch RUM 向其他相关 AWS 服务发布监控数据的服务相关角色。有关此服务相关角色的更多信息,请参阅 [对 CloudWatch RUM 使用服务相关角色](using-service-linked-roles-RUM.md)。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AmazonCloudWatchRUMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMServiceRolePolicy.html)。
## 适用于 AWS Systems Manager Incident Manager 的 AWS 托管式策略
**AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy** 策略附加到一个与服务相关的角色,该角色允许 CloudWatch 在 AWS Systems Manager Incident Manager 中代表您启动事件。有关更多信息,请参阅 [CloudWatch 告警 Systems Manager Incident Manager 操作的服务相关角色权限](using-service-linked-roles.md#service-linked-role-permissions-incident-manager)。
该策略具有以下权限:
+ ssm-incidents:StartIncident
# 客户管理型策略示例
本节的用户策略示例介绍如何授予对各 CloudWatch 操作的权限。当您使用 CloudWatch API、AWS SDK 或 AWS CLI 时,可以使用这些策略。
**Topics**
+ [示例 1:允许用户对 CloudWatch 进行完全访问](#full-access-example-cw)
+ [示例 2:允许对 CloudWatch 进行只读访问](#read-only-access-example-cw)
+ [示例 3:停止或终止 Amazon EC2 实例](#stop-terminate-example-cw)
## 示例 1:允许用户对 CloudWatch 进行完全访问
要授予用户对 CloudWatch 的完全访问权限,您可以使用授予用户 **CloudWatchFullAccess** 托管式策略,而不必创建客户托管式策略。**CloudWatchFullAccess** 策略的内容列在 [CloudWatchFullAccess](managed-policies-cloudwatch.md#managed-policies-cloudwatch-CloudWatchFullAccess) 中。
## 示例 2:允许对 CloudWatch 进行只读访问
以下策略允许用户对 CloudWatch 进行只读访问以及查看 Amazon EC2 Auto Scaling 操作、CloudWatch 指标、CloudWatch Logs 数据以及告警相关 Amazon SNS 数据。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"logs:Get*",
"logs:Describe*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"sns:Get*",
"sns:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 示例 3:停止或终止 Amazon EC2 实例
以下策略允许 CloudWatch 告警操作停止或终止 EC2 实例。在以下示例中,GetMetricData、ListMetrics 和 DescribeAlarms 操作是可选的。建议您选择这些操作以确保正确停止或终止了实例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
# 使用条件键限制对 CloudWatch 的访问
要了解可在 IAM 策略的 `Condition` 元素中使用的服务特定条件键,请参阅以下主题。您可以使用这些键进一步细化应用策略语句的条件。
+ [使用条件键限制对 CloudWatch 命名空间的访问](iam-cw-condition-keys-namespace.md)
+ [使用条件键限制 Contributor Insights 用户对日志组的访问](iam-cw-condition-keys-contributor.md)
+ [使用条件键限制告警操作](iam-cw-condition-keys-alarm-actions.md)
+ [CloudWatch 可观测性管理员的条件键](condition-keys-observabilityadmin.md)
要查看适用于所有服务的全局条件键,请参阅[可用的全局条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
# 使用条件键限制对 CloudWatch 命名空间的访问
使用 IAM 条件键限制用户仅在指定的 CloudWatch 命名空间中发布指标。本节提供的示例描述了如何允许和排除用户在命名空间中发布指标。
**仅允许在一个命名空间中发布**
以下策略将用户限制为仅在名为 `MyCustomNamespace` 的命名空间中发布指标。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
}
```
------
**排除从命名空间发布**
以下策略允许用户在除 `CustomNamespace2` 之外的任何命名空间中发布指标。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData"
},
{
"Effect": "Deny",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "CustomNamespace2"
}
}
}
]
}
```
------
**控制 OTLP 摄取**
以下策略允许用户使用 OTLP API 发布指标:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData"
}
]
}
```
------
要禁用双重摄取,即仅使用 PutMetricData 并拒绝任何 OTLP 摄取,可使用以下策略。该策略限制用户只能在 `MyCustomNamespace` 命名空间中使用 PutMetricData 发布指标,同时由于 `StringEquals` 条件,隐式拒绝任何 OTLP 摄取:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
]
}
```
------
要启用双重摄取,即同时允许 PutMetricData 和 OTLP 摄取,可使用以下策略。该策略限制用户只能在名为 `MyCustomNamespace` 的命名空间中使用 PutMetricData 发布指标,同时由于 `StringEqualsIfExists` 条件,允许 OTLP 摄取:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
]
}
```
------
# 使用条件键限制 Contributor Insights 用户对日志组的访问
要在 Contributor Insights 中创建规则并查看其结果,用户必须具有 `cloudwatch:PutInsightRule` 权限。默认情况下,具有此权限的用户可以创建 Contributor Insights 规则,用于评估 CloudWatch Logs 中的任何日志组,然后查看结果。结果可以包含这些日志组的贡献者数据。
您可以使用条件密钥创建 IAM 策略,以授予用户为某些日志组编写 Contributor Insights 规则的权限,同时阻止用户为其他日志组编写规则和查看此数据。
有关 IAM 策略中 `Condition` 元素的更多信息,请参阅 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
**仅允许对特定日志组的编写规则和查看结果的访问权限**
以下策略允许用户访问对名为 `AllowedLogGroup` 的日志组和名称以 `AllowedWildCard` 开头的所有日志组的编写规则和查看结果的访问权限。它不授予对其他日志组的编写规则或查看规则结果的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCertainLogGroups",
"Effect": "Allow",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
"Condition": {
"ForAllValues:StringEqualsIgnoreCase": {
"cloudwatch:requestInsightRuleLogGroups": [
"AllowedLogGroup",
"AllowedWildcard*"
]
}
}
}
]
}
```
------
**拒绝为特定日志组编写规则,但允许为所有其他日志组编写规则**
以下策略显式拒绝用户对名为 `ExplicitlyDeniedLogGroup` 的日志组编写规则和查看结果的访问权限,但允许对所有其他日志组编写规则和查看规则结果。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowInsightRulesOnLogGroupsByDefault",
"Effect": "Allow",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
},
{
"Sid": "ExplicitDenySomeLogGroups",
"Effect": "Deny",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
"Condition": {
"ForAllValues:StringEqualsIgnoreCase": {
"cloudwatch:requestInsightRuleLogGroups": [
"/test/alpine/ExplicitlyDeniedLogGroup"
]
}
}
}
]
}
```
------
# 使用条件键限制告警操作
当 CloudWatch 告警更改状态时,它们可以执行不同的操作,例如停止和终止 EC2 实例以及执行 Systems Manager 操作。当告警变为任何状态(包括 ALARM(告警)、OK(正常)或 INSUFFICIENT\$1DATA(数据不足))时,可以启动这些操作。
使用 `cloudwatch:AlarmActions` 条件键,以允许用户创建告警,这些告警只能在告警状态发生变化时执行您指定的操作。例如,您可以允许用户创建只能执行非 EC2 操作的告警。
**允许用户创建只能发送 Amazon SNS 通知或执行 Systems Manager 操作的告警**
以下策略限制用户只能创建发送 Amazon SNS 通知或执行 Systems Manager 操作的告警。用户不能创建执行 EC2 操作的告警。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricAlarm",
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"cloudwatch:AlarmActions": [
"arn:aws:sns:*",
"arn:aws:ssm:*"
]
}
}
}
]
}
```
------
# CloudWatch 可观测性管理员的条件键
您可以通过条件键,利用 IAM 策略来控制对 Amazon CloudWatch 可观测性管理员资源和操作的访问权限。
可观测性管理员有以下条件键:
| 条件键 | 说明 | Type |
| --- | --- | --- |
| CentralizationSourceRegions | 字符串数组 | 按请求中传递的来源区域筛选访问权限 |
| CentralizationDestinationRegion | 字符串 | 按请求中传递的目标区域筛选访问权限 |
| CentralizationBackupRegion | 字符串 | 按请求中传递的备份区域筛选访问权限 |
## CentralizationSourceRegions
按为集中化规则指定的备份区域筛选访问权限
+ *可用性* – 此键适用于以下资源类型:organization-centralization-rule
+ *值类型* – 字符串
**Example 具有 observabilityadmin:CentralizationBackupRegion 的示例 JSON 策略**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
```
## CentralizationDestinationRegion
按为集中化规则指定的目标区域筛选访问权限
+ *可用性* – 此键适用于以下资源类型:organization-centralization-rule
+ *值类型* – 字符串
**Example 具有 observabilityadmin:CentralizationDestinationRegion 的示例 JSON 策略**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
```
## CentralizationBackupRegion
按为集中化规则指定的来源区域筛选访问权限
+ *可用性* – 此键适用于以下资源类型:organization-centralization-rule
+ *类型* – 字符串值列表
