用于 CloudWatch 的 AWS 托管式(预定义)策略
AWS 通过提供由 AWS 创建和管理的独立 IAM 策略来满足许多常用案例的要求。这些 AWS 托管策略可针对常用案例授予必要的权限,使您免去调查所需权限的工作。有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
以下 AWS 托管式策略(可附加到您账户中的用户)特定于 CloudWatch。
主题
CloudWatch 对 AWS 托管式策略的更新
查看有关 CloudWatch 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 CloudWatch 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AIOpsAssistantPolicy – 更新了策略 |
CloudWatch 已更新 AIOpsAssistantPolicy IAM 策略。添加了支持 CloudWatch 调查的权限,以协助进行查询、问题排查和拓扑映射。 添加了以下权限: |
2025 年 12 月 17 日 |
|
CloudWatch 在 CloudWatchNetworkMonitorServiceRolePolicy 托管式策略中新增以下权限: |
2025 年 12 月 12 日 | |
|
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy – 更新了策略 |
CloudWatch 在 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy 托管式策略中,新增 |
2025 年 12 月 10 日 |
|
CloudWatchFullAccessV2 – 更新了策略 |
CloudWatch 添加了对 CloudWatchFullAccessV2 的权限。 添加了可观测性管理操作的权限,以允许对遥测管道及 S3 表集成进行全权限访问。 |
2025 年 12 月 2 日 |
|
CloudWatchReadOnlyAccess – 更新了策略 |
CloudWatch 添加了对 CloudWatchReadOnlyAccess 的权限。 添加了可观测性管理操作的权限,以允许对遥测管道及 S3 表集成进行只读访问。 |
2025 年 12 月 2 日 |
|
CloudWatchFullAccessV2 – 更新了策略 |
CloudWatch 更新了 CloudWatchFullAccessV2 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及通过启用 Resource Explorer 从 Application Signals 中查询未埋点服务和资源。 |
2025 年 11 月 20 日 |
|
CloudWatch 更新了 CloudWatchApplicationSignalsFullAccess 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及通过启用 Resource Explorer 从 Application Signals 中查询未埋点服务和资源。 |
2025 年 11 月 20 日 | |
|
CloudWatchReadOnlyAccess – 更新了策略 |
CloudWatch 更新了 CloudWatchReadOnlyAccess 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及从 Application Signals 中查询未埋点服务和资源。 |
2025 年 11 月 20 日 |
|
CloudWatch 更新了 CloudWatchApplicationSignalsReadOnlyAccess 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及从 Application Signals 中查询未埋点服务和资源。 |
2025 年 11 月 20 日 | |
|
CloudWatch 更新了名为 CloudWatchApplicationSignalsServiceRolePolicy 的策略。 更新了该策略,新增 |
2025 年 11 月 20 日 | |
|
AIOpsConsoleAdminPolicy – 更新了策略 |
CloudWatch 更新了 AIOpsConsoleAdminPolicy 策略,新增 Amazon Q 集成权限,让用户能够通过 Amazon Q 的对话式界面与 CloudWatch 调查功能事件报告进行交互。 |
2025 年 11 月 17 日 |
|
AIOpsOperatorAccess – 更新了策略 |
CloudWatch 更新了 AIOpsOperatorAccess 策略,新增 Amazon Q 集成权限,让用户能够通过 Amazon Q 的对话式界面与 CloudWatch 调查功能事件报告进行交互。 |
2025 年 11 月 7 日 |
|
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy – 更新了策略 |
CloudWatch 在 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy 托管式策略中,新增 |
2025 年 11 月 6 日 |
|
CloudWatch 添加了 AIOpsAssistantIncidentReportPolicy 策略,使 CloudWatch 调查功能可基于调查数据生成事件报告,包括访问调查、创建报告和管理人工智能分析得出的事实所需的权限。 |
2025 年 10 月 10 日 | |
|
AIOpsOperatorAccess – 更新了策略 |
CloudWatch 更新了 AIOpsOperatorAccess 策略,新增事件报告生成权限,让用户能够创建和管理事件报告,并在 CloudWatch 调查中处理人工智能分析得出的事实。 |
2025 年 10 月 10 日 |
|
CloudWatchReadOnlyAccess – 对现有策略的更新。 |
CloudWatch 添加了对 CloudWatchReadOnlyAccess 的权限。 添加了可观测性管理操作的权限,允许跨 AWS Organizations 对遥测规则、集中配置和资源遥测数据进行只读访问。 |
2025 年 10 月 10 日 |
|
CloudWatchFullAccessV2 – 更新现有策略 |
