# 用于 CloudWatch 的 AWS 托管式(预定义)策略
AWS 通过提供由 AWS 创建和管理的独立 IAM 策略来满足许多常用案例的要求。这些 AWS 托管策略可针对常用案例授予必要的权限,使您免去调查所需权限的工作。有关更多信息,请参阅《IAM 用户指南》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)**。
以下 AWS 托管式策略(可附加到您账户中的用户)特定于 CloudWatch。
**Topics**
+ [CloudWatch 对 AWS 托管式策略的更新](#security-iam-awsmanpol-updates)
+ [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)
+ [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess)
+ [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)
+ [CloudWatchActionsEC2Access](#managed-policies-cloudwatch-CloudWatchActionsEC2Access)
+ [CloudWatch-CrossAccountAccess](#managed-policies-cloudwatch-CloudWatch-CrossAccountAccess)
+ [CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess)
+ [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy)
+ [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy)
+ [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)
+ [用于 CloudWatch 跨账户可观测性的 AWS 托管(预定义)策略](#managed-policies-cloudwatch-crossaccount)
+ [用于 CloudWatch 调查的 AWS 托管式(预定义)策略](#managed-policies-cloudwatch-QInvestigations)
+ [用于 CloudWatch Application Signals 的 AWS 托管(预定义)策略](#managed-policies-cloudwatch-ApplicationSignals)
+ [用于 CloudWatch Synthetics 的 AWS 托管式(预定义)策略](#managed-policies-cloudwatch-canaries)
+ [适用于 Amazon CloudWatch RUM 的 AWS 托管式(预定义)策略](#managed-policies-cloudwatch-RUM)
+ [适用于 AWS Systems Manager Incident Manager 的 AWS 托管式策略](#managed-policies-cloudwatch-incident-manager)
## CloudWatch 对 AWS 托管式策略的更新
查看有关 CloudWatch 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 CloudWatch 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 策略已更新 | CloudWatch 更新了 **CloudWatchSyntheticsFullAccess** 策略。 添加了 `cloudwatch:ListMetrics` 权限,以便 CloudWatch Synthetics 可以列出可用指标。此外,`apigateway:GET` 权限已从允许所有资源更改为特定的 API Gateway 资源:REST API、REST API 阶段、REST API 阶段 Swagger 导出和 HTTP API。 | March 31, 2026 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 更新了策略 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 策略。添加了支持 CloudWatch 调查的权限,以协助进行查询、问题排查和拓扑映射。 添加了以下权限:`appsync:GetGraphqlApiEnvironmentVariables`、`cloudtrail:GetEventConfiguration`、`kms:GetKeyPolicy` 和 `s3:GetBucketAbac` | 2026 年 2 月 6 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 更新了策略 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 策略。添加了支持 CloudWatch 调查的权限,以协助进行查询、问题排查和拓扑映射。 添加了以下权限:`kms:GetKeyRotationStatus`、`kms:ListAliases` 和 `kms:ListKeyRotations` | 2025 年 12 月 17 日 |
| [ CloudWatchNetworkMonitorServiceRolePolicy](security-iam-awsmanpol-nw.md#security-iam-CloudWatchNetworkMonitorServiceRolePolicy) – 更新了策略 | CloudWatch 在 **CloudWatchNetworkMonitorServiceRolePolicy** 托管式策略中新增以下权限:`ec2:DescribeRouteTables`、`ec2:DescribeTransitGatewayAttachments`、`ec2:DescribeTransitGatewayRouteTables`、`ec2:SearchTransitGatewayRoutes`。新增权限后,网络综合监测仪可向使用中转网关的客户生成网络运行状况指标数值。 | 2025 年 12 月 12 日 |
| [ CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 更新了策略 | CloudWatch 在 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 托管式策略中,新增 `ec2:DescribeVpcEndpoints` 与 `ec2:DescribeVpcEndpointServiceConfigurations` 权限。新增权限后,网络流量监测仪可生成 VPC 端点及 VPCE 服务配置的拓扑快照。 | 2025 年 12 月 10 日 |
| [ CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新了策略 | CloudWatch 添加了对 **CloudWatchFullAccessV2** 的权限。 添加了可观测性管理操作的权限,以允许对遥测管道及 S3 表集成进行全权限访问。 | 2025 年 12 月 2 日 |
| [ CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新了策略 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 添加了可观测性管理操作的权限,以允许对遥测管道及 S3 表集成进行只读访问。 | 2025 年 12 月 2 日 |
| [CloudWatchFullAccessV2 ](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新了策略 | CloudWatch 更新了 **CloudWatchFullAccessV2** 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及通过启用 Resource Explorer 从 Application Signals 中查询未埋点服务和资源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – 更新了策略 | CloudWatch 更新了 **CloudWatchApplicationSignalsFullAccess** 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及通过启用 Resource Explorer 从 Application Signals 中查询未埋点服务和资源。 | 2025 年 11 月 20 日 |
| [CloudWatchReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新了策略 | CloudWatch 更新了 **CloudWatchReadOnlyAccess** 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及从 Application Signals 中查询未埋点服务和资源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – 更新了策略 | CloudWatch 更新了 **CloudWatchApplicationSignalsReadOnlyAccess** 策略,新增相关权限以支持查看给定实体和时间范围的变更事件,以及从 Application Signals 中查询未埋点服务和资源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新为现有策略 | CloudWatch 更新了名为 **CloudWatchApplicationSignalsServiceRolePolicy** 的策略。 更新了该策略,新增 `resource-explorer-2:Search` 和 `cloudtrail:CreateServiceLinkedChannel` 权限,以启用新的 Application Signals 功能。 | 2025 年 11 月 20 日 |
