Amazon CloudWatch 可观测性管理服务的操作、资源和条件密钥

Amazon CloudWatch Observability 管理服务（服务前缀:observabilityadmin）提供以下特定于服务的资源、操作和条件上下文密钥，用于 IAM 权限策略。

参考：

了解如何配置该服务。
查看适用于该服务的 API 操作列表。
了解如何使用 IAM 权限策略保护该服务及其资源。

主题

由 Amazon CloudWatch 可观测性管理服务定义的操作
由 Amazon CloudWatch 可观测性管理服务定义的资源类型
Amazon CloudWatch 可观测性管理服务的条件密钥

由 Amazon CloudWatch 可观测性管理服务定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时，通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下，单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的访问级别列描述如何对操作进行分类（列出、读取、权限管理或标记）。此分类可以帮助您了解当您在策略中使用操作时，相应操作授予的访问级别。有关访问级别的更多信息，请参阅策略摘要中的访问级别。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值，您必须在策略语句的 Resource 元素中指定策略应用的所有资源（“*”）。通过在 IAM policy 中使用条件来筛选访问权限，以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源，则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限，则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息，请参阅资源类型表的条件键列。

操作表的依赖操作列显示成功调用操作可能需要的其他权限。除了操作本身的权限以外，可能还需要这些权限。若某个操作指定依赖操作，则这些依赖关系可能适用于为该操作定义的其他资源，而不仅仅是表中列出的第一个资源。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型（* 为必需）列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列，这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息，请参阅操作表。

操作	描述	访问级别	资源类型（* 为必需）	条件键
CreateCentralizationRuleForOrganization	授予权限以为组织创建具有指定名称的新的组织集中化规则	写入	organization-centralization-rule*
CreateCentralizationRuleForOrganization	授予权限以为组织创建具有指定名称的新的组织集中化规则	写入		aws:TagKeys aws:RequestTag/${TagKey} observabilityadmin:CentralizationSourceRegions observabilityadmin:CentralizationDestinationRegion observabilityadmin:CentralizationBackupRegion
CreateS3TableIntegration	授予使用指定配置创建新 s3 表集成的权限	写入	s3tableintegration*
CreateS3TableIntegration	授予使用指定配置创建新 s3 表集成的权限	写入		aws:TagKeys aws:RequestTag/${TagKey}
CreateTelemetryPipeline	授予使用指定名称和配置创建新的遥测管道的权限	写入	telemetry-pipeline*
CreateTelemetryPipeline	授予使用指定名称和配置创建新的遥测管道的权限	写入		aws:TagKeys aws:RequestTag/${TagKey} observabilityadmin:SourceType
CreateTelemetryRule	授予权限以为账户创建具有指定名称的新的遥测规则	写入	telemetry-rule*
CreateTelemetryRule	授予权限以为账户创建具有指定名称的新的遥测规则	写入		aws:TagKeys aws:RequestTag/${TagKey}
CreateTelemetryRuleForOrganization	授予权限以为组织创建具有指定名称的新的组织遥测规则	写入	organization-telemetry-rule*
CreateTelemetryRuleForOrganization	授予权限以为组织创建具有指定名称的新的组织遥测规则	写入		aws:TagKeys aws:RequestTag/${TagKey}
DeleteCentralizationRuleForOrganization	授予权限以为组织删除具有指定名称的组织集中化规则	写入	organization-centralization-rule*
DeleteS3TableIntegration	授予删除与指定 arn 的 s3 表集成的权限	写入	s3tableintegration*
DeleteTelemetryPipeline	授予使用指定 arn 删除遥测管道的权限	写入	telemetry-pipeline*
DeleteTelemetryRule	授予权限以为账户删除具有指定名称的遥测规则	写入	telemetry-rule*
DeleteTelemetryRuleForOrganization	授予权限以为组织删除具有指定名称的组织遥测规则	写入	organization-telemetry-rule*
GetCentralizationRuleForOrganization	授予权限以检索组织的指定组织集中化规则	读取	organization-centralization-rule*
GetS3TableIntegration	授予权限以检索账户的指定 s3 表集成	读取	s3tableintegration*
GetTelemetryEnrichmentStatus	授予权限以检索账户的遥测功能的资源标签的状态	读取
GetTelemetryEvaluationStatus	授予权限以检索账户的遥测配置功能状态	读取
GetTelemetryEvaluationStatusForOrganization	授予权限以检索组织的遥测配置功能状态	读取
GetTelemetryPipeline	授予使用指定名称或 arn 获取遥测管道的权限	读取	telemetry-pipeline*
GetTelemetryRule	授予权限以检索账户的指定遥测规则	读取	telemetry-rule*
GetTelemetryRuleForOrganization	授予权限以检索组织的指定组织遥测规则	读取	organization-telemetry-rule*
ListCentralizationRulesForOrganization	授予权限以列出组织的集中化规则	列表
ListResourceTelemetry	授予权限以检索与账户关联的资源的遥测配置	读取
ListResourceTelemetryForOrganization	授予权限以检索与组织中的账户关联的资源的遥测配置	读取
ListS3TableIntegrations	授予列出账户的 s3 表集成的权限	列表
ListTagsForResource	授予权限以列出指定资源的标签	列表	organization-centralization-rule
			organization-telemetry-rule
			s3tableintegration
			telemetry-pipeline
			telemetry-rule
ListTelemetryPipelines	授予列出账户遥测管道的权限	列表
ListTelemetryRules	授予权限以列出账户的遥测规则	列表
ListTelemetryRulesForOrganization	授予权限以列出组织的遥测规则	列表
StartTelemetryEnrichment	授予权限以启用账户的遥测功能的资源标签	写入
StartTelemetryEvaluation	授予权限以启动账户的遥测配置功能	写入
StartTelemetryEvaluationForOrganization	授予权限以启动组织的遥测配置功能	写入
StopTelemetryEnrichment	授予权限以禁用账户的遥测功能的资源标签	写入
StopTelemetryEvaluation	授予权限以停止账户的遥测配置功能	写入
StopTelemetryEvaluationForOrganization	授予权限以停止组织的遥测配置功能	写入
TagResource	授予权限以将指定标签添加到指定资源或进行更新	标签	organization-centralization-rule
			organization-telemetry-rule
			s3tableintegration
			telemetry-pipeline
			telemetry-rule
				aws:TagKeys aws:RequestTag/${TagKey}
TestTelemetryPipeline	授予使用示例数据测试遥测管道配置的权限	读取
UntagResource	授予权限以从指定资源中删除指定标签	标签	organization-centralization-rule
			organization-telemetry-rule
			s3tableintegration
			telemetry-pipeline
			telemetry-rule
				aws:TagKeys
UpdateCentralizationRuleForOrganization	授予权限以检索组织的指定集中化规则	写入	organization-centralization-rule*
UpdateCentralizationRuleForOrganization	授予权限以检索组织的指定集中化规则	写入		observabilityadmin:CentralizationSourceRegions observabilityadmin:CentralizationDestinationRegion observabilityadmin:CentralizationBackupRegion
UpdateTelemetryPipeline	授予使用指定的 arn 更新遥测管道的权限	写入	telemetry-pipeline*
UpdateTelemetryRule	授予权限以更新账户的指定遥测规则	写入	telemetry-rule*
UpdateTelemetryRuleForOrganization	授予权限以更新组织的指定遥测规则	写入	organization-telemetry-rule*
ValidateTelemetryPipelineConfiguration	授予验证遥测管道配置的权限	读取