CloudWatch 对 CloudWatchFullAccessV2 策略进行更新,新增 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。 |
2025 年 10 月 8 日 |
|
CloudWatchReadOnlyAccess – 对现有策略的更新 |
CloudWatch 对 CloudWatchReadOnlyAccess 策略进行更新,新增 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。 |
2025 年 10 月 8 日 |
|
CloudWatch 更新了 CloudWatchApplicationSignalsReadOnlyAccess 策略,使其支持查看账户内资源与服务的变更情况,以及账户中服务异常的重点观测数据。 |
2025 年 9 月 29 日 | |
|
CloudWatch 更新了 CloudWatchApplicationSignalsFullAccess 策略,使其支持查看账户内资源与服务的变更情况,以及账户中服务异常的重点观测数据。 |
2025 年 9 月 29 日 | |
|
AIOpsAssistantPolicy – 更新了策略 |
CloudWatch 更新了 AIOpsAssistantPolicy,允许 CloudWatch 调查访问更多资源,以帮助进行查询、问题排查和拓扑映射。 此策略授予 CloudWatch 调查功能进行调查所需的权限。 |
2025 年 9 月 24 日 |
|
AIOpsConsoleAdminPolicy – 更新的策略 |
CloudWatch 已更新 AIOpsConsoleAdminPolicy 策略,支持跨账户验证调查分析组。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 |
2025 年 6 月 13 日 |
|
AIOpsOperatorAccess – 已更新策略 |
CloudWatch 已更新 AIOpsOperatorAccess 策略,支持跨账户验证调查分析组。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 |
2025 年 6 月 13 日 |
|
AIOpsAssistantPolicy – 对现有策略的更新 |
CloudWatch 已更新 AIOpsAssistantPolicy IAM 策略。它添加了相关权限,使 CloudWatch Application Insights 的操作调查能够在调查过程中从您的资源中查找信息。 增加了以下权限: 此外,该 |
2025 年 6 月 13 日 |
AmazonCloudWatchRUMReadOnlyAccess – 更新后的策略 |
CloudWatch 向 AmazonCloudWatchRUMReadOnlyAccess 策略添加了权限。 添加了 添加了 添加了 添加了 添加了 添加了 |
2025 年 6 月 28 日 |
|
AIOpsReadOnlyAccess – 已更新策略 |
CloudWatch 已更新 AIOpsReadOnlyAccess 策略,支持跨账户验证调查分析组。 此策略授予用户对 Amazon AI Operations 和其他相关服务的只读权限。 |
2025 年 6 月 5 日 |
AmazonCloudWatchRUMReadOnlyAccess – 更新后的策略 |
CloudWatch 为 AmazonCloudWatchRUMReadOnlyAccess 策略添加了权限。 添加了 |
2025 年 4 月 28 日 |
|
AIOpsConsoleAdminPolicy – 新策略 |
CloudWatch 创建了一项名为 AIOpsConsoleAdminPolicy 的新策略。 该策略授予用户完全管理访问权限来管理 CloudWatch 调查,包括管理可信身份传播以及管理 IAM Identity Center 和组织访问。 |
2024 年 12 月 3 日 |
|
AIOpsOperatorAccess – 新策略 |
CloudWatch 创建了一项名为 AIOpsOperatorAccess 的新策略。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 |
2024 年 12 月 3 日 |
|
AIOpsReadOnlyAccess – 新策略 |
CloudWatch 创建了一项名为 AIOpsReadOnlyAccess 的新策略。 此策略授予用户对 Amazon AI Operations 和其他相关服务的只读权限。 |
2024 年 12 月 3 日 |
|
AIOpsAssistantPolicy – 新策略 |
CloudWatch 创建了一项名为 AIOpsAssistantPolicy 的新策略。 您不会将此策略分配给用户。而是将此策略分配给 Amazon AI 操作助手,以便 Amazon Q 操作调查能够在调查操作事件期间分析 AWS 资源。 |
2024 年 12 月 3 日 |
|
CloudWatchFullAccessV2 – 更新现有策略 |
CloudWatch 更新了 CloudWatchFullAccessV2 和 CloudWatchFullAccess。 添加了 Amazon OpenSearch Service 的权限,以便 CloudWatch Logs 与 OpenSearch Service 的某些功能集成。 |
2024 年 12 月 1 日 |
|
CloudWatch 添加了一项新策略 CloudWatchNetworkFlowMonitorServiceRolePolicy。 CloudWatchNetworkFlowMonitorServiceRolePolicy 授予网络流量监测仪将指标发布到 CloudWatch 的权限。该策略还允许服务使用 AWS Organizations 获取多账户场景的信息。 |
2024 年 12 月 1 日 | |
|
CloudWatch 添加了一项新策略 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy。 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy 授予网络流监测仪生成账户中所使用资源的拓扑快照的权限。 |
2024 年 12 月 1 日 | |
|
CloudWatch 添加了一项新策略 CloudWatchNetworkFlowMonitorAgentPublishPolicy。 CloudWatchNetworkFlowMonitorAgentPublishPolicy 授予 Amazon EC2 和 Amazon EKS instances 等资源向网络流量监测仪端点发送遥测报告(指标)的权限。 |