| [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 更新了策略 | CloudWatch 更新了 **AIOpsConsoleAdminPolicy** 策略,新增 Amazon Q 集成权限,让用户能够通过 Amazon Q 的对话式界面与 CloudWatch 调查功能事件报告进行交互。 | 2025 年 11 月 17 日 |
| [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) – 更新了策略 | CloudWatch 更新了 **AIOpsOperatorAccess** 策略,新增 Amazon Q 集成权限,让用户能够通过 Amazon Q 的对话式界面与 CloudWatch 调查功能事件报告进行交互。 | 2025 年 11 月 7 日 |
| [ CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 更新了策略 | CloudWatch 在 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 托管式策略中,新增 `ec2:DescribeManagedPrefixLists` 与 `ec2:GetManagedPrefixListEntries` 权限。新增权限后,网络流量监测仪可生成托管前缀列表的拓扑快照。 | 2025 年 11 月 6 日 |
| [AIOpsAssistantIncidentReportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html) – 新策略 | CloudWatch 添加了 **AIOpsAssistantIncidentReportPolicy** 策略,使 CloudWatch 调查功能可基于调查数据生成事件报告,包括访问调查、创建报告和管理人工智能分析得出的事实所需的权限。 | 2025 年 10 月 10 日 |
| [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) – 更新了策略 | CloudWatch 更新了 **AIOpsOperatorAccess** 策略,新增事件报告生成权限,让用户能够创建和管理事件报告,并在 CloudWatch 调查中处理人工智能分析得出的事实。 | 2025 年 10 月 10 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新。 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 添加了可观测性管理操作的权限,允许跨 AWS Organizations 对遥测规则、集中配置和资源遥测数据进行只读访问。 | 2025 年 10 月 10 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新现有策略 | CloudWatch 对 **CloudWatchFullAccessV2** 策略进行更新,新增 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。 | 2025 年 10 月 8 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 对 **CloudWatchReadOnlyAccess** 策略进行更新,新增 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。 | 2025 年 10 月 8 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html) – 更新了策略 | CloudWatch 更新了 **CloudWatchApplicationSignalsReadOnlyAccess** 策略,使其支持查看账户内资源与服务的变更情况,以及账户中服务异常的重点观测数据。 | 2025 年 9 月 29 日 |
| [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html) – 更新了策略 | CloudWatch 更新了 **CloudWatchApplicationSignalsFullAccess** 策略,使其支持查看账户内资源与服务的变更情况,以及账户中服务异常的重点观测数据。 | 2025 年 9 月 29 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 更新了策略 | CloudWatch 更新了 **AIOpsAssistantPolicy**,允许 CloudWatch 调查访问更多资源,以帮助进行查询、问题排查和拓扑映射。 此策略授予 CloudWatch 调查功能进行调查所需的权限。 | 2025 年 9 月 24 日 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 更新的策略 | CloudWatch 已更新 **AIOpsConsoleAdminPolicy** 策略,支持跨账户验证调查分析组。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 | 2025 年 6 月 13 日 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – 已更新策略 | CloudWatch 已更新 **AIOpsOperatorAccess** 策略,支持跨账户验证调查分析组。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 | 2025 年 6 月 13 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 对现有策略的更新 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 策略。它添加了相关权限,使 CloudWatch Application Insights 的操作调查能够在调查过程中从您的资源中查找信息。 增加了以下权限:`appsync:GetGraphqlApi`、`appsync:GetDataSource`、`iam:ListAttachedRolePolicies`、`iam:ListRolePolicies` 和 `iam:ListRoles` 此外,该 `elastic-inference:Describe*` 权限已从策略中删除。 | 2025 年 6 月 13 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新后的策略 | CloudWatch 向 **AmazonCloudWatchRUMReadOnlyAccess** 策略添加了权限。 添加了 `synthetics: describeCanaries` 和 `synthetics:describeCanariesLastRun`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 Synthetics Canary。 添加了 `cloudwatch:GetMetricData`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 CloudWatch 指标。 添加了 `cloudwatch:DescribeAlarms`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 CloudWatch 警报。 添加了 `logs:DescribeLogGroups`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 CloudWatch 日志。 添加了 `xray:GetTraceSummaries`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的 X-Ray 跟踪分段。 添加了 `rum:ListTagsForResources`,以便 CloudWatch RUM 可以向 RUM 应用程序监视器显示关联的标签。 | 2025 年 6 月 28 日 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – 已更新策略 | CloudWatch 已更新 **AIOpsReadOnlyAccess** 策略,支持跨账户验证调查分析组。 此策略授予用户对 Amazon AI Operations 和其他相关服务的只读权限。 | 2025 年 6 月 5 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新后的策略 | CloudWatch 为 **AmazonCloudWatchRUMReadOnlyAccess** 策略添加了权限。 添加了 `rum:GetResourcePolicy` 权限,以便 CloudWatch RUM 可以查看附加到 RUM 应用程序监视器的资源策略。 | 2025 年 4 月 28 日 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 新策略 | CloudWatch 创建了一项名为 **AIOpsConsoleAdminPolicy** 的新策略。 