**Example 具有 observabilityadmin:CentralizationSourceRegions 的示例 JSON 策略**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
# 为 CloudWatch 使用服务相关角色
Amazon CloudWatch 使用 AWS Identity and Access Management (IAM)[ 服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 CloudWatch 直接相关。服务相关角色由 CloudWatch 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。
CloudWatch 中的一个服务相关角色将设置可终止、停止或重启 Amazon EC2 实例的 CloudWatch 告警,而无需您手动添加必要的权限。另一个服务相关角色可让监控账户访问您指定的其他账户的 CloudWatch 数据,从而构建跨账户跨区域的控制面板。
CloudWatch 定义这些服务相关角色的权限,除非另行定义,否则仅 CloudWatch 能够代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
只有在首先删除角色的相关资源后,才能删除角色。此限制将保护您的 CloudWatch 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其它服务的信息,请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## CloudWatch EC2 操作的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchEvents** 的服务相关角色 – CloudWatch 使用此服务相关角色执行 Amazon EC2 告警操作。
AWSServiceRoleForCloudWatchEvents 服务相关角色信任 CloudWatch Events 服务来代入该角色。CloudWatch Events 在被告警调起时,调用终止、停止或重启实例操作。
AWSServiceRoleForCloudWatchEvents 服务相关角色权限策略允许 CloudWatch Events 对 Amazon EC2 实例完成以下操作:
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+ `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
**AWSServiceRoleForCloudWatchCrossAccount** 服务相关角色权限策略允许 CloudWatch 完成以下操作:
+ `sts:AssumeRole`
## CloudWatch 遥测配置的服务相关角色权限
CloudWatch 可观测性管理员创建并使用名为 **AWSServiceRoleForObservabilityAdmin** 的服务相关角色 – CloudWatch 使用此服务相关角色来支持 AWS Organizations 的资源和遥测配置发现。该角色在组织的所有成员账户中创建。
**AWSServiceRoleForObservabilityAdmin** 服务相关角色信任可观测性管理员来代入角色。可观测性管理员管理 Organizations 账户中的 AWS Config 服务相关配置记录器和服务相关配置聚合器。
**AWSServiceRoleForObservabilityAdmin** 服务相关角色附加了一项名为 AWSObservabilityAdminServiceRolePolicy 的策略,该策略授予 CloudWatch 可观测性管理员执行以下操作的权限:
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
AWSObservabilityAdminServiceRolePolicy 策略的完整内容如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:PutServiceLinkedConfigurationRecorder",
"config:DeleteServiceLinkedConfigurationRecorder"
],
"Resource": [
"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
]
},
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": [
"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"observabilityadmin.amazonaws.com",
"config.amazonaws.com"
]
}
}
}
]
}
```
------
## CloudWatch 遥测启用所需的服务相关角色权限
`AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` 会授予根据遥测规则启用及管理 AWS 资源遥测配置功能所需的权限。
此策略会授予以下权限:
+ 基本遥测操作,包括描述 VPC、流日志、日志组。其中还包括为 EKS 集群日志记录启用日志记录配置、WAF 放置日志记录配置、启用 NLB 日志、Route53 Resolver 查询日志记录、Amazon EC2 详细监控、Security Hub、Bedrock Agentcore 网关、Bedrock Agentcore 内存 和 CloudFront 分配的权限。
+ 资源标记操作,即使用 `CloudWatchTelemetryRuleManaged` 标签追踪托管资源
+ 日志交付配置,用于 AWS Bedrock 和 VPC 流日志服务
+ 配置记录器管理,用于遥测启用追踪
此策略通过以下条件强制执行安全边界:
+ 使用 `aws:ResourceAccount` 将操作对象限制在同一账户内的资源
+ 需要 `CloudWatchTelemetryRuleManaged` 标签才能进行资源修改
+ 将配置记录器的访问权限限制在与遥测启用相关的资源范围内
AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 策略的完整内容可在此处找到:[AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html)。
## CloudWatch Application Signals 的服务相关角色权限
CloudWatch Application Signals 使用名为 **AWSServiceRoleForCloudWatchApplicationSignals** 的服务相关角色。CloudWatch 使用这个服务相关角色从您为 CloudWatch Application Signals 启用的应用程序中收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据和标记数据。
**AWSServiceRoleForCloudWatchApplicationSignals** 服务相关角色信任 CloudWatch Application Signals 来代入该角色。Application Signals 会从您的账户收集日志、跟踪、指标和标签数据。
**AWSServiceRoleForCloudWatchApplicationSignals** 附加有 IAM 策略,此政策名为 **CloudWatchApplicationSignalsServiceRolePolicy**。此策略授予 CloudWatch Application Signals 从其他相关 AWS 服务收集监控和标记数据的权限。其中包含允许 Application Signals 完成以下操作的权限:
+ `xray` – 检索 X-Ray 跟踪。
+ `logs` – 检索当前的 CloudWatch 日志信息。
+ `cloudwatch` – 检索当前的 CloudWatch 指标信息。
+ `tags` – 检索当前标签。
+ `application-signals` – 检索有关 SLO 及其关联的时间排除窗口的信息。
+ `autoscaling` – 从 Amazon EC2 Autoscaling 组中检索应用程序标签。
+ `resource-explorer-2` – 从 AWS Resource Explorer 中检索当前 AWS 资源信息。
+ `cloudtrail` – 支持创建用于检索 CloudTrail 事件的服务相关通道。
**CloudWatchApplicationSignalsServiceRolePolicy** 的完整内容如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "XRayPermission",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWLogsPermission",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWListMetricsPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWGetMetricDataPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "TagsPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ApplicationSignalsPermission",
"Effect": "Allow",
"Action": [
"application-signals:ListServiceLevelObjectiveExclusionWindows",
"application-signals:GetServiceLevelObjective"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EC2AutoScalingPermission",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## CloudWatch 告警 Systems Manager OpsCenter 操作的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM** 的服务相关角色 – CloudWatch 在告警进入 ALARM(告警)状态时使用此服务相关角色执行 Systems Manager OpsCenter 操作。
AWSServiceRoleForCloudWatchAlarms\$1ActionSSM 服务相关角色信任 CloudWatch 服务来代入该角色。CloudWatch 告警在被告警调用时,将调用 Systems Manager OpsCenter 操作。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM** 服务相关角色权限策略允许 Systems Manager 完成以下操作:
+ `ssm:CreateOpsItem`
## CloudWatch 告警 Systems Manager Incident Manager 操作的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 的服务相关角色 – CloudWatch 在告警进入 ALARM(告警)状态时使用此服务相关角色启动 Incident Manager 事件。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 服务相关角色信任 CloudWatch 服务来代入该角色。CloudWatch 告警在被告警调用时,将调用 Systems Manager Incident Manager 操作。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 服务相关角色权限策略允许 Systems Manager 完成以下操作:
+ `ssm-incidents:StartIncident`
## CloudWatch 跨账户跨区域的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchCrossAccount** 的服务相关角色 – CloudWatch 使用此角色访问您指定的其他 AWS 账户中的 CloudWatch 数据。SLR 仅提供代入角色权限以允许 CloudWatch 服务代入共享账户中的角色。它是提供对数据的访问权限的共享角色。
**AWSServiceRoleForCloudWatchCrossAccount** 服务相关角色权限策略允许 CloudWatch 完成以下操作:
+ `sts:AssumeRole`
**AWSServiceRoleForCloudWatchCrossAccount** 服务相关角色信任 CloudWatch 服务来代入该角色。
## CloudWatch 数据库性能详情的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 的服务相关角色:CloudWatch 使用该角色检索性能详情指标用于创建警报及生成快照。
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服务相关角色附加了 `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` IAM 策略。该策略的内容如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服务相关角色信任 CloudWatch 服务来代入该角色。