2024 年 12 月 1 日 | |
|
CloudWatchSyntheticsFullAccess – 对现有策略的更新 |
CloudWatch 更新了名为 CloudWatchSyntheticsFullAccess 的策略。 添加了以下 CloudWatch Logs 操作,允许 CloudWatch Synthetics 获取和使用 Lambda 日志组中的 Canary 日志数据。还添加了
此外,Lambda 层版本操作现在适用于所有 CloudWatch Synthetics 层 ARN。 |
2024 年 11 月 20 日 |
|
CloudWatchInternetMonitorReadOnlyAccess – 新的 CloudWatchInternetMonitorReadOnlyAccess。 此策略将授予对 CloudWatch 网络监测仪控制台中可用资源和操作的只读访问权限。此策略的范围包括 |
2024 年 11 月 14 日 | |
|
CloudWatch 创建了一个名为 CloudWatchInternetMonitorFullAccess 的新策略。 此策略将授予对 CloudWatch 网络监测仪控制台中可用资源和操作的完全访问权限。此策略的范围包括 |
2024 年 10 月 23 日 | |
|
CloudWatchLambdaApplicationSignalsExecutionRolePolicy – 新的 CloudWatchLambdaApplicationSignalsExecutionRolePolicy。 为 Lambda 工作负载启用 CloudWatch Application Signals 时将使用此策略。这会允许对 X-Ray 和 CloudWatch Application Signals 使用的日志组进行写入访问。 |
2024 年 10 月 16 日 | |
|
CloudWatchSyntheticsFullAccess – 对现有策略的更新 |
CloudWatch 更新了名为 CloudWatchSyntheticsFullAccess 的策略。 添加了 |
2024 年 10 月 11 日 |
|
CloudWatch 创建了一项名为 CloudWatchApplicationSignalsReadOnlyAccess 的新策略。 此策略授予对 Application Signals 的 CloudWatch 控制台中可用资源和操作的只读访问权限。此策略的范围包括 |
2024 年 6 月 7 日 | |
|
CloudWatch 创建了一项名为 CloudWatchApplicationSignalsFullAccess 的新策略。 此策略授予对 Application Signals 的 CloudWatch 控制台中可用资源和操作的完全访问权限。此策略的范围包括 |
2024 年 6 月 7 日 | |
|
CloudWatchFullAccessV2:对现有策略的更新 |
CloudWatch 更新了名为 CloudWatchFullAccessV2 的策略。
|
2024 年 5 月 20 日 |
|
CloudWatchReadOnlyAccess – 对现有策略的更新 |
CloudWatch 更新了名为 CloudWatchReadOnlyAccess 的策略。
|
2024 年 5 月 20 日 |
|
CloudWatch 更新了名为 CloudWatchApplicationSignalsServiceRolePolicy 的策略。
|
2024 年 4 月 18 日 | |
|
CloudWatch 更改了 CloudWatchApplicationSignalsServiceRolePolicy 中权限的范围。
|
2024 年 4 月 8 日 | |
|
CloudWatchAgentServerPolicy – 更新到现有策略 |
CloudWatch 已将权限添加到 CloudWatchAgentServerPolicy。 已添加 |
2024 年 2 月 12 日 |
|
CloudWatchAgentAdminPolicy – 更新到现有策略 |
CloudWatch 已将权限添加到 CloudWatchAgentAdminPolicy。 已添加 |
2024 年 2 月 12 日 |
|
CloudWatchFullAccessV2:对现有策略的更新 |
CloudWatch 添加了对 CloudWatchFullAccessV2 的权限。 添加了 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 操作的现有权限以及 CloudWatch Application Signals 的新权限,因此拥有此策略的用户可以管理 CloudWatch Application Signals。 添加了创建 CloudWatch Application Signals 服务相关角色的权限,以允许 CloudWatch Application Signals 发现日志、指标、跟踪和标签中的遥测数据。 |
2023 年 12 月 5 日 |
|
CloudWatchReadOnlyAccess – 对现有策略的更新 |
CloudWatch 添加了对 CloudWatchReadOnlyAccess 的权限。 添加了 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 操作的现有只读权限以及 CloudWatch Application Signals 的新只读权限,因此拥有此策略的用户可以对 CloudWatch Application Signals 报告的服务运行状况问题进行分类和诊断。 添加了 |
2023 年 12 月 5 日 |
|
CloudWatchReadOnlyAccess – 对现有策略的更新。 |
CloudWatch 已向 CloudWatchReadOnlyAccess 添加了权限。 添加了 |
2023 年 12 月 1 日 |
|
CloudWatch 添加了一项新策略 CloudWatchApplicationSignalsServiceRolePolicy。 CloudWatchApplicationSignalsServiceRolePolicy 会授予一项即将推出的功能权限,用于收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据和标记数据。 |
2023 年 11 月 9 日 | |
|
AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy – 新策略 |
CloudWatch 添加了一个新策略 AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy。 AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy 授予 CloudWatch 代表您从数据库获取性能详情指标的权限。 |
2023 年 9 月 20 日 |
|
CloudWatchReadOnlyAccess – 对现有策略的更新 |
CloudWatch 已向 CloudWatchReadOnlyAccess 添加了权限。 添加了 |
2023 年 9 月 14 日 |
|
CloudWatchFullAccessV2 – 新策略 |
CloudWatch 添加了一项新策略 CloudWatchFullAccessV2。 CloudWatchFullAccessV2 授予对 CloudWatch 操作和资源的完全访问权限,同时可以更好地限定授予其他服务(例如 Amazon SNS 和 Amazon EC2 Auto Scaling)的权限。有关更多信息,请参阅 CloudWatchFullAccessV2。 |
2023 年 8 月 1 日 |
|
AWSServiceRoleForInternetMonitor — 更新到现有政策 |
Amazon CloudWatch 网络监测仪添加了监控网络负载均衡器资源的新权限。 需要 有关更多信息,请参阅 使用 Internet Monitor。 |
2023 年 7 月 15 日 |
|
CloudWatchReadOnlyAccess – 对现有策略的更新 |
CloudWatch 添加了对 CloudWatchReadOnlyAccess 的权限。 增加了 |
2023 年 6 月 6 日 |
|
CloudWatch 添加了新策略,助力您管理用于分享 CloudWatch 指标的 CloudWatch 跨账户可观测性链接。 有关更多信息,请参阅 CloudWatch 跨账户可观测性。 |
2022 年 11 月 27 日 | |
|
OAMFullAccess – 新策略 |
CloudWatch 添加了新策略,助力您全面管理 CloudWatch 跨账户可观测性链接和汇点。 有关更多信息,请参阅 CloudWatch 跨账户可观测性。 |
2022 年 11 月 27 日 |
|
OAMReadOnlyAccess – 新策略 |
CloudWatch 添加了新策略,助力您查看关于 CloudWatch 跨账户可观测性链接和汇点的信息。 有关更多信息,请参阅 CloudWatch 跨账户可观测性。 |
2022 年 11 月 27 日 |
|
CloudWatchFullAccess – 对现有策略的更新 |
CloudWatch 添加了对 CloudWatchFullAccess 的权限。 添加了 |
2022 年 11 月 27 日 |
|
CloudWatchReadOnlyAccess – 对现有策略的更新 |
CloudWatch 添加了对 CloudWatchReadOnlyAccess 的权限。 添加了 |
2022 年 11 月 27 日 |
AmazonCloudWatchRUMServiceRolePolicy – 对现有策略的更新 |
CloudWatch RUM 更新了 AmazonCloudWatchRUMServiceRolePolicy 中的一个条件键。
|
2023 年 2 月 2 日 |
AmazonCloudWatchRUMReadOnlyAccess – 更新后的策略 |
CloudWatch 向 AmazonCloudWatchRUMReadOnlyAccess 策略添加了权限。 添加了 |
2022 年 10 月 27 日 |
AmazonCloudWatchRUMServiceRolePolicy – 对现有策略的更新 |
CloudWatch RUM 向 AmazonCloudWatchRUMServiceRolePolicy 添加了权限。 添加了 |
2022 年 10 月 26 日 |
|
CloudWatchSyntheticsFullAccess – 对现有策略的更新 |
CloudWatch Synthetics 添加了对 CloudWatchSyntheticsFullAccess 的权限。 添加了 |
2022 年 5 月 6 日 |
|
CloudWatch 添加了一项启用对 CloudWatch RUM 的全面管理的新策略。 CloudWatch RUM 允许您对 Web 应用程序执行真实的用户监控。有关更多信息,请参阅 CloudWatch RUM。 |
2021 年 11 月 29 日 | |
|
CloudWatch 添加了一项启用对 CloudWatch RUM 的只读访问的新策略。 CloudWatch RUM 允许您对 Web 应用程序执行真实的用户监控。有关更多信息,请参阅 CloudWatch RUM。 |
2021 年 11 月 29 日 | |
|
AWSServiceRoleForCloudWatchRUM – 新的托管式策略 |
CloudWatch 添加了一项新的服务相关角色的策略,以允许 CloudWatch RUM 将监控数据发布给其他相关 AWS 服务。 |
2021 年 11 月 29 日 |
|
CloudWatchSyntheticsFullAccess – 对现有策略的更新 |
CloudWatch Synthetics 向 CloudWatchSyntheticsFullAccess 添加了权限,还更改了一个权限的范围。 添加了
|
2021 年 9 月 29 日 |
|
CloudWatchSyntheticsFullAccess – 对现有策略的更新 |
CloudWatch Synthetics 添加了一个对 CloudWatchSyntheticsFullAccess 策略的权限。
|
2021 年 7 月 20 日 |
|
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy – 新托管式策略 |
CloudWatch 添加了一个新的托管式 IAM 策略,以允许 CloudWatch 在 AWS Systems Manager Incident Manager 中创建事件。 |
2021 年 5 月 10 日 |
CloudWatchAutomaticDashboardsAccess – 对现有策略的更新 |
CloudWatch 添加了一个对 CloudWatchAutomaticDashboardsAccess 托管式策略的权限。 |
2021 年 4 月 20 日 |