该策略授予用户完全管理访问权限来管理 CloudWatch 调查,包括管理可信身份传播以及管理 IAM Identity Center 和组织访问。 | 2024 年 12 月 3 日 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – 新策略 | CloudWatch 创建了一项名为 **AIOpsOperatorAccess** 的新策略。 此策略授予用户访问 CloudWatch 调查操作以及访问调查事件所需的其他 AWS 操作的权限。 | 2024 年 12 月 3 日 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – 新策略 | CloudWatch 创建了一项名为 **AIOpsReadOnlyAccess** 的新策略。 此策略授予用户对 Amazon AI Operations 和其他相关服务的只读权限。 | 2024 年 12 月 3 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 新策略 | CloudWatch 创建了一项名为 **AIOpsAssistantPolicy** 的新策略。 您不会将此策略分配给用户。而是将此策略分配给 Amazon AI 操作助手,以便 Amazon Q 操作调查能够在调查操作事件期间分析 AWS 资源。 | 2024 年 12 月 3 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新现有策略 | CloudWatch 更新了 **CloudWatchFullAccessV2** 和 **CloudWatchFullAccess**。 添加了 Amazon OpenSearch Service 的权限,以便 CloudWatch Logs 与 OpenSearch Service 的某些功能集成。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorServiceRolePolicy](using-service-linked-roles-network-flow-monitor.md) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchNetworkFlowMonitorServiceRolePolicy**。 **CloudWatchNetworkFlowMonitorServiceRolePolicy** 授予网络流量监测仪将指标发布到 CloudWatch 的权限。该策略还允许服务使用 AWS Organizations 获取多账户场景的信息。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**。 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 授予网络流监测仪生成账户中所使用资源的拓扑快照的权限。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchNetworkFlowMonitorAgentPublishPolicy**。 **CloudWatchNetworkFlowMonitorAgentPublishPolicy** 授予 Amazon EC2 和 Amazon EKS instances 等资源向网络流量监测仪端点发送遥测报告(指标)的权限。 | 2024 年 12 月 1 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch 更新了名为 **CloudWatchSyntheticsFullAccess** 的策略。 添加了以下 CloudWatch Logs 操作,允许 CloudWatch Synthetics 获取和使用 Lambda 日志组中的 Canary 日志数据。还添加了 `lambda:GetFunction` 权限,允许 Synthetics 获取有关特定函数的信息。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch.html) 此外,Lambda 层版本操作现在适用于所有 CloudWatch Synthetics 层 ARN。 | 2024 年 11 月 20 日 |
| [CloudWatchInternetMonitorReadOnlyAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorReadOnlyAccess) – 新的 **CloudWatchInternetMonitorReadOnlyAccess**。 此策略将授予对 CloudWatch 网络监测仪控制台中可用资源和操作的只读访问权限。此策略的范围包括 `internetmonitor:`,从而确保用户能够使用只读网络监测仪操作和资源。它包含检索 CloudWatch 指标相关信息的一些 `cloudwatch:` 策略。它包含管理日志查询的一些 `logs:` 策略。 | 2024 年 11 月 14 日 |
| [CloudWatchInternetMonitorFullAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorFullAccess) – 新策略 | CloudWatch 创建了一个名为 **CloudWatchInternetMonitorFullAccess** 的新策略。 此策略将授予对 CloudWatch 网络监测仪控制台中可用资源和操作的完全访问权限。此策略的范围包括 `internetmonitor:`,从而确保用户能够使用网络监测仪操作和资源。它包含检索 CloudWatch 警报和指标相关信息的一些 `cloudwatch:` 策略。它包含管理日志查询的一些 `logs:` 策略。其中包括某些 `ec2:`、`cloudfront:`、`elasticloadbalancing:` 和 `workspaces:` 策略,以便使用您添加到监测仪的资源,从而确保网络监测仪能够创建应用程序的流量概况。它包含管理 IAM 角色的一些 `iam:` 策略。 | 2024 年 10 月 23 日 |
| [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](#managed-policies-CloudWatchLambdaApplicationSignalsExecutionRolePolicy) – 新的 **CloudWatchLambdaApplicationSignalsExecutionRolePolicy**。 为 Lambda 工作负载启用 CloudWatch Application Signals 时将使用此策略。这会允许对 X-Ray 和 CloudWatch Application Signals 使用的日志组进行写入访问。 | 2024 年 10 月 16 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch 更新了名为 **CloudWatchSyntheticsFullAccess** 的策略。 添加了 `lambda:ListTags`、`lambda:TagResource` 和 `lambda:UntagResource` 权限,以便您在金丝雀上应用或更改标签时,可以选择让 Synthetics 也将相同的标签或更改应用于金丝雀使用的 Lambda 函数。 | 2024 年 10 月 11 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – 新策略 | CloudWatch 创建了一项名为 **CloudWatchApplicationSignalsReadOnlyAccess** 的新策略。 此策略授予对 Application Signals 的 CloudWatch 控制台中可用资源和操作的只读访问权限。此策略的范围包括 `application-signals:` 策略,以使用户能够使用 CloudWatch 控制台中 Application Signals 下可用的只读操作和资源。它包含管理 IAM 角色的 `iam:` 策略。它包含管理日志查询和筛选器的一些 `logs:` 策略。它包含检索 CloudWatch 警报和指标相关信息的 `cloudwatch:` 策略。它包含检索 Synthetics Canary 相关信息的一些 `synthetics:` 策略。它包含管理 RUM 客户端和作业的 `rum:` 策略。它包含获取跟踪摘要的 `xray:` 策略。 | 2024 年 6 月 7 日 |
