本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon DevOps Guru 权限参考 DevOpsGuru 权限参考 您可以在 DevOps Guru 策略中使用 AWS宽条件键来表达条件。有关列表,请参阅 *IAM 用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。 请在策略的 `Action` 字段中指定这些操作。要指定操作,请在 API 操作名称之前使用 `devops-guru:` 前缀(例如,`devops-guru:SearchInsights` 和 `devops-guru:ListAnomalies`)。要在单个语句中指定多项操作,请使用逗号将它们隔开(例如,`"Action": [ "devops-guru:SearchInsights", "devops-guru:ListAnomalies" ]`)。 **使用通配符** 您可以在策略的 `Resource` 字段中指定带或不带通配符 (\$1) 的 Amazon 资源名称(ARN)作为资源值。您可以使用通配符指定多个操作或资源。例如,`devops-guru:*`指定所有 DevOps Guru 操作并`devops-guru:List*`指定所有以单词开头的 DevOps Guru 动作。`List`以下示例涉及以特定 `12345` 开始的具有通用唯一标识符(UUID)的所有见解。 ``` arn:aws:devops-guru:us-east-2:123456789012:insight:12345* ``` 在设置 [使用身份进行身份验证](security-iam.md#security_iam_authentication) 和编写您可挂载到 IAM 身份的权限策略(基于身份的策略)时,可以使用下表作为参考。 **DevOpsGuru API 操作和操作所需的权限** | DevOpsGuru API 操作 | 所需权限(API 操作) | 资源 | | --- | --- | --- | | AddNotificationChannel | `devops-guru:AddNotificationChannel` 需要添加来自 DevOps Guru 的通知渠道。当 DevOps Guru 生成包含有关如何改进运营的信息的见解时,通知渠道用于通知您。 | `*` | | RemoveNotificationChannel | `devops-guru:RemoveNotificationChannel` 需要从 DevOps Guru 中移除通知频道。当 DevOps Guru 生成包含有关如何改进运营的信息的见解时,通知渠道用于通知您。 | `*` | | ListNotificationChannels | `devops-guru:ListNotificationChannels` 返回为 DevOps Guru 配置的通知渠道列表所必需的。当 DevOps Guru 生成包含如何改进运营信息的见解时,每个通知渠道都用于通知您。支持的一种通知类型是 Amazon Simple Notification Service。 | `*` | | UpdateResourceCollectionFilter | `devops-guru:UpdateResourceCollectionFilter` 需要更新堆栈列表,这些 CloudFormation 堆栈用于指定 DevOps Guru 分析您账户中的哪些 AWS 资源。该分析会生成包括建议、操作指标和操作事件在内的见解,您可以使用这些见解来提高操作性能。此方法还会创建您使用所需的 IAM 角色 CodeGuru OpsAdvisor。 | `*` | | GetResourceCollectionFilter | `devops-guru:GetResourceCollectionFilter` 需要返回堆栈列表,这些 AWS CloudFormation 堆栈用于指定 DevOps Guru 分析您账户中的哪些 AWS 资源。该分析会生成包括建议、操作指标和操作事件在内的见解,您可以使用这些见解来提高操作性能。 | `*` | | ListInsights | `devops-guru:ListInsights` 需要在您的 AWS 账户中返回见解列表。您可以按照开始时间、状态(`ongoing` 或 `any`)和类型(`reactive` 或 `predictive`)指定返回哪些见解。 | `*` | | DescribeInsight | `devops-guru:DescribeInsight` 必须返回有关您使用 ID 指定的见解的详细信息。 | `*` | | SearchInsights | `devops-guru:SearchInsights` 需要在您的 AWS 账户中返回见解列表。您可以按照开始时间、筛选条件和类型(`reactive` 或 `predictive`)指定返回哪些见解。 | `*` | | ListAnomalies | `devops-guru:ListAnomalies` 必须返回属于您使用 ID 指定的见解的异常列表。 | `*` | | DescribeAnomaly | `devops-guru:DescribeAnomaly` 必须返回有关您使用 ID 指定的异常的详细信息。 | `*` | | ListEvents | `devops-guru:ListEvents` 需要返回由 DevOps Guru 评估的资源发出的事件列表。您可以使用筛选条件来指定返回哪些事件。 | `*` | | `ListAnomalousLogs` | devops-guru:`ListAnomalousLogs` 返回包含日志异常的 Amazon CloudWatch 日志组列表所必需的。这些用于在 DevOps Guru 中生成见解。管理员应确保只有有权查看 CloudWatch 日志的用户才有权查看异常 CloudWatch 日志。我们建议您使用 IAM Policy 允许或拒绝对 `ListAnomalousLogs` 操作的访问。 | \$1 | | ListRecommendations | `devops-guru:ListRecommendations` 必须返回指定见解的推荐列表。每项建议都包括指标列表和与建议相关的事件列表。 | `*` | | DescribeAccountHealth | `devops-guru:DescribeAccountHealth` 需要返回您的 AWS 账户中已打开的被动见解的数量、开放的主动见解数量以及分析的指标数量。使用这些数字来衡量您 AWS 账户中的运营状况。 | `*` | | DescribeAccountOverview | `devops-guru:DescribeAccountOverview` 必须返回在某个时间范围内发生的以下内容:创建的开放式被动见解的数量、创建的开放式预测性见解的数量,以及所有已关闭的被动见解的平均恢复时间 (MTTR)。 | `*` | | DescribeResourceCollectionHealthOverview | `devops-guru:DescribeResourceCollectionHealthOverview` 需要返回 Guru 中指定的每个 CloudFormation 堆栈的所有洞察的开放预测性见解、开放的被动见解的数量和平均恢复时间 (MTTR)。 DevOps | `*` | | DescribeIntegratedService | `devops-guru:DescribeIntegratedService` 需要返回可与 DevOps Guru 集成的服务的集成状态。可以与 DevOps Guru集成的一项服务是 AWS Systems Manager,它可用于 OpsItem 为每个生成的见解创建一个。 | `*` | | UpdateIntegratedServiceConfig | `devops-guru:UpdateIntegratedServiceConfig` 需要启用或禁用与可与 DevOps Guru 集成的服务的集成。可以与 DevOps Guru 集成的一项服务是 Systems Manager,它可用于 OpsItem 为每个生成的见解创建一个。 | `*` |