|
CloudWatch 开始跟踪更改 |
CloudWatch 开始跟踪其 AWS 托管式策略的更改。 |
2021 年 4 月 14 日 |
CloudWatchFullAccessV2
AWS 最近添加了 CloudWatchFullAccessV2 托管 IAM 策略。此策略授予对 CloudWatch 操作和资源的完全访问权限,并更正确地确定授予其他服务(如 Amazon SNS 和 Amazon EC2 Auto Scaling)的权限范围。我们建议您开始使用此策略,而不是使用 CloudWatchFullAccess。AWS 计划在不久的将来弃用 CloudWatchFullAccess 。
它包括 application-signals: 权限,以便用户可以从 CloudWatch 控制台的 Application Signals 下访问所有功能。它包含一些 autoscaling:Describe 权限,以便使用此策略的用户可以查看与 CloudWatch 警报关联的自动扩缩操作。它包含一些 sns 权限,以便使用此策略的用户可以检索、创建 Amazon SNS 主题并将其与 CloudWatch 警报关联。它包含 IAM 权限,以便使用此策略的用户可以查看有关与 CloudWatch 关联的服务相关角色的信息。它包含 oam:ListSinks 和 oam:ListAttachedLinks 权限,以便使用此策略的用户可以借助控制台在 CloudWatch 跨账户可观察性中查看源账户共享的数据。该策略还包括 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。
它包含 Amazon OpenSearch Service 权限,以便支持使用 Amazon OpenSearch Service 分析创建的 CloudWatch Logs 中公开日志控制面板。该策略包括 resource-explorer-2: 策略,使用户可以使用控制台查看其账户中的未插桩服务。
其中包括 rum、synthetics 和 xray 权限,因此用户可以完全访问 CloudWatch Synthetics、AWS X-Ray 和 CloudWatch RUM,所有这些都在 CloudWatch 服务范围之内。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchFullAccessV2。
CloudWatchFullAccess
CloudWatchFullAccess 策略即将被弃用。我们建议您停止使用它,改用 CloudWatchFullAccessV2。
CloudWatchReadOnlyAccess
CloudWatchReadOnlyAccess 策略授予对 CloudWatch 的只读访问权限和相关可观测性功能。
策略包含一些 logs: 权限,因此拥有此策略的用户可以使用控制台查看 CloudWatch 日志信息和 CloudWatch Logs Insights 查询。其中包含 autoscaling:Describe*,因此拥有此策略的用户可以查看与 CloudWatch 警报关联的 Auto Scaling 操作。它包括 application-signals: 权限,以便用户可以使用 Application Signals 来监控其服务的运行状况。其中包含 application-autoscaling:DescribeScalingPolicies,因此拥有此策略的用户可以访问有关 Application Auto Scaling 策略的信息。其中包含 sns:Get* 和 sns:List*,因此拥有此策略的用户可以检索有关接收 CloudWatch 警报通知的 Amazon SNS 主题的信息。其中包含 oam:ListSinks 和 oam:ListAttachedLinks 权限,因此拥有此策略的用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。它包括 iam:GetRole 权限,以便用户可以检查是否已设置 CloudWatch Application Signals。该策略还包括 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。该策略中的可观测性管理权限可用于跨 AWS Organizations 查看遥测规则、集中配置和资源遥测数据。它包含 cloudwatch:GenerateQuery 权限,以便具有此策略的用户可以从自然语言提示生成 CloudWatch Metrics Insights 查询字符串。该策略包括 resource-explorer-2: 策略,使用户可以使用控制台查看其账户中的未插桩服务。
其中包含 rum、synthetics 和 xray 权限,因此用户可以只读访问 CloudWatch Synthetics、AWS X-Ray 和 CloudWatch RUM,所有这些都在 CloudWatch 服务范围之内。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchReadOnlyAccess。
CloudWatchActionsEC2Access
CloudWatchActionsEC2Access 策略授予对 CloudWatch 告警和指标,以及 Amazon EC2 元数据的只读访问权限。其还授予对 EC2 实例的停止、终止和重启 API 操作的访问权限。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchActionsEC2Access。
CloudWatch-CrossAccountAccess
CloudWatch-CrossAccountAccess 托管式策略由CloudWatch-CrossAccountSharingRole IAM 角色使用。此角色和策略使跨账户控制面板的用户能够查看共享仪表板的各个账户中的自动控制面板。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatch-CrossAccountAccess。
CloudWatchAutomaticDashboardsAccess
CloudWatchAutomaticDashboardsAccess 托管策略授予非 CloudWatch API 访问 CloudWatch 的权限,因此 Lambda 函数等资源可以在 CloudWatch 自动控制面板上显示。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchAutomaticDashboardsAccess。
CloudWatchAgentServerPolicy
CloudWatchAgentServerPolicy 策略可用于附加到 Amazon EC2 实例的 IAM 角色中,以允许 CloudWatch 代理从实例读取信息并将其写入 CloudWatch。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchAgentServerPolicy。
CloudWatchAgentAdminPolicy
CloudWatchAgentAdminPolicy 策略可用于附加到 Amazon EC2 实例的 IAM 角色。此策略允许 CloudWatch 代理从实例读取信息并将其写入 CloudWatch,还可以将信息写入 Parameter Store。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchAgentAdminPolicy。
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
您不能将 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy 附加到自己的 IAM 实体。此策略附加到名为 AWSServiceRoleForNetworkFlowMonitor_Topology 的服务相关角色。该服务相关角色使用这些权限以及内部元数据信息收集(旨在提高性能效率),为该服务监控网络流量的资源收集有关资源网络配置的元数据,例如描述路由表和网关。借助这些元数据,Network Flow Monitor 能够生成资源的拓扑快照。当出现网络性能下降时,Network Flow Monitor 会使用拓扑来提供有关网络中问题位置的见解,并帮助确定问题的归因。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy。
有关更多信息,请参阅 适用于 Network Flow Monitor 的服务相关角色。
注意
您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看这些权限策略。
此外,您还可以创建您自己的自定义 IAM 策略,以授予对 CloudWatch 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。
用于 CloudWatch 跨账户可观测性的 AWS 托管(预定义)策略
本节中的策略授予与 CloudWatch 跨账户可观测性相关的权限。有关更多信息,请参阅 CloudWatch 跨账户可观测性。
CloudWatchCrossAccountSharingConfiguration
CloudWatchCrossAccountSharingConfiguration 策略授予可创建、管理和查看可观测性访问管理器链接的权限,用于在账户之间共享 CloudWatch 资源。有关更多信息,请参阅 CloudWatch 跨账户可观测性。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchCrossAccountSharingConfiguration。
OAMFullAccess
OAMFullAccess 策略授予可创建、管理和查看可观测性访问管理器汇点和链接的权限,这些汇点和链接用于 CloudWatch 跨账户可观测性。
OAMFullAccess 策略本身不允许您跨链接共享可观测性数据。要创建可共享 CloudWatch 指标的链接,您还需要 CloudWatchFullAccess 或 CloudWatchCrossAccountSharingConfiguration。要创建可共享 CloudWatch Logs 日志组的链接,您还需要 CloudWatchLogsFullAccess 或 CloudWatchLogsCrossAccountSharingConfiguration。要创建可共享 X-Ray 追踪信息的链接,您还需要 AWSXRayFullAccess 或 AWSXRayCrossAccountSharingConfiguration。
有关更多信息,请参阅 CloudWatch 跨账户可观测性。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 OAMFullAccess。
OAMReadOnlyAccess
OAMReadOnlyAccess 策略授予 Observability Access Manager 资源的只读访问权限,用于 CloudWatch 跨账户可观测性。有关更多信息,请参阅 CloudWatch 跨账户可观测性。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 OAMReadOnlyAccess。
用于 CloudWatch 调查的 AWS 托管式(预定义)策略
本节中的策略授予与 CloudWatch 调查相关的权限。有关更多信息,请参阅 CloudWatch 调查。
AIOpsConsoleAdminPolicy
AIOpsConsoleAdminPolicy 策略通过 AWS 控制台授予对所有 CloudWatch 调查操作及其所需权限的完全访问权限。此策略还授予对 CloudWatch 调查功能所需的其他服务 API 的有限访问权限。
-
该
aiops权限可授予对全部 CloudWatch 调查操作的访问权限。 -
organizations、sso、identitystore和sts权限允许 IAM Identity Center 管理执行所需的操作,这有助于生成身份感知会话。 -
SSM Ops Item 与第三方问题管理集成需要
ssm权限。 -
管理员需要
iam权限才能将 IAM 角色传递给aiops和ssm.integrations服务,助手随后会使用该角色来分析 AWS 资源重要
这些权限允许拥有此策略的用户将任何 IAM 角色传递给
aiops和ssm.integrations服务。 -
该权限允许来自 CloudWatch 调查以外的服务的 API,这是调查功能所必需的。这些 API 包括配置 聊天应用程序中的 Amazon Q 开发者版、AWS KMS、CloudTrail 跟踪和 SSM 第三方问题管理的操作。
-
利用
q权限,用户可与 Amazon Q 集成,从而通过 Amazon Q 的对话式界面,与 CloudWatch 调查功能报告进行交互并更新报告。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 AIOpsConsoleAdminPolicy。