| [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – 新策略 | CloudWatch 创建了一项名为 **CloudWatchApplicationSignalsFullAccess** 的新策略。 此策略授予对 Application Signals 的 CloudWatch 控制台中可用资源和操作的完全访问权限。此策略的范围包括 `application-signals:`,以使用户能够使用 Application Signals 操作和资源。它包含检索 CloudWatch 警报和指标相关信息的一些 `cloudwatch:` 策略。它包含管理日志查询的一些 `logs:` 策略。它包含写入和读取 Synthetics Canary 相关信息的一些 `synthetics:` 策略。它包含管理 RUM 客户端和作业的 `rum:` 策略。它包含获取跟踪摘要的 `xray:` 策略。它包含管理 CloudWatch 警报的一些 `cloudwatch:` 策略。它包含管理 IAM 角色的一些 `iam:` 策略。它包含管理 Amazon Simple Notification Service 通知的一些 `sns:` 策略。 | 2024 年 6 月 7 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2):对现有策略的更新 | CloudWatch 更新了名为 **CloudWatchFullAccessV2** 的策略。 `CloudWatchFullAccessPermissions` 策略的范围已更新为添加 `application-signals:*`,以便用户可以使用 CloudWatch Application Signals 来查看、调查和诊断其服务运行状况的问题。 | 2024 年 5 月 20 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 更新了名为 **CloudWatchReadOnlyAccess** 的策略。 `CloudWatchReadOnlyAccessPermissions` 策略的范围已更新为添加 `application-signals:BatchGet*`、`application-signals:List*` 和 `application-signals:Get*`,以便用户可以使用 CloudWatch Application Signals 来查看、调查和诊断其服务运行状况的问题。`CloudWatchReadOnlyGetRolePermissions` 的范围已更新为添加 `iam:GetRole` 操作,以便用户可以检查是否已设置 CloudWatch Application Signals。 | 2024 年 5 月 20 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新为现有策略 | CloudWatch 更新了名为 **CloudWatchApplicationSignalsServiceRolePolicy** 的策略。 `logs:StartQuery` 和 `logs:GetQueryResults` 权限的范围已更改,添加 `arn:aws:logs:*:*:log-group:/aws/appsignals/*:*` 和 `arn:aws:logs:*:*:log-group:/aws/application-signals/data:*` ARN 以在更多架构上启用 Application Signals。 | 2024 年 4 月 18 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新为现有策略 | CloudWatch 更改了 **CloudWatchApplicationSignalsServiceRolePolicy** 中权限的范围。 `cloudwatch:GetMetricData` 权限的范围已更改为 `*`,以使 Application Signals 可以从关联账户中的源检索指标。 | 2024 年 4 月 8 日 |
| [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy) – 更新到现有策略 | CloudWatch 已将权限添加到 **CloudWatchAgentServerPolicy**。 已添加 `xray:PutTraceSegments`、`xray:PutTelemetryRecords`、`xray:GetSamplingRules`、`xray:GetSamplingTargets`、`xray:GetSamplingStatisticSummaries` 和 `logs:PutRetentionPolicy` 权限,从而使 CloudWatch 代理可以发布 X-Ray 跟踪和修改日志组保留期。 | 2024 年 2 月 12 日 |
| [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy) – 更新到现有策略 | CloudWatch 已将权限添加到 **CloudWatchAgentAdminPolicy**。 已添加 `xray:PutTraceSegments`、`xray:PutTelemetryRecords`、`xray:GetSamplingRules`、`xray:GetSamplingTargets`、`xray:GetSamplingStatisticSummaries` 和 `logs:PutRetentionPolicy` 权限,从而使 CloudWatch 代理可以发布 X-Ray 跟踪和修改日志组保留期。 | 2024 年 2 月 12 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2):对现有策略的更新 | CloudWatch 添加了对 **CloudWatchFullAccessV2** 的权限。 添加了 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 操作的现有权限以及 CloudWatch Application Signals 的新权限,因此拥有此策略的用户可以管理 CloudWatch Application Signals。 添加了创建 CloudWatch Application Signals 服务相关角色的权限,以允许 CloudWatch Application Signals 发现日志、指标、跟踪和标签中的遥测数据。 | 2023 年 12 月 5 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 添加了 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 操作的现有只读权限以及 CloudWatch Application Signals 的新只读权限,因此拥有此策略的用户可以对 CloudWatch Application Signals 报告的服务运行状况问题进行分类和诊断。 添加了 `cloudwatch:GenerateQuery` 权限,以便拥有此策略的用户可以根据自然语言提示来生成 CloudWatch Metrics Insights 查询字符串。 | 2023 年 12 月 5 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新。 | CloudWatch 已向 **CloudWatchReadOnlyAccess** 添加了权限。 添加了 `cloudwatch:GenerateQuery` 权限,以便拥有此策略的用户可以根据自然语言提示来生成 [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) 查询字符串。 | 2023 年 12 月 1 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchApplicationSignalsServiceRolePolicy**。 **CloudWatchApplicationSignalsServiceRolePolicy** 会授予一项即将推出的功能权限,用于收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据和标记数据。 | 2023 年 11 月 9 日 |
| [AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-permissions-dbperfinsights) – 新策略 | CloudWatch 添加了一个新策略 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy**。 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy** 授予 CloudWatch 代表您从数据库获取性能详情指标的权限。 | 2023 年 9 月 20 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 已向 **CloudWatchReadOnlyAccess** 添加了权限。 添加了 `application-autoscaling:DescribeScalingPolicies` 权限,以便拥有此策略的用户可以访问有关 Application Auto Scaling 策略的信息。 | 2023 年 9 月 14 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 新策略 | CloudWatch 添加了一项新策略 **CloudWatchFullAccessV2**。 **CloudWatchFullAccessV2** 授予对 CloudWatch 操作和资源的完全访问权限,同时可以更好地限定授予其他服务(例如 Amazon SNS 和 Amazon EC2 Auto Scaling)的权限。有关更多信息,请参阅 [CloudWatchFullAccessV2](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch-CloudWatchFullAccessV2.html)。 | 2023 年 8 月 1 日 |
| [AWSServiceRoleForInternetMonitor](using-service-linked-roles-CWIM.md#service-linked-role-permissions-CWIM-AWSServiceRoleForInternetMonitor) — 更新到现有政策 | Amazon CloudWatch 网络监测仪添加了监控网络负载均衡器资源的新权限。 需要 `elasticloadbalancing:DescribeLoadBalancers` 和 `ec2:DescribeNetworkInterfaces` 权限,以便网络监测仪可以通过分析 NLB 资源的流日志来监测客户的网络负载均衡器流量。 有关更多信息,请参阅 [使用 Internet Monitor](CloudWatch-InternetMonitor.md)。 | 2023 年 7 月 15 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 增加了 `logs:StartLiveTail` 和 `logs:StopLiveTail` 权限,以便使用此策略的用户可以使用控制台启动和停止 CloudWatch Logs Live Tail 会话。有关更多信息,请参阅 [使用 Live Tail 近乎实时地查看日志](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)。 | 2023 年 6 月 6 日 |
