View a markdown version of this page

管理 CloudWatch Canary 的使用者的必要角色和許可 - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 CloudWatch Canary 的使用者的必要角色和許可

若要檢視 Canary 詳細資訊和 Canary 執行的結果,您必須以已連接 CloudWatchSyntheticsFullAccess CloudWatchSyntheticsReadOnlyAccess 政策的使用者身分登入。若要讀取主控台中的所有 Synthetics 資料,您還需要 AmazonS3ReadOnlyAccess CloudWatchReadOnlyAccess 政策。若要檢視 Canary 使用的原始程式碼,您也需要 AWSLambda_ReadOnlyAccess 政策。

若要建立 Canary,您必須以具有 CloudWatchSyntheticsFullAccess 政策或類似許可集合的使用者身分登入。若要為 Canary 建立 IAM 角色,您還需要下列內嵌政策陳述式:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
                "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
            ]
        }
    ]
}
重要

iam:CreateRoleiam:CreatePolicy iam:AttachRolePolicy 許可授與使用者,可給予該使用者對您 AWS 帳戶的完整管理存取權。例如,擁有這些許可的使用者,可以建立具有所有資源完整許可的政策,並可將該政策連接至任何角色。對於您授與這些許可的對象,請務必謹慎。

如需連接政策和授與許可給使用者的資訊,請參閱變更 IAM 使用者的許可嵌入使用者或角色的內嵌政策