AIOpsOperatorAccess
AIOpsOperatorAccess 策略授予对一组有限的 CloudWatch 调查 API 的访问权限,其中包括创建、更新和删除调查、调查事件和调查资源。
此策略仅为调查提供权限。您应确保具有此策略的 IAM 主体也有权读取指标、SLO 和 CloudWatch Logs 查询结果等 CloudWatch 可观测性数据。
-
aiops权限允许访问 CloudWatch 调查 API 来创建、更新和删除调查。 -
sso-directory、sso、identitystore和sts权限允许 IAM Identity Center 管理执行所需的操作,这有助于生成身份感知会话。 -
SSM Ops Item 与第三方问题管理集成需要
ssm权限。 -
利用
q权限,用户可与 Amazon Q 集成,从而通过 Amazon Q 的对话式界面,与 CloudWatch 调查功能报告进行交互并更新报告。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 AIOpsOperatorAccess。
AIOpsReadOnlyAccess
AIOpsReadOnlyAccess 策略授予 CloudWatch 调查和其他相关服务的只读权限。
-
aiops权限允许访问 CloudWatch 调查 API 来获取、列出和验证调查租。 -
sso权限允许 IAM Identity Center 管理执行所需的操作,这些操作可助力实现具备身份感知能力的会话。 -
SSM Ops Item 与第三方问题管理集成需要
ssm权限。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 AIOpsReadOnlyAccess。
AIOpsAssistantPolicy
AIOpsAssistantPolicy 策略是 AWS 推荐的默认策略,用于分配给您的调查组使用的 Amazon AI 操作(AIOps)角色,使其能够在调查运营事件期间分析您的 AWS 资源。此策略不供人类用户使用。
您可以选择在创建调查时自动分配策略,也可以手动将策略分配给调查所使用的角色。此策略的权限范围基于 CloudWatch 调查功能在执行调查时分析的资源来界定;随着后续支持的资源种类增多,此策略也将随之更新。有关使用 CloudWatch 调查功能的服务的完整列表,请参阅 支持调查的 AWS 服务。
除了为助手分配 AIOpsAssistantPolicy 策略之外,还可以选择为助手分配常规的 AWS ReadOnlyAccess 策略。这样做的原因是 AWS 将更频繁地更新 ReadOnlyAccess,以便提供发布的新 AWS 服务和操作的权限。AIOpsAssistantPolicy 也将针对新操作进行更新,但更新频率不会那么高。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 AIOpsAssistantPolicy。
AIOpsAssistantIncidentReportPolicy
AIOpsAssistantIncidentReportPolicy 策略使 CloudWatch 调查功能可基于调查数据生成事件报告。
此策略旨在供 CloudWatch 调查功能使用,以便基于调查发现自动生成事件报告。
-
aiops权限允许访问 CloudWatch 调查 API 以读取调查数据和事件、创建和更新事件报告,以及管理构成报告生成基础的人工智能分析得出的事实。
要查看该政策的全部内容,请参阅《AWS 托管式策略参考指南》中的 AIOpsAssistantIncidentReportPolicy。
用于 CloudWatch Application Signals 的 AWS 托管(预定义)策略
本节中的策略授予与 CloudWatch Application Signals 相关的权限。有关更多信息,请参阅 Application Signals。
CloudWatchApplicationSignalsReadOnlyAccess
AWS 添加了 CloudWatchApplicationSignalsReadOnlyAccess 托管 IAM 策略。此策略授予用户对 CloudWatch 控制台中 Application Signals 下可用操作和资源的只读访问权限。它包括 application-signals: 策略,以使用户可以使用 CloudWatch Application Signals 来查看、调查和监控其服务的运行状况。它包括一项允许用户检索 IAM 角色相关信息的 iam:GetRole 策略。它包括启动和停止查询、检索指标筛选器的配置以及获取查询结果的 logs: 策略。它包括 cloudwatch: 策略,以使用户能够获取有关 CloudWatch 警报或指标的信息。它包括 synthetics: 策略,以使用户能够检索有关 Synthetics canary 运行的信息。它包括运行批量操作、检索数据和更新 RUM 客户端指标定义的 rum: 策略。它包括一项检索跟踪摘要的 xray: 策略。其中包含 oam: 策略,以便用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。该策略包括 resource-explorer-2: 策略,使用户可以使用控制台查看其账户中的未插桩服务。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchApplicationSignalsReadOnlyAccess。
CloudWatchApplicationSignalsFullAccess
AWS 添加了 CloudWatchApplicationSignalsFullAccess 托管 IAM 策略。此策略授予用户对 CloudWatch 控制台中所有可用操作和资源的访问权限。它包括 application-signals: 策略,以使用户可以使用 CloudWatch Application Signals 来查看、调查和监控其服务的运行状况。它使用 cloudwatch: 策略从指标和警报中检索数据。它使用 logs: 策略来管理查询和筛选器。它使用 synthetics: 策略,以使用户能够检索有关 Synthetics canary 运行的信息。它包括运行批量操作、检索数据和更新 RUM 客户端指标定义的 rum: 策略。它包括一项检索跟踪摘要的 xray: 策略。它包括 arn:aws:cloudwatch:*:*:alarm: 策略,以使用户能够检索有关服务级别目标(SLO)警报的信息。它包括管理 IAM 角色的 iam: 策略。它使用 sns: 策略创建、列出和订阅 Amazon SNS 主题。其中包含 oam: 策略,以便用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。其中包含 resource-explorer-2: 策略,以便用户可以使用控制台查看其账户中的未插桩服务