| [CloudWatchCrossAccountSharingConfiguration](#managed-policies-cloudwatch-CloudWatchCrossAccountSharingConfiguration) – 新策略 | CloudWatch 添加了新策略,助力您管理用于分享 CloudWatch 指标的 CloudWatch 跨账户可观测性链接。 有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [OAMFullAccess](#managed-policies-cloudwatch-OAMFullAccess) – 新策略 | CloudWatch 添加了新策略,助力您全面管理 CloudWatch 跨账户可观测性链接和汇点。 有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [OAMReadOnlyAccess](#managed-policies-cloudwatch-OAMReadOnlyAccess) – 新策略 | CloudWatch 添加了新策略,助力您查看关于 CloudWatch 跨账户可观测性链接和汇点的信息。 有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess) – 对现有策略的更新 | CloudWatch 添加了对 **CloudWatchFullAccess** 的权限。 添加了 `oam:ListSinks` 和 `oam:ListAttachedLinks` 权限,以便使用此策略的用户可以借助控制台在 CloudWatch 跨账户可观察性中查看源账户共享的数据。 | 2022 年 11 月 27 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 对现有策略的更新 | CloudWatch 添加了对 **CloudWatchReadOnlyAccess** 的权限。 添加了 `oam:ListSinks` 和 `oam:ListAttachedLinks` 权限,以便使用此策略的用户可以借助控制台在 CloudWatch 跨账户可观察性中查看源账户共享的数据。 | 2022 年 11 月 27 日 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – 对现有策略的更新 | CloudWatch RUM 更新了 **AmazonCloudWatchRUMServiceRolePolicy** 中的一个条件键。 `"Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } }` 条件键已进行如下更改,以便 CloudWatch RUM 可以将自定义指标发送到自定义指标命名空间。 "Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
| 2023 年 2 月 2 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新后的策略 | CloudWatch 向 **AmazonCloudWatchRUMReadOnlyAccess** 策略添加了权限。 添加了 `rum:ListRumMetricsDestinations` 和 `rum:BatchGetRumMetricsDefinitions` 权限,这样 CloudWatch RUM 就可以向 CloudWatch 发送扩展指标。 | 2022 年 10 月 27 日 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – 对现有策略的更新 | CloudWatch RUM 向 **AmazonCloudWatchRUMServiceRolePolicy** 添加了权限。 添加了 `cloudwatch:PutMetricData` 权限,这样 CloudWatch RUM 就可以向 CloudWatch 发送扩展指标。 | 2022 年 10 月 26 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch Synthetics 添加了对 **CloudWatchSyntheticsFullAccess** 的权限。 添加了 `lambda:DeleteFunction` 和 `lambda:DeleteLayerVersion` 权限,以便 CloudWatch Synthetics 可在 Canary 时删除相关资源。添加了 `iam:ListAttachedRolePolicies`,以便客户可以查看附加到 Canary IAM 角色的策略。 | 2022 年 5 月 6 日 |
| [AmazonCloudWatchRUMFullAccess](#managed-policies-CloudWatchRUMFullAccess) – 新策略 | CloudWatch 添加了一项启用对 CloudWatch RUM 的全面管理的新策略。 CloudWatch RUM 允许您对 Web 应用程序执行真实的用户监控。有关更多信息,请参阅 [CloudWatch RUM](CloudWatch-RUM.md)。 | 2021 年 11 月 29 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 新策略 | CloudWatch 添加了一项启用对 CloudWatch RUM 的只读访问的新策略。 CloudWatch RUM 允许您对 Web 应用程序执行真实的用户监控。有关更多信息,请参阅 [CloudWatch RUM](CloudWatch-RUM.md)。 | 2021 年 11 月 29 日 |
| [**AWSServiceRoleForCloudWatchRUM**](using-service-linked-roles-RUM.md) – 新的托管式策略 | CloudWatch 添加了一项新的服务相关角色的策略,以允许 CloudWatch RUM 将监控数据发布给其他相关 AWS 服务。 | 2021 年 11 月 29 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch Synthetics 向 **CloudWatchSyntheticsFullAccess** 添加了权限,还更改了一个权限的范围。 添加了 `kms:ListAliases` 权限,以便用户可以列出可用于加密 canary 构件的可用 AWS KMS 密钥。添加了 `kms:DescribeKey` 权限,以便用户可以查看将用于加密 canary 构件的密钥的详细信息。此外,还添加了 `kms:Decrypt` 权限,以便用户能够解密 canary 构件。此解密功能仅限用于 Amazon S3 存储桶中的资源。 `s3:GetBucketLocation` 权限的 `Resource` 范围从 `*` 更改为了 `arn:aws:s3:::*`。 | 2021 年 9 月 29 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 对现有策略的更新 | CloudWatch Synthetics 添加了一个对 **CloudWatchSyntheticsFullAccess** 策略的权限。 `lambda:UpdateFunctionCode` 权限,以便使用此策略的用户可以更改 Canary 的运行时版本。 | 2021 年 7 月 20 日 |
| [AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy](#managed-policies-cloudwatch-incident-manager) – 新托管式策略 | CloudWatch 添加了一个新的托管式 IAM 策略,以允许 CloudWatch 在 AWS Systems Manager Incident Manager 中创建事件。 | 2021 年 5 月 10 日 |
| [CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess) – 对现有策略的更新 | CloudWatch 添加了一个对 **CloudWatchAutomaticDashboardsAccess** 托管式策略的权限。`synthetics:DescribeCanariesLastRun` 权限添加到此策略中,以使跨账户控制面板用户能够查看有关 CloudWatch Synthetics canary 运行的详细信息。 | 2021 年 4 月 20 日 |
| CloudWatch 开始跟踪更改 | CloudWatch 开始跟踪其 AWS 托管式策略的更改。 | 2021 年 4 月 14 日 |
## CloudWatchFullAccessV2
AWS 最近添加了 **CloudWatchFullAccessV2** 托管 IAM 策略。此策略授予对 CloudWatch 操作和资源的完全访问权限,并更正确地确定授予其他服务(如 Amazon SNS 和 Amazon EC2 Auto Scaling)的权限范围。我们建议您开始使用此策略,而不是使用 **CloudWatchFullAccess**。AWS 计划在不久的将来弃用 **CloudWatchFullAccess** 。