## CloudWatch Logs 集中化功能所需的服务相关角色权限
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 会附加到中央管理账户中相应的 IAM 实体,例如 CloudWatch 服务角色,以授予设置和管理集中式日志收集所需的权限。CloudWatch 使用此角色访问其他 AWS 账户的遥测数据,这些账户经指定用于在组织监控账户中创建 CloudWatch 日志组、日志流和日志事件。SLR 仅提供代入角色权限以允许 CloudWatch 服务代入监控账户中的角色。如果使用 AWS 管理控制台设置集中式日志收集,则会自动附加此策略。如果使用 AWS CLI 或 API 来配置日志集中化,则必须手动将此策略附加到将用于可观测性管理任务的 IAM 角色。
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 服务相关角色权限策略允许 CloudWatch 完成以下操作:
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 服务相关角色信任 `logs-centralization.observabilityadmin.amazonaws.com` 服务来代入该角色。
## 为 CloudWatch 创建服务相关角色
您无需手动创建这两个服务相关角色。当您首次在 AWS 管理控制台、IAM CLI 或 IAM API 中创建告警时,CloudWatch 会为您创建 AWSServiceRoleForCloudWatchEvents 和 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**。
首次启用服务和拓扑发现时,Application Signals 会为您创建 **AWSServiceRoleForCloudWatchApplicationSignals**。
当您首次启用一个账户作为跨账户跨区域功能的监控账户时,CloudWatch 会为您创建 **AWSServiceRoleForCloudWatchCrossAccount**。
当您第一次创建使用 `DB_PERF_INSIGHTS` 指标数学函数的警报时,CloudWatch 会为您创建 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**。
有关更多信息,请参阅《IAM 用户指南》中的 [创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。
## 为 CloudWatch 编辑服务相关角色
CloudWatch 不允许您编辑 **AWSServiceRoleForCloudWatchEvents**、**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**、**AWSServiceRoleForCloudWatchCrossAccount** 或 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 角色。在创建这些角色后,您无法更改这些角色的名称,因为可能有不同的实体引用它们。但是,您可以使用 IAM 编辑这些角色的描述。
### 编辑服务相关角色描述(IAM 控制台)
您可以使用 IAM 控制台编辑服务相关角色的描述。
**编辑服务相关角色的描述(控制台)**
1. 在 IAM 控制台的导航窗格中,选择**角色**。
1. 以下代码示例显示如何将 IAM 策略附加到用户。
1. 在 **Role description** 的最右侧,选择 **Edit**。
1. 在框中键入新描述,然后选择 **Save (保存)**。
### 编辑服务相关角色描述 (AWS CLI)
您可以从 AWS Command Line Interface 使用 IAM 命令编辑服务相关角色的描述。
**更改服务相关角色描述 (AWS CLI)**
1. (可选) 要查看角色的当前描述,请使用以下命令:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
可以在 AWS CLI 命令中使用角色名称(而不是 ARN)引用角色。例如,如果某个角色的 ARN 为 `arn:aws:iam::123456789012:role/myrole`,则将该角色称为 **myrole**。
1. 要更新服务相关角色的描述,请使用以下命令:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### 编辑服务相关角色描述 (IAM API)
您可以使用 IAM API 编辑服务相关角色的描述。
**更改服务相关角色的描述(API)**
1. (可选) 要查看角色的当前描述,请使用以下命令:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 要更新角色的描述,请使用以下命令:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## 为 CloudWatch 删除服务相关角色
如果您不再具有自动停止、终止或重启 EC2 实例的警报,我们建议您删除 AWSServiceRoleForCloudWatchEvents 角色。
如果您不再具有执行 Systems Manager OpsCenter 操作的告警,我们建议您删除 AWSServiceRoleForCloudWatchAlarms\$1ActionSSM 角色。
如果您删除使用 `DB_PERF_INSIGHTS` 指标数学函数的所有警报,则建议您删除 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服务相关角色。
这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能将其删除。
### 清除服务相关角色
必须先确认服务相关角色没有活动会话并删除该角色使用的任何资源,然后才能使用 IAM 删除服务相关角色。
**在 IAM 控制台中检查服务相关角色是否具有活动会话**
1. 通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**。选择 AWSServiceRoleForCloudWatchEvents 角色的名称(不是复选框)。
1. 在选定角色的**摘要**页上,选择**访问顾问**并查看服务相关角色的近期活动。
**注意**
如果您不确定 CloudWatch 是否正在使用 AWSServiceRoleForCloudWatchEvents 角色,请尝试删除该角色。如果服务正在使用该角色,则删除操作会失败,并且您可以查看正在使用该角色的 区域。如果该角色已被使用,则您必须等待会话结束,然后才能删除该角色。您无法撤销服务相关角色对会话的权限。
### 删除服务相关角色(IAM 控制台)
您可以使用 IAM 控制台删除服务相关角色。
**删除服务相关角色(控制台)**
1. 通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**。选中要删除的角色名称旁的复选框,而不是名称或行本身。
1. 对于**角色操作**,请选择**删除角色**。
1. 在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问AWS服务的时间。这样可帮助您确认角色当前是否处于活动状态。要继续,请选择 **Yes, Delete(是的,删除)**。
1. 监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色的删除是异步操作,因此,在提交要删除的角色后,删除任务可能会成功,也可能会失败。如果该任务失败,请从通知中选择**查看详细信息**或**查看资源**以了解删除失败的原因。如果因角色正在使用服务中的资源而导致删除操作失败,则失败原因将包含一个资源列表。
### 删除服务相关角色 (AWS CLI)
您可以从 AWS Command Line Interface 使用 IAM 命令删除服务相关角色。
**删除服务相关角色 (AWS CLI)**
1. 如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `deletion-task-id` 以检查删除任务的状态。键入以下命令以提交服务相关角色的删除请求:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. 键入以下命令以检查删除任务的状态:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
### 删除服务相关角色(IAM API)
您可以使用 IAM API 删除服务相关角色。
**删除服务相关角色(API)**
1. 要提交服务相关角色的删除请求,请调用 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在请求中,指定您要删除的角色名称。
如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `DeletionTaskId` 以检查删除任务的状态。
1. 要检查删除的状态,请调用 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在请求中,指定 `DeletionTaskId`。
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
## 对 AWS 服务相关角色的 CloudWatch 更新
查看有关 CloudWatch 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 CloudWatch 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新为服务相关角色策略。 | 更新了有关 [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理其他 AWS 资源遥测配置所需的权限。 | March 31, 2026 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新为服务相关角色策略。 | 更新了有关 [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理其他 AWS 资源遥测配置所需的权限。 | 2026 年 3 月 10 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新为服务相关角色策略。 | 更新了有关 [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理其他 AWS 资源遥测配置所需的权限。 | 2025 年 12 月 2 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – 更新为服务相关角色策略的权限 | 更新了 [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals),新增 `resource-explorer-2:Search` 和 `cloudtrail:CreateServiceLinkedChannel` 以启用新的 Application Signals 功能。 | 2025 年 11 月 12 日 |
| [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization):新的服务相关角色策略。 | 添加了有关 [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理 AWS 资源遥测配置所需的权限。 | 2025 年 9 月 5 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement):新的服务相关角色策略。 | 添加了有关 [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理 AWS 资源遥测配置所需的权限。 | 2025 年 7 月 17 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – 更新为服务相关角色策略的权限 | 更新了 [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals),以排除时间窗口对 SLO 达成率、错误预算和消耗率指标的影响。CloudWatch 可以代表您检索排除窗口。 | 2025 年 3 月 13 日 |
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config) – 新的服务相关角色 | CloudWatch 添加了这个新的服务相关角色和相应的托管式策略 AWSObservabilityAdminServiceRolePolicy,为 AWS Organizations 的资源和遥测配置发现提供支持。 | 2024 年 11 月 26 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – 更新为服务相关角色策略的权限 | CloudWatch 将更多日志组添加到此角色授予的 `logs:StartQuery` 和 `logs:GetQueryResults` 权限的范围。 | 2024 年 4 月 24 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals):新的服务相关角色 | CloudWatch 添加了这个新的服务相关角色,以允许 CloudWatch Application Signals 收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据,以及您为 CloudWatch Application Signals 启用的应用程序中的标记数据。 | 2023 年 11 月 9 日 |