由 Amazon CloudWatch 可观测性管理服务定义的资源类型

以下资源类型是由该服务定义的，可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键，从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息，请参阅资源类型表。

资源类型	ARN	条件键
telemetry-rule	`arn:${Partition}:observabilityadmin:${Region}:${Account}:telemetry-rule/${TelemetryRuleName}`	aws:ResourceTag/${TagKey}
organization-telemetry-rule	`arn:${Partition}:observabilityadmin:${Region}:${Account}:organization-telemetry-rule/${TelemetryRuleName}`	aws:ResourceTag/${TagKey}
organization-centralization-rule	`arn:${Partition}:observabilityadmin:${Region}:${Account}:organization-centralization-rule/${CentralizationRuleName}`	aws:ResourceTag/${TagKey}
telemetry-pipeline	`arn:${Partition}:observabilityadmin:${Region}:${Account}:telemetry-pipeline/${TelemetryPipelineIdentifier}`	aws:ResourceTag/${TagKey}
s3tableintegration	`arn:${Partition}:observabilityadmin:${Region}:${Account}:s3tableintegration/${S3TableIntegrationIdentifier}`	aws:ResourceTag/${TagKey}

Amazon CloudWatch 可观测性管理服务的条件密钥

Amazon CloudWatch 可观察性管理服务定义了以下条件键，这些条件键可用于 IAM 策略的Condition元素。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息，请参阅条件键表。

要查看适用于所有服务的全局条件键，请参阅 AWS 全局条件上下文键。

条件键	描述	类型
aws:RequestTag/${TagKey}	按请求中传递的标签筛选访问权限	字符串
aws:ResourceTag/${TagKey}	按与资源关联的标签筛选访问权限	字符串
aws:TagKeys	按请求中传递的标签键筛选访问权限	ArrayOfString
observabilityadmin:CentralizationBackupRegion	按请求中传递的备份区域筛选访问权限	字符串
observabilityadmin:CentralizationDestinationRegion	按请求中传递的目标区域筛选访问权限	字符串
observabilityadmin:CentralizationSourceRegions	按请求中传递的源区域筛选访问权限	ArrayOfString
observabilityadmin:SourceType	按请求中传递的源类型筛选访问权限	字符串

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon CloudWatch 可观察性访问管理器

AWS CloudWatch 朗姆酒