它包括 `application-signals:` 权限,以便用户可以从 CloudWatch 控制台的 Application Signals 下访问所有功能。它包含一些 `autoscaling:Describe` 权限,以便使用此策略的用户可以查看与 CloudWatch 警报关联的自动扩缩操作。它包含一些 `sns` 权限,以便使用此策略的用户可以检索、创建 Amazon SNS 主题并将其与 CloudWatch 警报关联。它包含 IAM 权限,以便使用此策略的用户可以查看有关与 CloudWatch 关联的服务相关角色的信息。它包含 `oam:ListSinks` 和 `oam:ListAttachedLinks` 权限,以便使用此策略的用户可以借助控制台在 CloudWatch 跨账户可观察性中查看源账户共享的数据。该策略还包括 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。
它包含 Amazon OpenSearch Service 权限,以便支持使用 Amazon OpenSearch Service 分析创建的 CloudWatch Logs 中公开日志控制面板。该策略包括 `resource-explorer-2:` 策略,使用户可以使用控制台查看其账户中的未插桩服务。
其中包括 `rum`、`synthetics` 和 `xray` 权限,因此用户可以完全访问 CloudWatch Synthetics、AWS X-Ray 和 CloudWatch RUM,所有这些都在 CloudWatch 服务范围之内。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchFullAccessV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchFullAccessV2.html)。
## CloudWatchFullAccess
**CloudWatchFullAccess** 策略即将被弃用。我们建议您停止使用它,改用 [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)。
## CloudWatchReadOnlyAccess
**CloudWatchReadOnlyAccess** 策略授予对 CloudWatch 的只读访问权限和相关可观测性功能。
策略包含一些 `logs:` 权限,因此拥有此策略的用户可以使用控制台查看 CloudWatch 日志信息和 CloudWatch Logs Insights 查询。其中包含 `autoscaling:Describe*`,因此拥有此策略的用户可以查看与 CloudWatch 警报关联的 Auto Scaling 操作。它包括 `application-signals:` 权限,以便用户可以使用 Application Signals 来监控其服务的运行状况。其中包含 `application-autoscaling:DescribeScalingPolicies`,因此拥有此策略的用户可以访问有关 Application Auto Scaling 策略的信息。其中包含 `sns:Get*` 和 `sns:List*`,因此拥有此策略的用户可以检索有关接收 CloudWatch 警报通知的 Amazon SNS 主题的信息。其中包含 `oam:ListSinks` 和 `oam:ListAttachedLinks` 权限,因此拥有此策略的用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。它包括 `iam:GetRole` 权限,以便用户可以检查是否已设置 CloudWatch Application Signals。该策略还包括 CloudTrail 和服务配额相关权限,为 Application Signals 功能中的重点观测数据及变更指标能力提供支持。该策略中的可观测性管理权限可用于跨 AWS Organizations 查看遥测规则、集中配置和资源遥测数据。它包含 `cloudwatch:GenerateQuery` 权限,以便具有此策略的用户可以从自然语言提示生成 [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) 查询字符串。该策略包括 `resource-explorer-2:` 策略,使用户可以使用控制台查看其账户中的未插桩服务。
其中包含 `rum`、`synthetics` 和 `xray` 权限,因此用户可以只读访问 CloudWatch Synthetics、AWS X-Ray 和 CloudWatch RUM,所有这些都在 CloudWatch 服务范围之内。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchReadOnlyAccess.html)。
## CloudWatchActionsEC2Access
**CloudWatchActionsEC2Access** 策略授予对 CloudWatch 告警和指标,以及 Amazon EC2 元数据的只读访问权限。其还授予对 EC2 实例的停止、终止和重启 API 操作的访问权限。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchActionsEC2Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchActionsEC2Access.html)。
## CloudWatch-CrossAccountAccess
**CloudWatch-CrossAccountAccess** 托管式策略由**CloudWatch-CrossAccountSharingRole** IAM 角色使用。此角色和策略使跨账户控制面板的用户能够查看共享仪表板的各个账户中的自动控制面板。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatch-CrossAccountAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatch-CrossAccountAccess.html)。
## CloudWatchAutomaticDashboardsAccess
**CloudWatchAutomaticDashboardsAccess** 托管策略授予非 CloudWatch API 访问 CloudWatch 的权限,因此 Lambda 函数等资源可以在 CloudWatch 自动控制面板上显示。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchAutomaticDashboardsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAutomaticDashboardsAccess.html)。
## CloudWatchAgentServerPolicy
**CloudWatchAgentServerPolicy** 策略可用于附加到 Amazon EC2 实例的 IAM 角色中,以允许 CloudWatch 代理从实例读取信息并将其写入 CloudWatch。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html)。
## CloudWatchAgentAdminPolicy
**CloudWatchAgentAdminPolicy** 策略可用于附加到 Amazon EC2 实例的 IAM 角色。此策略允许 CloudWatch 代理从实例读取信息并将其写入 CloudWatch,还可以将信息写入 Parameter Store。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchAgentAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentAdminPolicy.html)。
## CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
您不能将 ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到名为 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服务相关角色。该服务相关角色使用这些权限以及内部元数据信息收集(旨在提高性能效率),为该服务监控网络流量的资源收集有关资源网络配置的元数据,例如描述路由表和网关。借助这些元数据,Network Flow Monitor 能够生成资源的拓扑快照。当出现网络性能下降时,Network Flow Monitor 会使用拓扑来提供有关网络中问题位置的见解,并帮助确定问题的归因。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
有关更多信息,请参阅 [适用于 Network Flow Monitor 的服务相关角色](using-service-linked-roles-network-flow-monitor.md)。
**注意**
您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看这些权限策略。
此外,您还可以创建您自己的自定义 IAM 策略,以授予对 CloudWatch 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。
## 用于 CloudWatch 跨账户可观测性的 AWS 托管(预定义)策略
本节中的策略授予与 CloudWatch 跨账户可观测性相关的权限。有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。