| [ AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights](#service-linked-role-permissions-dbperfinsights) – 新的服务相关角色 | CloudWatch 添加了这个新的服务相关角色,允许 CloudWatch 获取用于警报和快照的性能详情指标。此角色附加了一个 IAM 策略,该策略授予 CloudWatch 代表您获取性能详情指标的权限。 | 2023 年 9 月 13 日 |
| [AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents](#service-linked-role-permissions-incident-manager) – 新的服务相关角色 | CloudWatch 添加了新的服务相关角色,以允许 CloudWatch 在 AWS Systems Manager Incident Manager 中创建事件。 | 2021 年 4 月 26 日 |
| CloudWatch 开始跟踪更改 | CloudWatch 开始跟踪其服务相关角色的更改。 | 2021 年 4 月 26 日 |
# 对 CloudWatch RUM 使用服务相关角色
CloudWatch RUM 使用了 AWS Identity and Access Management(IAM)[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 RUM 直接相关。服务相关角色是由 RUM 预定义的,包含该服务代表您调用其他 AWS 服务所需的所有权限。
RUM 定义服务相关角色的权限,除非另有定义,否则只有 RUM 可以承担该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
只有先删除角色的相关资源,才能删除角色。此限制可保护您的 RUM 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其它服务的信息,请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## RUM 的服务相关角色权限
RUM 对您为其启用了 X-Ray 跟踪的应用程序监控使用名为 **AWSServiceRoleForCloudWatchRUM** 的服务相关角色 – 此角色允许 RUM 将 AWS X-Ray 跟踪数据发送到您的账户。
**AWSServiceRoleForCloudWatchRUM** 服务相关角色信任 X-Ray 服务来代入该角色。X-Ray 将跟踪数据发送到您的账户。
**AWSServiceRoleForCloudWatchRUM** 服务相关角色附加有名为 **AmazonCloudWatchRUMServiceRolePolicy** 的 IAM 策略。此策略向 CloudWatch RUM 授予将监控数据发布到其他相关 AWS 服务的权限。其中包括允许 RUM 完成以下操作的权限:
+ `xray:PutTraceSegments`
+ `cloudwatch:PutMetricData`
**AmazonCloudWatchRUMServiceRolePolicy** 的完整内容如下所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
}
]
}
```
------
## 为 RUM 创建服务相关角色
您无需手动为 CloudWatch RUM 创建服务相关角色。当您首次创建启用了 X-Ray 跟踪的应用程序监控,或更新应用程序监控以使用 X-Ray 跟踪时,RUM 会为您创建 **AWSServiceRoleForCloudWatchRUM**。
有关更多信息,请参阅《IAM 用户指南》**中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 编辑 RUM 的服务相关角色
CloudWatch RUM 不允许您编辑 **AWSServiceRoleForCloudWatchRUM** 角色。在创建这些角色后,您无法更改这些角色的名称,因为可能有不同的实体引用它们。但是,您可以使用 IAM 编辑这些角色的描述。
### 编辑服务相关角色描述(IAM 控制台)
您可以使用 IAM 控制台编辑服务相关角色的描述。
**编辑服务相关角色的描述(控制台)**
1. 在 IAM 控制台的导航窗格中,选择**角色**。
1. 以下代码示例显示如何将 IAM 策略附加到用户。
1. 在 **Role description** 的最右侧,选择 **Edit**。
1. 在框中键入新描述,然后选择 **Save (保存)**。
### 编辑服务相关角色描述 (AWS CLI)
您可以从 AWS Command Line Interface 使用 IAM 命令编辑服务相关角色的描述。
**更改服务相关角色描述 (AWS CLI)**
1. (可选) 要查看角色的当前描述,请使用以下命令:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
可以在 AWS CLI 命令中使用角色名称(而不是 ARN)引用角色。例如,如果某个角色的 ARN 为 `arn:aws:iam::123456789012:role/myrole`,则将该角色称为 **myrole**。
1. 要更新服务相关角色的描述,请使用以下命令:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### 编辑服务相关角色描述 (IAM API)
您可以使用 IAM API 编辑服务相关角色的描述。
**更改服务相关角色的描述(API)**
1. (可选) 要查看角色的当前描述,请使用以下命令:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 要更新角色的描述,请使用以下命令:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## 删除 RUM 的服务相关角色
如果您不再拥有启用了 X-Ray 的应用程序监控,我们建议您删除 **AWSServiceRoleForCloudWatchRUM** 角色。
这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能将其删除。
### 清除服务相关角色
必须先确认服务相关角色没有活动会话并删除该角色使用的任何资源,然后才能使用 IAM 删除服务相关角色。
**在 IAM 控制台中检查服务相关角色是否具有活动会话**
1. 通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**。选择 **AWSServiceRoleForCloudWatchRUM** 角色的名称(而不是复选框)。
1. 在选定角色的**摘要**页上,选择**访问顾问**并查看服务相关角色的近期活动。
**注意**
如果您不确定 RUM 是否正在使用 **AWSServiceRoleForCloudWatchRUM** 角色,请尝试删除该角色。如果服务正在使用该角色,则删除操作会失败,并且您可以查看正在使用该角色的 区域。如果该角色已被使用,则您必须等待会话结束,然后才能删除该角色。您无法撤销服务相关角色对会话的权限。
### 删除服务相关角色(IAM 控制台)
您可以使用 IAM 控制台删除服务相关角色。
**删除服务相关角色(控制台)**
1. 通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**。选中要删除的角色名称旁的复选框,而不是名称或行本身。
1. 对于**角色操作**,请选择**删除角色**。
1. 在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问AWS服务的时间。这样可帮助您确认角色当前是否处于活动状态。要继续,请选择 **Yes, Delete(是的,删除)**。
1. 监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色的删除是异步操作,因此,在提交要删除的角色后,删除任务可能会成功,也可能会失败。如果该任务失败,请从通知中选择**查看详细信息**或**查看资源**以了解删除失败的原因。如果因角色正在使用服务中的资源而导致删除操作失败,则失败原因将包含一个资源列表。
### 删除服务相关角色 (AWS CLI)
您可以从 AWS Command Line Interface 使用 IAM 命令删除服务相关角色。
**删除服务相关角色 (AWS CLI)**
1. 如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `deletion-task-id` 以检查删除任务的状态。键入以下命令以提交服务相关角色的删除请求:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. 键入以下命令以检查删除任务的状态:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
### 删除服务相关角色(IAM API)
您可以使用 IAM API 删除服务相关角色。
**删除服务相关角色(API)**
1. 要提交服务相关角色的删除请求,请调用 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在请求中,指定您要删除的角色名称。
如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `DeletionTaskId` 以检查删除任务的状态。
1. 要检查删除的状态,请调用 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在请求中,指定 `DeletionTaskId`。
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
## CloudWatch RUM 服务相关角色支持的区域
CloudWatch RUM 支持在服务可用的所有 AWS 区域中使用服务相关角色。有关更多信息,请参阅 [CloudWatch RUM service endpoints](https://docs.aws.amazon.com/general/latest/gr/cw_rum_region.html)。
# 在 CloudWatch Application Insights 中使用服务相关角色
CloudWatch Application Insights 使用 AWS Identity and Access Management (IAM)[ 服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 CloudWatch Application Insights 直接相关。服务相关角色由 CloudWatch Application Insights 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。
服务相关角色更方便设置 CloudWatch Application Insights,因为无需手动添加必要权限。CloudWatch Application Insights 定义其服务相关角色的权限,除非另外定义,否则只有 CloudWatch Application Insights 可以代入其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**链接,查看该服务的服务相关角色文档。
## CloudWatch Application Insights 的服务相关角色权限
CloudWatch Application Insights 使用名为 **AWSServiceRoleForApplicationInsights** 的服务相关角色。Application Insights 使用此角色执行操作,例如分析客户的资源组、创建 CloudFormation 堆栈以创建有关指标的告警,以及在 EC2 实例上配置 CloudWatch 代理。服务相关角色附加了 IAM policy,名为 `CloudwatchApplicationInsightsServiceLinkedRolePolicy`。有关此策略的更新,请参阅 [对 AWS 托管式策略的 Application Insights 更新](security-iam-awsmanpol-appinsights.md#security-iam-awsmanpol-appinsights-updates)。
角色权限策略允许 CloudWatch Application Insights 对资源完成以下操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:PutAnomalyDetector",
"cloudwatch:DeleteAnomalyDetector",
"cloudwatch:DescribeAnomalyDetectors"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "EventBridge",
"Effect": "Allow",
"Action": [
"events:DescribeRule"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudFormation",
"Effect": "Allow",
"Action": [
"cloudFormation:CreateStack",
"cloudFormation:UpdateStack",
"cloudFormation:DeleteStack",
"cloudFormation:DescribeStackResources",
"cloudFormation:UpdateTerminationProtection"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/ApplicationInsights-*"
]
},
{
"Sid": "CloudFormationStacks",
"Effect": "Allow",