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchApplicationSignalsFullAccess。
CloudWatchLambdaApplicationSignalsExecutionRolePolicy
为 Lambda 工作负载启用 CloudWatch Application Signals 时将使用此策略。这会允许对 X-Ray 和 CloudWatch Application Signals 使用的日志组进行写入访问。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchLambdaApplicationSignalsExecutionRolePolicy。
用于 CloudWatch Synthetics 的 AWS 托管式(预定义)策略
CloudWatchSyntheticsFullAccess 和 CloudWatchSyntheticsReadOnlyAccess AWS 托管式策略可供您分配给将要管理或使用 CloudWatch Synthetics 的用户。以下其他策略也是相关的:
-
AmazonS3ReadOnlyAccess 和 CloudWatchReadOnlyAccess – 在 CloudWatch 控制台中读取所有 Synthetics 数据所必需的策略。
-
AWSLambdaReadOnlyAccess – 查看 Canary 所用源代码的所需策略。
-
CloudWatchSyntheticsFullAccess – 允许创建 Canary。此外,要创建和删除为其创建了新 IAM 角色的金丝雀,还需要特定内联策略权限。
重要
授予用户
iam:CreateRole、iam:DeleteRole、iam:CreatePolicy、iam:DeletePolicy、iam:AttachRolePolicy和iam:DetachRolePolicy权限,将授予用户完全管理访问权限,用户可以创建、附加和删除具有匹配arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*和arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*的 ARN 的角色和策略。例如,拥有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到匹配该 ARN 模式的任何角色。请谨慎地为相关人员授予这些权限。有关附加策略和向用户授予权限的信息,请参阅更改 IAM 用户的权限和为用户或角色嵌入内联策略。
CloudWatchSyntheticsFullAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchSyntheticsFullAccess。
CloudWatchSyntheticsReadOnlyAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 CloudWatchSyntheticsReadOnlyAccess。
适用于 Amazon CloudWatch RUM 的 AWS 托管式(预定义)策略
您可以将 AWS 托管式策略 AmazonCloudWatchRUMFullAccess 和 AmazonCloudWatchRUMReadOnlyAccess 分配给将管理或使用 CloudWatch RUM 的用户。
AmazonCloudWatchRUMFullAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 AmazonCloudWatchRUMFullAccess。
AmazonCloudWatchRUMReadOnlyAccess
AmazonCloudWatchRUMReadOnlyAccess 允许对 CloudWatch RUM 进行只读管理访问。
-
通过该
synthetics权限,可以在 RUM 应用程序监视器中显示关联的 Synthetics Canary -
通过该
cloudwatch权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 指标 -
通过该
cloudwatch alarms权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 警报 -
通过该
cloudwatch logs权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 日志 -
通过该
x-ray权限,可以在 RUM 应用程序监视器中显示关联的 X-Ray 跟踪分段 -
通过该
rum权限,可以在 RUM 应用程序监视器中显示关联的标签
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 AmazonCloudWatchRUMReadOnlyAccess。
AmazonCloudWatchRUMServiceRolePolicy
您无法将 AmazonCloudWatchRUMServiceRolePolicy 附加到 IAM 实体。此策略会附加到允许 CloudWatch RUM 向其他相关 AWS 服务发布监控数据的服务相关角色。有关此服务相关角色的更多信息,请参阅 对 CloudWatch RUM 使用服务相关角色。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》中的 AmazonCloudWatchRUMServiceRolePolicy。
适用于 AWS Systems Manager Incident Manager 的 AWS 托管式策略
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy 策略附加到一个与服务相关的角色,该角色允许 CloudWatch 在 AWS Systems Manager Incident Manager 中代表您启动事件。有关更多信息,请参阅 CloudWatch 告警 Systems Manager Incident Manager 操作的服务相关角色权限。
该策略具有以下权限:
-
ssm-incidents:StartIncident