### CloudWatchCrossAccountSharingConfiguration
**CloudWatchCrossAccountSharingConfiguration** 策略授予可创建、管理和查看可观测性访问管理器链接的权限,用于在账户之间共享 CloudWatch 资源。有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchCrossAccountSharingConfiguration.html)。
### OAMFullAccess
**OAMFullAccess** 策略授予可创建、管理和查看可观测性访问管理器汇点和链接的权限,这些汇点和链接用于 CloudWatch 跨账户可观测性。
**OAMFullAccess** 策略本身不允许您跨链接共享可观测性数据。要创建可共享 CloudWatch 指标的链接,您还需要 **CloudWatchFullAccess** 或 **CloudWatchCrossAccountSharingConfiguration**。要创建可共享 CloudWatch Logs 日志组的链接,您还需要 **CloudWatchLogsFullAccess** 或 **CloudWatchLogsCrossAccountSharingConfiguration**。要创建可共享 X-Ray 追踪信息的链接,您还需要 **AWSXRayFullAccess** 或 **AWSXRayCrossAccountSharingConfiguration**。
有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [OAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMFullAccess.html)。
### OAMReadOnlyAccess
**OAMReadOnlyAccess** 策略授予 Observability Access Manager 资源的只读访问权限,用于 CloudWatch 跨账户可观测性。有关更多信息,请参阅 [CloudWatch 跨账户可观测性](CloudWatch-Unified-Cross-Account.md)。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [OAMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMReadOnlyAccess.html)。
## 用于 CloudWatch 调查的 AWS 托管式(预定义)策略
本节中的策略授予与 CloudWatch 调查相关的权限。有关更多信息,请参阅 [CloudWatch 调查](Investigations.md)。
### AIOpsConsoleAdminPolicy
**AIOpsConsoleAdminPolicy** 策略通过 AWS 控制台授予对所有 CloudWatch 调查操作及其所需权限的完全访问权限。此策略还授予对 CloudWatch 调查功能所需的其他服务 API 的有限访问权限。
+ 该 `aiops` 权限可授予对全部 CloudWatch 调查操作的访问权限。
+ `organizations`、`sso`、`identitystore` 和 `sts` 权限允许 IAM Identity Center 管理执行所需的操作,这有助于生成身份感知会话。
+ SSM Ops Item 与第三方问题管理集成需要 `ssm` 权限。
+ 管理员需要 `iam` 权限才能将 IAM 角色传递给 `aiops` 和 `ssm.integrations` 服务,助手随后会使用该角色来分析 AWS 资源
**重要**
这些权限允许拥有此策略的用户将任何 IAM 角色传递给 `aiops` 和 `ssm.integrations` 服务。
+ 该权限允许来自 CloudWatch 调查以外的服务的 API,这是调查功能所必需的。这些 API 包括配置 聊天应用程序中的 Amazon Q 开发者版、AWS KMS、CloudTrail 跟踪和 SSM 第三方问题管理的操作。
+ 利用 `q` 权限,用户可与 Amazon Q 集成,从而通过 Amazon Q 的对话式界面,与 CloudWatch 调查功能报告进行交互并更新报告。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsConsoleAdminPolicy.html)。
### AIOpsOperatorAccess
**AIOpsOperatorAccess** 策略授予对一组有限的 CloudWatch 调查 API 的访问权限,其中包括创建、更新和删除调查、调查事件和调查资源。
此策略仅为调查提供权限。您应确保具有此策略的 IAM 主体也有权读取指标、SLO 和 CloudWatch Logs 查询结果等 CloudWatch 可观测性数据。
+ `aiops` 权限允许访问 CloudWatch 调查 API 来创建、更新和删除调查。
+ `sso-directory`、`sso`、`identitystore` 和 `sts` 权限允许 IAM Identity Center 管理执行所需的操作,这有助于生成身份感知会话。
+ SSM Ops Item 与第三方问题管理集成需要 `ssm` 权限。
+ 利用 `q` 权限,用户可与 Amazon Q 集成,从而通过 Amazon Q 的对话式界面,与 CloudWatch 调查功能报告进行交互并更新报告。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)。
### AIOpsReadOnlyAccess
**AIOpsReadOnlyAccess** 策略授予 CloudWatch 调查和其他相关服务的只读权限。
+ `aiops` 权限允许访问 CloudWatch 调查 API 来获取、列出和验证调查租。
+ `sso` 权限允许 IAM Identity Center 管理执行所需的操作,这些操作可助力实现具备身份感知能力的会话。
+ SSM Ops Item 与第三方问题管理集成需要 `ssm` 权限。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AIOpsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsReadOnlyAccess.html)。
### AIOpsAssistantPolicy
**AIOpsAssistantPolicy** 策略是 AWS 推荐的默认策略,用于分配给您的调查组使用的 Amazon AI 操作(AIOps)角色,使其能够在调查运营事件期间分析您的 AWS 资源。此策略不供人类用户使用。
您可以选择在创建调查时自动分配策略,也可以手动将策略分配给调查所使用的角色。此策略的权限范围基于 CloudWatch 调查功能在执行调查时分析的资源来界定;随着后续支持的资源种类增多,此策略也将随之更新。有关使用 CloudWatch 调查功能的服务的完整列表,请参阅 [支持调查的 AWS 服务](Investigations-Services.md)。
除了为助手分配 **AIOpsAssistantPolicy** 策略之外,还可以选择为助手分配常规的 AWS [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html) 策略。这样做的原因是 AWS 将更频繁地更新 **ReadOnlyAccess**,以便提供发布的新 AWS 服务和操作的权限。**AIOpsAssistantPolicy** 也将针对新操作进行更新,但更新频率不会那么高。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AIOpsAssistantPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)。
### AIOpsAssistantIncidentReportPolicy
**AIOpsAssistantIncidentReportPolicy** 策略使 CloudWatch 调查功能可基于调查数据生成事件报告。
此策略旨在供 CloudWatch 调查功能使用,以便基于调查发现自动生成事件报告。
+ `aiops` 权限允许访问 CloudWatch 调查 API 以读取调查数据和事件、创建和更新事件报告,以及管理构成报告生成基础的人工智能分析得出的事实。
要查看该政策的全部内容,请参阅**《AWS 托管式策略参考指南》中的 [AIOpsAssistantIncidentReportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html)。
## 用于 CloudWatch Application Signals 的 AWS 托管(预定义)策略
本节中的策略授予与 CloudWatch Application Signals 相关的权限。有关更多信息,请参阅 [Application Signals](CloudWatch-Application-Monitoring-Sections.md)。