"Action": [
"cloudFormation:DescribeStacks",
"cloudFormation:ListStackResources",
"cloudFormation:ListStacks"
],
"Resource": [
"*"
]
},
{
"Sid": "Tag",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Sid": "ResourceGroups",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources",
"resource-groups:GetGroupQuery",
"resource-groups:GetGroup"
],
"Resource": [
"*"
]
},
{
"Sid": "ApplicationInsightsResourceGroup",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:DeleteGroup"
],
"Resource": [
"arn:aws:resource-groups:*:*:group/ApplicationInsights-*"
]
},
{
"Sid": "ElasticLoadBalancing",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth"
],
"Resource": [
"*"
]
},
{
"Sid": "AutoScaling",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameter",
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource",
"ssm:GetParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-ApplicationInsights-*"
},
{
"Sid": "SSMAssociation",
"Effect": "Allow",
"Action": [
"ssm:CreateAssociation",
"ssm:UpdateAssociation",
"ssm:DeleteAssociation",
"ssm:DescribeAssociation"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:association/*",
"arn:aws:ssm:*:*:managed-instance/*",
"arn:aws:ssm:*:*:document/AWSEC2-ApplicationInsightsCloudwatchAgentInstallAndConfigure",
"arn:aws:ssm:*:*:document/AWS-ConfigureAWSPackage",
"arn:aws:ssm:*:*:document/AmazonCloudWatch-ManageAgent"
]
},
{
"Sid": "SSMOpsItem",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:CreateOpsItem",
"ssm:DescribeOpsItems",
"ssm:UpdateOpsItem",
"ssm:DescribeInstanceInformation"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMTags",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "SSMGetCommandInvocation",
"Effect": "Allow",
"Action": [
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMSendCommand",
"Effect": "Allow",
"Action": "ssm:SendCommand",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:document/AWSEC2-CheckPerformanceCounterSets",
"arn:aws:ssm:*:*:document/AWS-ConfigureAWSPackage",
"arn:aws:ssm:*:*:document/AWSEC2-DetectWorkload",
"arn:aws:ssm:*:*:document/AmazonCloudWatch-ManageAgent"
]
},
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcs",
"ec2:DescribeVpcAttribute",
"ec2:DescribeNatGateways"
],
"Resource": [
"*"
]
},
{
"Sid": "RDS",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": [
"*"
]
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetFunctionConfiguration",
"lambda:ListEventSourceMappings"
],
"Resource": [
"*"
]
},
{
"Sid": "EventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets",
"events:DeleteRule"
],
"Resource": [
"arn:aws:events:*:*:rule/AmazonCloudWatch-ApplicationInsights-*"
]
},
{
"Sid": "XRay",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph",
"xray:GetTraceSummaries",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetTraceGraph"
],
"Resource": [
"*"
]
},
{
"Sid": "DynamoDB",
"Effect": "Allow",
"Action": [
"dynamodb:ListTables",
"dynamodb:DescribeTable",
"dynamodb:DescribeContributorInsights",
"dynamodb:DescribeTimeToLive"
],
"Resource": [
"*"
]
},
{
"Sid": "ApplicationAutoscaling",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets"
],
"Resource": [
"*"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetMetricsConfiguration",
"s3:GetReplicationConfiguration"
],
"Resource": [
"*"
]
},
{
"Sid": "States",
"Effect": "Allow",
"Action": [
"states:ListStateMachines",
"states:DescribeExecution",
"states:DescribeStateMachine",
"states:GetExecutionHistory"
],
"Resource": [
"*"
]
},
{
"Sid": "APIGateway",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"*"
]
},
{
"Sid": "ECS",
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters",
"ecs:DescribeContainerInstances",
"ecs:DescribeServices",
"ecs:DescribeTaskDefinition",
"ecs:DescribeTasks",
"ecs:DescribeTaskSets",
"ecs:ListClusters",
"ecs:ListContainerInstances",
"ecs:ListServices",
"ecs:ListTasks"
],
"Resource": [
"*"
]
},
{
"Sid": "ECSCluster",
"Effect": "Allow",
"Action": [
"ecs:UpdateClusterSettings"
],
"Resource": [
"arn:aws:ecs:*:*:cluster/*"
]
},
{
"Sid": "EKS",
"Effect": "Allow",
"Action": [
"eks:DescribeCluster",
"eks:DescribeFargateProfile",
"eks:DescribeNodegroup",
"eks:ListClusters",
"eks:ListFargateProfiles",
"eks:ListNodegroups",
"fsx:DescribeFileSystems",
"fsx:DescribeVolumes"
],
"Resource": [
"*"
]
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:GetSubscriptionAttributes",
"sns:GetTopicAttributes",
"sns:GetSMSAttributes",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics"
],
"Resource": [
"*"
]
},
{
"Sid": "SQS",
"Effect": "Allow",
"Action": [
"sqs:ListQueues"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsDeleteSubscriptionFilter",
"Effect": "Allow",
"Action": [
"logs:DeleteSubscriptionFilter"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "CloudWatchLogsCreateSubscriptionFilter",
"Effect": "Allow",
"Action": [
"logs:PutSubscriptionFilter"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*",
"arn:aws:logs:*:*:destination:AmazonCloudWatch-ApplicationInsights-LogIngestionDestination*"
]
},
{
"Sid": "EFS",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeFileSystems"
],
"Resource": [
"*"
]
},
{
"Sid": "Route53",
"Effect": "Allow",
"Action": [
"route53:GetHostedZone",
"route53:GetHealthCheck",
"route53:ListHostedZones",
"route53:ListHealthChecks",
"route53:ListQueryLoggingConfigs"
],
"Resource": [
"*"
]
},
{
"Sid": "Route53Resolver",
"Effect": "Allow",
"Action": [
"route53resolver:ListFirewallRuleGroupAssociations",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:ListFirewallRuleGroups",
"route53resolver:ListResolverEndpoints",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:ListResolverQueryLogConfigs",
"route53resolver:ListResolverQueryLogConfigAssociations",
"route53resolver:GetResolverEndpoint",
"route53resolver:GetFirewallRuleGroupAssociation"
],
"Resource": [
"*"
]
}
]
}
```
------
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 CloudWatch Application Insights 创建服务相关角色
您无需手动创建服务关联角色。当您在 AWS 管理控制台 中创建新的 Application Insights 应用程序时,CloudWatch Application Insights 将为您创建服务相关角色。
如果删除该服务相关角色,然后希望再次创建该角色,您可以使用相同的过程在您的账户中重新创建该角色。当您创建新的 Application Insights 应用程序时,CloudWatch Application Insights 将为您再次创建服务相关角色。
