Amazon CloudWatch 可观测性管理服务的操作、资源和条件键

Amazon CloudWatch 可观测性管理服务（服务前缀：observabilityadmin）提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考：

了解如何配置该服务。
查看适用于该服务的 API 操作列表。
了解如何使用 IAM 权限策略保护该服务及其资源。

主题

Amazon CloudWatch 可观测性管理服务定义的操作
Amazon CloudWatch 可观测性管理服务定义的资源类型
Amazon CloudWatch 可观测性管理服务的条件键

Amazon CloudWatch 可观测性管理服务定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时，通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下，单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的访问级别列描述如何对操作进行分类（列出、读取、权限管理或标记）。此分类可以帮助您了解当您在策略中使用操作时，相应操作授予的访问级别。有关访问级别的更多信息，请参阅策略摘要中的访问级别。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值，您必须在策略语句的 Resource 元素中指定策略应用的所有资源（“*”）。通过在 IAM policy 中使用条件来筛选访问权限，以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源，则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限，则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息，请参阅资源类型表的条件键列。

操作表的依赖操作列显示成功调用操作可能需要的其他权限。除了操作本身的权限以外，可能还需要这些权限。若某个操作指定依赖操作，则这些依赖关系可能适用于为该操作定义的其他资源，而不仅仅是表中列出的第一个资源。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型（* 为必需）列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列，这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息，请参阅操作表。

操作	描述	访问级别	资源类型（* 为必需）	条件键
CreateCentralizationRuleForOrganization	授予权限以为组织创建具有指定名称的新的组织集中化规则	写入	organization-centralization-rule*
CreateCentralizationRuleForOrganization	授予权限以为组织创建具有指定名称的新的组织集中化规则	写入		aws:TagKeys aws:RequestTag/${TagKey} observabilityadmin:CentralizationSourceRegions observabilityadmin:CentralizationDestinationRegion observabilityadmin:CentralizationBackupRegion
CreateTelemetryRule	授予权限以为账户创建具有指定名称的新的遥测规则	写入	telemetry-rule*
CreateTelemetryRule	授予权限以为账户创建具有指定名称的新的遥测规则	写入		aws:TagKeys aws:RequestTag/${TagKey}
CreateTelemetryRuleForOrganization	授予权限以为组织创建具有指定名称的新的组织遥测规则	写入	organization-telemetry-rule*
CreateTelemetryRuleForOrganization	授予权限以为组织创建具有指定名称的新的组织遥测规则	写入		aws:TagKeys aws:RequestTag/${TagKey}
DeleteCentralizationRuleForOrganization	授予权限以为组织删除具有指定名称的组织集中化规则	写入	organization-centralization-rule*
DeleteTelemetryRule	授予权限以为账户删除具有指定名称的遥测规则	写入	telemetry-rule*
DeleteTelemetryRuleForOrganization	授予权限以为组织删除具有指定名称的组织遥测规则	写入	organization-telemetry-rule*
GetCentralizationRuleForOrganization	授予权限以检索组织的指定组织集中化规则	读取	organization-centralization-rule*
GetTelemetryEnrichmentStatus	授予权限以检索账户的遥测功能的资源标签的状态	读取
GetTelemetryEvaluationStatus	授予权限以检索账户的遥测配置功能状态	读取
GetTelemetryEvaluationStatusForOrganization	授予权限以检索组织的遥测配置功能状态	读取
GetTelemetryRule	授予权限以检索账户的指定遥测规则	读取	telemetry-rule*
GetTelemetryRuleForOrganization	授予权限以检索组织的指定组织遥测规则	读取	organization-telemetry-rule*
ListCentralizationRulesForOrganization	授予权限以列出组织的集中化规则	列表
ListResourceTelemetry	授予权限以检索与账户关联的资源的遥测配置	读取
ListResourceTelemetryForOrganization	授予权限以检索与组织中的账户关联的资源的遥测配置	读取
ListTagsForResource	授予权限以列出指定资源的标签	列表	organization-centralization-rule
			organization-telemetry-rule
			telemetry-rule
ListTelemetryRules	授予权限以列出账户的遥测规则	列表
ListTelemetryRulesForOrganization	授予权限以列出组织的遥测规则	列表
StartTelemetryEnrichment	授予权限以启用账户的遥测功能的资源标签	写入
StartTelemetryEvaluation	授予权限以启动账户的遥测配置功能	写入
StartTelemetryEvaluationForOrganization	授予权限以启动组织的遥测配置功能	写入
StopTelemetryEnrichment	授予权限以禁用账户的遥测功能的资源标签	写入
StopTelemetryEvaluation	授予权限以停止账户的遥测配置功能	写入
StopTelemetryEvaluationForOrganization	授予权限以停止组织的遥测配置功能	写入
TagResource	授予权限以将指定标签添加到指定资源或进行更新	标记	organization-centralization-rule
			organization-telemetry-rule
			telemetry-rule
				aws:TagKeys aws:RequestTag/${TagKey}
UntagResource	授予权限以从指定资源中删除指定标签	标记	organization-centralization-rule
			organization-telemetry-rule
			telemetry-rule
				aws:TagKeys
UpdateCentralizationRuleForOrganization	授予权限以检索组织的指定集中化规则	写入	organization-centralization-rule*
UpdateCentralizationRuleForOrganization	授予权限以检索组织的指定集中化规则	写入		observabilityadmin:CentralizationSourceRegions observabilityadmin:CentralizationDestinationRegion observabilityadmin:CentralizationBackupRegion
UpdateTelemetryRule	授予权限以更新账户的指定遥测规则	写入	telemetry-rule*
UpdateTelemetryRuleForOrganization	授予权限以更新组织的指定遥测规则	写入	organization-telemetry-rule*

Amazon CloudWatch 可观测性管理服务定义的资源类型

以下资源类型是由该服务定义的，可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键，从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息，请参阅资源类型表。

资源类型	ARN	条件键
telemetry-rule	`arn:${Partition}:observabilityadmin:${Region}:${Account}:telemetry-rule/${TelemetryRuleName}`	aws:ResourceTag/${TagKey}
organization-telemetry-rule	`arn:${Partition}:observabilityadmin:${Region}:${Account}:organization-telemetry-rule/${TelemetryRuleName}`	aws:ResourceTag/${TagKey}
organization-centralization-rule	`arn:${Partition}:observabilityadmin:${Region}:${Account}:organization-centralization-rule/${CentralizationRuleName}`	aws:ResourceTag/${TagKey}

Amazon CloudWatch 可观测性管理服务的条件键

Amazon CloudWatch 可观测性管理服务定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息，请参阅条件键表。

要查看适用于所有服务的全局条件键，请参阅 AWS 全局条件上下文键。

条件键	描述	类型
aws:RequestTag/${TagKey}	按请求中传递的标签筛选访问权限	字符串
aws:ResourceTag/${TagKey}	按与资源关联的标签筛选访问权限	字符串
aws:TagKeys	按请求中传递的标签键筛选访问权限	字符串数组
observabilityadmin:CentralizationBackupRegion	按请求中传递的备份区域筛选访问权限	字符串
observabilityadmin:CentralizationDestinationRegion	按请求中传递的目标区域筛选访问权限	字符串
observabilityadmin:CentralizationSourceRegions	按请求中传递的源区域筛选访问权限	字符串数组

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon CloudWatch Observability Access Manager

AWS CloudWatch RUM