### CloudWatchApplicationSignalsReadOnlyAccess
AWS 添加了 **CloudWatchApplicationSignalsReadOnlyAccess** 托管 IAM 策略。此策略授予用户对 CloudWatch 控制台中 Application Signals 下可用操作和资源的只读访问权限。它包括 `application-signals:` 策略,以使用户可以使用 CloudWatch Application Signals 来查看、调查和监控其服务的运行状况。它包括一项允许用户检索 IAM 角色相关信息的 `iam:GetRole` 策略。它包括启动和停止查询、检索指标筛选器的配置以及获取查询结果的 `logs:` 策略。它包括 `cloudwatch:` 策略,以使用户能够获取有关 CloudWatch 警报或指标的信息。它包括 `synthetics:` 策略,以使用户能够检索有关 Synthetics canary 运行的信息。它包括运行批量操作、检索数据和更新 RUM 客户端指标定义的 `rum:` 策略。它包括一项检索跟踪摘要的 `xray:` 策略。其中包含 `oam:` 策略,以便用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。该策略包括 `resource-explorer-2:` 策略,使用户可以使用控制台查看其账户中的未插桩服务。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html)。
### CloudWatchApplicationSignalsFullAccess
AWS 添加了 **CloudWatchApplicationSignalsFullAccess** 托管 IAM 策略。此策略授予用户对 CloudWatch 控制台中所有可用操作和资源的访问权限。它包括 `application-signals:` 策略,以使用户可以使用 CloudWatch Application Signals 来查看、调查和监控其服务的运行状况。它使用 `cloudwatch:` 策略从指标和警报中检索数据。它使用 `logs:` 策略来管理查询和筛选器。它使用 `synthetics:` 策略,以使用户能够检索有关 Synthetics canary 运行的信息。它包括运行批量操作、检索数据和更新 RUM 客户端指标定义的 `rum:` 策略。它包括一项检索跟踪摘要的 `xray:` 策略。它包括 `arn:aws:cloudwatch:*:*:alarm:` 策略,以使用户能够检索有关服务级别目标(SLO)警报的信息。它包括管理 IAM 角色的 `iam:` 策略。它使用 `sns:` 策略创建、列出和订阅 Amazon SNS 主题。其中包含 `oam:` 策略,以便用户可以使用控制台在 CloudWatch 跨账户可观测性中查看源账户共享的数据。其中包含 `resource-explorer-2:` 策略,以便用户可以使用控制台查看其账户中的未插桩服务
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html)。
### CloudWatchLambdaApplicationSignalsExecutionRolePolicy
为 Lambda 工作负载启用 CloudWatch Application Signals 时将使用此策略。这会允许对 X-Ray 和 CloudWatch Application Signals 使用的日志组进行写入访问。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLambdaApplicationSignalsExecutionRolePolicy.html)。
## 用于 CloudWatch Synthetics 的 AWS 托管式(预定义)策略
**CloudWatchSyntheticsFullAccess** 和 **CloudWatchSyntheticsReadOnlyAccess** AWS 托管式策略可供您分配给将要管理或使用 CloudWatch Synthetics 的用户。以下其他策略也是相关的:
+ **AmazonS3ReadOnlyAccess** 和 **CloudWatchReadOnlyAccess** – 在 CloudWatch 控制台中读取所有 Synthetics 数据所必需的策略。
+ **AWSLambdaReadOnlyAccess** – 查看 Canary 所用源代码的所需策略。
+ **CloudWatchSyntheticsFullAccess** – 允许创建 Canary。此外,要创建和删除为其创建了新 IAM 角色的金丝雀,还需要特定内联策略权限。
**重要**
授予用户 `iam:CreateRole`、`iam:DeleteRole`、`iam:CreatePolicy`、`iam:DeletePolicy`、`iam:AttachRolePolicy` 和 `iam:DetachRolePolicy` 权限,将授予用户完全管理访问权限,用户可以创建、附加和删除具有匹配 `arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*` 和 `arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*` 的 ARN 的角色和策略。例如,拥有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到匹配该 ARN 模式的任何角色。请谨慎地为相关人员授予这些权限。
有关附加策略和向用户授予权限的信息,请参阅[更改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)和[为用户或角色嵌入内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console)。
### CloudWatchSyntheticsFullAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchSyntheticsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsFullAccess.html)。
### CloudWatchSyntheticsReadOnlyAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [CloudWatchSyntheticsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsReadOnlyAccess.html)。
## 适用于 Amazon CloudWatch RUM 的 AWS 托管式(预定义)策略
您可以将 AWS 托管式策略 **AmazonCloudWatchRUMFullAccess** 和 **AmazonCloudWatchRUMReadOnlyAccess** 分配给将管理或使用 CloudWatch RUM 的用户。
### AmazonCloudWatchRUMFullAccess
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AmazonCloudWatchRUMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMFullAccess.html)。
### AmazonCloudWatchRUMReadOnlyAccess
**AmazonCloudWatchRUMReadOnlyAccess** 允许对 CloudWatch RUM 进行只读管理访问。
+ 通过该 `synthetics` 权限,可以在 RUM 应用程序监视器中显示关联的 Synthetics Canary
+ 通过该 `cloudwatch` 权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 指标
+ 通过该 `cloudwatch alarms` 权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 警报
+ 通过该 `cloudwatch logs` 权限,可以在 RUM 应用程序监视器中显示关联的 CloudWatch 日志
+ 通过该 `x-ray` 权限,可以在 RUM 应用程序监视器中显示关联的 X-Ray 跟踪分段
+ 通过该 `rum` 权限,可以在 RUM 应用程序监视器中显示关联的标签
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AmazonCloudWatchRUMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMReadOnlyAccess.html)。
### AmazonCloudWatchRUMServiceRolePolicy
您无法将 **AmazonCloudWatchRUMServiceRolePolicy** 附加到 IAM 实体。此策略会附加到允许 CloudWatch RUM 向其他相关 AWS 服务发布监控数据的服务相关角色。有关此服务相关角色的更多信息,请参阅 [对 CloudWatch RUM 使用服务相关角色](using-service-linked-roles-RUM.md)。
要查看该策略的全部内容,请参阅《AWS 托管式策略参考指南》**中的 [AmazonCloudWatchRUMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMServiceRolePolicy.html)。
## 适用于 AWS Systems Manager Incident Manager 的 AWS 托管式策略
**AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy** 策略附加到一个与服务相关的角色,该角色允许 CloudWatch 在 AWS Systems Manager Incident Manager 中代表您启动事件。有关更多信息,请参阅 [CloudWatch 告警 Systems Manager Incident Manager 操作的服务相关角色权限](using-service-linked-roles.md#service-linked-role-permissions-incident-manager)。
该策略具有以下权限:
+ ssm-incidents:StartIncident