## 为 CloudWatch Application Insights 编辑服务相关角色
CloudWatch Application Insights 不允许您编辑 AWSServiceRoleForApplicationInsights 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 为 CloudWatch Application Insights 删除服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样,您就可以避免使用当前未监控或维护的未使用实体。不过,您必须先删除 Application Insights 中的所有应用程序,然后才能手动删除该角色。
**注意**
在尝试删除资源时,如果 CloudWatch Application Insights 服务正在使用该角色,删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**若要删除 AWSServiceRoleForApplicationInsights 使用的 CloudWatch Application Insights 资源**
+ 删除所有 CloudWatch Application Insights 应用程序。有关更多信息,请参阅《CloudWatch Application Insights 用户指南》中的“删除应用程序”。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForApplicationInsights 服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## CloudWatch Application Insights 服务相关角色支持的区域
CloudWatch Application Insights 支持在服务可用的所有 AWS 区域中使用服务相关角色。有关更多信息,请参阅 [CloudWatch Application Insights 区域和端点](https://docs.aws.amazon.com/general/latest/gr/applicationinsights.html)。
# 适用于 Amazon CloudWatch Application Insights 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用案例授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管式策略:CloudWatchApplicationInsightsFullAccess
您可以将 `CloudWatchApplicationInsightsFullAccess` 策略附加到 IAM 身份。
此策略授予管理权限,允许完全访问 Application Insights 功能。
**权限详细信息**
该策略包含以下权限。
+ `applicationinsights` – 允许完全访问 Application Insights 功能。
+ `iam` – 允许 Application Insights 创建服务相关角色,AWSServiceRoleForApplicationInsights。这是必需的,以使 Application Insights 可用执行操作,例如分析客户的资源组、创建 CloudFormation 堆栈以创建有关指标的告警,以及在 EC2 实例上配置 CloudWatch 代理。有关更多信息,请参阅 [在 CloudWatch Application Insights 中使用服务相关角色](CHAP_using-service-linked-roles-appinsights.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "applicationinsights:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"sqs:ListQueues",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"dynamodb:ListTables",
"s3:ListAllMyBuckets",
"sns:ListTopics",
"states:ListStateMachines",
"apigateway:GET",
"ecs:ListClusters",
"ecs:DescribeTaskDefinition",
"ecs:ListServices",
"ecs:ListTasks",
"eks:ListClusters",
"eks:ListNodegroups",
"fsx:DescribeFileSystems",
"logs:DescribeLogGroups",
"elasticfilesystem:DescribeFileSystems"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/application-insights.amazonaws.com/AWSServiceRoleForApplicationInsights"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "application-insights.amazonaws.com"
}
}
}
]
}
```
------
## AWS 托管式策略:CloudWatchApplicationInsightsReadOnlyAccess
您可以将 `CloudWatchApplicationInsightsReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予管理权限,允许只读访问所有 Application Insights 功能。
**权限详细信息**
该策略包含以下权限。
+ `applicationinsights` – 允许只读访问 Application Insights 功能。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"applicationinsights:Describe*",
"applicationinsights:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管式策略:CloudwatchApplicationInsightsServiceLinkedRolePolicy
您无法将 CloudwatchApplicationInsightsServiceLinkedRolePolicy 策略附加到 IAM 实体。此策略附加到一个与服务相关的角色,该角色允许 Application Insights 监控客户资源。有关更多信息,请参阅 [在 CloudWatch Application Insights 中使用服务相关角色](CHAP_using-service-linked-roles-appinsights.md)。
## 对 AWS 托管式策略的 Application Insights 更新
查看有关对 AWS 托管式策略的 Application Insights 更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Application Insights [Document history(文档历史记录)](DocumentHistory.md)页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 已添加新权限。 该策略更改允许 Amazon CloudWatch Application Insights 在 CloudFormation 堆栈上启用和禁用终止保护,以管理用于安装和配置 CloudWatch 代理的 SSM 资源。 | 2024 年 7 月 25 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 增加了列出 CloudFormation 堆栈的新权限。 Amazon CloudWatch Application Insights 需要这些权限来分析和监控嵌套在 CloudFormation 堆栈中的 AWS 资源。 | 2023 年 4 月 24 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了可获取 Amazon VPC 和 Route 53 资源列表的新权限。 Amazon CloudWatch Application Insights 需要这些权限,才能使用 Amazon CloudWatch 自动设置最佳实践网络监控。 | 2023 年 1 月 23 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了可获取 SSM 命令调用结果的新权限。 Amazon CloudWatch Application Insights 需要这些权限,才能自动检测和监控 Amazon EC2 实例上运行的工作负载。 | 2022 年 12 月 19 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了可描述 Amazon VPC 和 Route 53 资源的新权限。 Amazon CloudWatch Application Insights 需要这些权限,才能读取客户 Amazon VPC 和 Route 53 资源配置,并帮助客户使用 Amazon CloudWatch 自动设置最佳实践网络监控。 | 2022 年 12 月 19 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了可描述 EFS 资源的新权限。 Amazon CloudWatch Application Insights 需要这些权限,才能读取 Amazon EFS 客户资源配置,并帮助客户使用 CloudWatch 自动设置 EFS 监控的最佳实践。 | 2022 年 10 月 3 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了可描述 EFS 文件系统的新权限 Amazon CloudWatch Application Insights 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。 | 2022 年 10 月 3 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了可检索 FSx 资源信息的新权限。 Amazon CloudWatch Application Insights 需要这些权限,才能检索有关底层 FSx 卷的充足信息以监控工作负载。 | 2022 年 9 月 12 日 |
| [AWS 托管式策略:CloudWatchApplicationInsightsFullAccess](#security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess):对现有策略的更新 | Application Insights 添加了描述日志组的新权限。 Amazon CloudWatch Application Insights 需要此权限,以确保在创建新应用程序时,账户中具有监控日志组的正确权限。 | 2022 年 1 月 24 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了创建和删除 CloudWatch Log 订阅筛选器的新权限。 Amazon CloudWatch Application Insights 需要这些权限才能创建订阅筛选器,以便于对已配置应用程序中的资源进行日志监控。 | 2022 年 1 月 24 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了新的权限来描述 Elastic Load Balancer 的目标组和目标健康状况。 Amazon CloudWatch Application Insights 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。 | 2021 年 11 月 4 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了在 Amazon EC2 实例上运行 `AmazonCloudWatch-ManageAgent` SSM 文档的新权限。 Amazon CloudWatch Application Insights 需要此权限才能清除由 Application Insights 创建的 CloudWatch 代理配置文件。 | 2021 年 9 月 30 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了新的权限,以支持基于账户的应用程序监控载入并监控账户中所有受支持的资源。 Amazon CloudWatch Application Insights 需要这些权限才能查询、标记资源并为这些资源创建组。 Application Insights 添加了新的权限以支持对 SNS 主题的监控。 Amazon CloudWatch Application Insights 需要这些权限,才能收集 SNS 资源中的元数据以配置对 SNS 主题的监控。 | 2021 年 9 月 15 日 |
| [AWS 托管式策略:CloudWatchApplicationInsightsFullAccess](#security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess):对现有策略的更新 | Application Insights 添加了描述和列出受支持资源的新权限。 Amazon CloudWatch Application Insights 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。 | 2021 年 9 月 15 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了描述 FSx 资源的新权限。 Amazon CloudWatch Application Insights 需要这些权限才能读取客户 FSx 资源配置,并帮助客户使用 CloudWatch 自动设置最佳实践 FSx 监控。 | 2021 年 8 月 31 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了描述和列出 ECS 和 EKS 服务资源的新权限。 Amazon CloudWatch Application Insights 需要此权限才能读取客户容器资源配置,并帮助客户使用 CloudWatch 自动设置最佳实践容器监控。 | 2021 年 5 月 18 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 对现有策略的更新 | Application Insights 添加了新权限,允许 OpsCenter 使用对 `opsitem` 资源类型的资源的 `ssm:AddTagsToResource` 操作来为 OpsItems 贴标签。 OpsCenter 需要此权限。Amazon CloudWatch Application Insights 会创建 OpsItems,以便客户可以使用 [AWS SSM OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html) 解决问题。 | 2021 年 4 月 13 日 |
| Athena 开启了跟踪更改 | Athena 为其 AWS 托管式策略开启了跟踪更改。 | 2021 年 4 月 13 日 |
# Amazon CloudWatch 权限参考
下表列出每个 CloudWatch API 操作以及您可授权执行该操作的相应操作。可在策略的 `Action` 字段中指定操作,在策略的 `Resource` 字段中指定通配符 (\$1) 作为资源值。
您可以在 CloudWatch 策略中使用 AWS 范围的条件键来表达条件。有关 AWS 范围的键的完整列表,请参阅 *IAM 用户指南*中的 [AWS 全局和 IAM 条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
**注意**
要指定操作,请在 API 操作名称之前使用 `cloudwatch:` 前缀。例如:`cloudwatch:GetMetricData`、`cloudwatch:ListMetrics` 或 `cloudwatch:*`(适用于所有 CloudWatch 操作)。
**Topics**
+ [CloudWatch API 操作和必需的操作权限](#cw-permissions-table)
+ [CloudWatch Application Signals API 操作和所需的操作权限](#cw-application-signals-permissions-table)
+ [CloudWatch Contributor Insights API 操作和所需的操作权限](#cw-contributor-insights-permissions-table)
+ [CloudWatch Events API 操作和所需的操作权限](#cwe-permissions-table)
+ [CloudWatch Logs API 操作和所需的操作权限](#cwl-permissions-table)
+ [Amazon EC2 API 操作和所需的操作权限](#cw-ec2-permissions-table)
+ [Amazon EC2 Auto Scaling API 操作和所需的操作权限](#cw-as-permissions-table)
## CloudWatch API 操作和必需的操作权限
| CloudWatch API 操作 | 所需权限(API 操作) |
| --- | --- |
| [DeleteAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteAlarms.html) | `cloudwatch:DeleteAlarms` 要求删除警报。 |
| [DeleteDashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteDashboards.html) | `cloudwatch:DeleteDashboards` 删除控制面板所必需。 |
| [DeleteMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteMetricStream.html) | `cloudwatch:DeleteMetricStream` 删除指标流所需。 |
| [DescribeAlarmHistory](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarmHistory.html) | `cloudwatch:DescribeAlarmHistory` 要求查看警报历史记录。要检索有关复合告警的信息,`cloudwatch:DescribeAlarmHistory` 权限必须具有 `*` 范围。如果您的 `cloudwatch:DescribeAlarmHistory` 权限的范围较窄,则无法返回有关复合告警的信息。 |
| [DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html) | `cloudwatch:DescribeAlarms` 检索有关告警的信息所需。 要检索有关复合告警的信息,`cloudwatch:DescribeAlarms` 权限必须具有 `*` 范围。如果您的 `cloudwatch:DescribeAlarms` 权限的范围较窄,则无法返回有关复合告警的信息。 |
| [DescribeAlarmsForMetric](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarmsForMetric.html) | `cloudwatch:DescribeAlarmsForMetric` 要求查看指标的警报。 |
| [DisableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DisableAlarmActions.html) | `cloudwatch:DisableAlarmActions` 要求禁用警报操作。 |
| [EnableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableAlarmActions.html) | `cloudwatch:EnableAlarmActions` 要求启用警报操作。 |
| [GetDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetDashboard.html) | `cloudwatch:GetDashboard` 若要显示有关现有控制面板的数据,则是必需的。 |
| [GetMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricData.html) | `cloudwatch:GetMetricData` 在 CloudWatch 控制台中检索大量指标数据以及对该数据执行指标数学运算所需。 |
| [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html) | `cloudwatch:GetMetricStatistics` 在 CloudWatch 控制台的其他部分和控制面板小部件中查看图表所需。 |
| [GetMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStream.html) | `cloudwatch:GetMetricStream` 查看指标流信息所需。 |
| [GetMetricWidgetImage](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricWidgetImage.html) | `cloudwatch:GetMetricWidgetImage` 将一个或多个 CloudWatch 指标的图表快照作为位图图像检索所需。 |
| [ListDashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListDashboards.html) | `cloudwatch:ListDashboards` 查看您的账户中 CloudWatch 控制面板的列表所需。 |
| ListEntitiesForMetric (CloudWatch 控制台专用权限) | `cloudwatch:ListEntitiesForMetric` 查找与指标关联的实体的所需权限。在 CloudWatch 控制台中探索相关遥测数据的所需权限。 |
| [ListMetrics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListMetrics.html) | `cloudwatch:ListMetrics` 在 CloudWatch 控制台和 CLI 中查看或搜索指标名称所需。要求在控制面板小部件上选择指标。 |
| [ListMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListMetricStreams.html) | `cloudwatch:ListMetricStreams` 查看或搜索账户中指标流列表所需。 |
| [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html) | `cloudwatch:PutCompositeAlarm` 创建复合告警所需 要创建复合告警,`cloudwatch:PutCompositeAlarm` 权限必须具有 `*` 范围。如果您的 `cloudwatch:PutCompositeAlarm` 权限的范围较窄,则无法返回有关复合告警的信息。 |
| [PutDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutDashboard.html) | `cloudwatch:PutDashboard` 创建控制面板或更新现有控制面板所必需。 |
| [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html) | `cloudwatch:PutMetricAlarm` 要求创建或更新警报。 |
| [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html) | `cloudwatch:PutMetricData` 若要创建指标,则是必需的。 |
| [PutMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricStream.html) | `cloudwatch:PutMetricStream` 创建指标流所需 |
| [SetAlarmState](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_SetAlarmState.html) | `cloudwatch:SetAlarmState` 要求手动设置警报的状态。 |
| [StartMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_StartMetricStreams.html) | `cloudwatch:StartMetricStreams` 开启指标流中的指标流程所需。 |
| [StopMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_StartMetricStreams.html) | `cloudwatch:StopMetricStreams` 临时停止指标流中的指标流程所需。 |
| [TagResource](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_TagResource.html) | `cloudwatch:TagResource` 在 CloudWatch 资源(如告警和 Contributor Insights 规则)上添加或更新标签所需。 |
| [UntagResource](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_UntagResource.html) | `cloudwatch:UntagResource` 从 CloudWatch 资源中移除标签所需。 |
## CloudWatch Application Signals API 操作和所需的操作权限
| CloudWatch Application Signals API 操作 | 所需权限(API 操作) |
| --- | --- |
| [ BatchGetServiceLevelObjectiveBudgetReport](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_BatchGetServiceLevelObjectiveBudgetReport.html) | `application-signals:BatchGetServiceLevelObjectiveBudgetReport` 检索服务级别目标预算报告所需。 |
| [ CreateServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_CreateServiceLevelObjective.html) | `application-signals:CreateServiceLevelObjective` 创建服务级别目标(SLO)所需。 |
| [ DeleteServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_DeleteServiceLevelObjective.html) | `application-signals:DeleteServiceLevelObjective` 删除服务级别目标(SLO)所需。 |
| [ GetService](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_GetService.html) | `application-signals:GetService` 检索 Application Signals 发现的服务相关信息所需。 |
| [ GetServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_GetServiceLevelObjective.html) | `application-signals:GetServiceLevelObjective` 检索服务级别目标(SLO)相关信息所需。 |
| ListObservedEntities | `application-signals:ListObservedEntities` 授予权限以列出与其他实体关联的实体。 |
| [ ListServiceDependencies](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceDependencies.html) | `application-signals:ListServiceDependencies` 检索您指定服务的服务依赖项列表所需。此服务和依赖项是由 Application Signals 发现的。 |
| [ ListServiceDependents](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceDependents.html) | `application-signals:ListServiceDependents` 检索调用您指定服务的被依赖项列表所需。此服务和被依赖项是由 Application Signals 发现的。 |
| [ ListServiceLevelObjectives](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceLevelObjectives.html) | `application-signals:ListServiceLevelObjectives` 检索账户中的服务级别目标(SLO)列表所需。 |
| [ ListServiceOperations](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceOperations.html) | `application-signals:ListServiceOperations` 检索您指定服务的服务操作列表所需。此服务和依赖项是由 Application Signals 发现的。 |
| [ ListServices](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServices.html) | `application-signals:ListServices` 检索 Application Signals 发现的服务列表所需。 |
| [ ListTagsForResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListTagsForResource.html) | `application-signals:ListTagsForResource` 检索与资源关联的标签的列表所需。 |
| [ StartDiscovery](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_StartDiscovery.html) | `application-signals:StartDiscovery` 能够在账户中启用 Application Signals 并创建所需服务相关角色所需。 |
| [ TagResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_TagResource.html) | `application-signals:TagResource` 能够为资源添加标签所需。 |
| [ UntagResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_UntagResource.html) | `application-signals:UntagResource` 能够从资源中移除标签所需。 |
| [ UpdateServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_UpdateServiceLevelObjective.html) | `application-signals:UpdateServiceLevelObjective` 更新现有服务级别目标所需 |
## CloudWatch Contributor Insights API 操作和所需的操作权限
**重要**
当您向用户授予 `cloudwatch:PutInsightRule` 权限时,默认情况下,该用户可以创建一个规则来评估 CloudWatch Logs 中的任何日志组。您可以添加 IAM 策略条件,以限制用户的这些权限,使其包含和排除特定的日志组。有关更多信息,请参阅 [使用条件键限制 Contributor Insights 用户对日志组的访问](iam-cw-condition-keys-contributor.md)。
| CloudWatch Contributor Insights API 操作 | 所需权限(API 操作) |
| --- | --- |
| [DeleteInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteInsightRules.html) | `cloudwatch:DeleteInsightRules` 删除 Contributor Insights 规则所需。 |
| [DescribeInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeInsightRules.html) | `cloudwatch:DescribeInsightRules` 查看您账户中的 Contributor Insights 规则所需。 |
| [EnableInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableInsightRules.html) | `cloudwatch:EnableInsightRules` 启用 Contributor Insights 规则所需。 |
| [GetInsightRuleReport](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetInsightRuleReport.html) | `cloudwatch:GetInsightRuleReport` 检索 Contributor Insights 规则收集的时间序列数据和其他统计数据所需。 |
| [PutInsightRule](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutInsightRule.html) | `cloudwatch:PutInsightRule` 创建 Contributor Insights 规则所需。请参阅此表开头的 **Important(重要提示)**信息。 |
## CloudWatch Events API 操作和所需的操作权限
| CloudWatch Events API 操作 | 所需权限(API 操作) |
| --- | --- |
| [DeleteRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DeleteRule.html) | `events:DeleteRule` 删除规则所必需的。 |
| [DescribeRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DescribeRule.html) | `events:DescribeRule` 列出有关规则的详细信息所必需的。 |
| [DisableRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DisableRule.html) | `events:DisableRule` 禁用规则所必需的。 |
| [EnableRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_EnableRule.html) | `events:EnableRule` 启用规则所必需的。 |
| [ListRuleNamesByTarget](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRuleNamesByTarget.html) | `events:ListRuleNamesByTarget` 列出与目标关联的规则所必需的。 |
| [ListRules](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRules.html) | `events:ListRules` 列出您账户中的所有规则所必需的。 |
| [ListTargetsByRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListTargetsByRule.html) | `events:ListTargetsByRule` 列出与规则关联的所有目标所必需的。 |
| [PutEvents](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutEvents.html) | `events:PutEvents` 添加可匹配到规则的自定义活动所必需的。 |
| [PutRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutRule.html) | `events:PutRule` 创建或更新规则所必需的。 |
| [PutTargets](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutTargets.html) | `events:PutTargets` 将目标添加到规则所必需的。 |
| [RemoveTargets](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_RemoveTargets.html) | `events:RemoveTargets` 从规则中删除目标所必需的。 |
| [TestEventPattern](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_TestEventPattern.html) | `events:TestEventPattern` 针对给定事件测试事件模式所必需的。 |
## CloudWatch Logs API 操作和所需的操作权限
**注意**
CloudWatch Logs 权限可在《[CloudWatch Logs 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/permissions-reference-cwl.html)》中找到。
## Amazon EC2 API 操作和所需的操作权限
| Amazon EC2 API 操作 | 所需权限(API 操作) |
| --- | --- |
| [DescribeInstanceStatus](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstanceStatus.html) | `ec2:DescribeInstanceStatus` 查看 EC2 实例状态详细信息所必需的。 |
| [DescribeInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstances.html) | `ec2:DescribeInstances` 查看 EC2 实例详细信息所必需的。 |
| [RebootInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RebootInstances.html) | `ec2:RebootInstances` 重启 EC2 实例所必需的。 |
| [StopInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StopInstances.html) | `ec2:StopInstances` 停止 EC2 实例所必需的。 |
| [TerminateInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_TerminateInstances.html) | `ec2:TerminateInstances` 终止 EC2 实例所必需的。 |
## Amazon EC2 Auto Scaling API 操作和所需的操作权限
| Amazon EC2 Auto Scaling API 操作 | 所需权限(API 操作) |
| --- | --- |
| 扩展 | `autoscaling:Scaling` 扩展 Auto Scaling 组所需。 |
| 触发器 | `autoscaling:Trigger` 触发 Auto Scaling 操作所需。 |