本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理 CloudWatch Canary 的使用者的必要角色和許可
<a name="CloudWatch_Synthetics_Canaries_UserPermissions"></a>

若要檢視 Canary 詳細資訊和 Canary 執行的結果，您必須以已連接 `CloudWatchSyntheticsFullAccess` 或 ` CloudWatchSyntheticsReadOnlyAccess` 政策的使用者身分登入。若要讀取主控台中的所有 Synthetics 資料，您還需要 `AmazonS3ReadOnlyAccess` 和 ` CloudWatchReadOnlyAccess` 政策。若要檢視 Canary 使用的原始程式碼，您也需要 `AWSLambda_ReadOnlyAccess` 政策。

若要建立 Canary，您必須以具有 ` CloudWatchSyntheticsFullAccess` 政策或類似許可集合的使用者身分登入。若要為 Canary 建立 IAM 角色，您還需要下列內嵌政策陳述式：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
                "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
            ]
        }
    ]
}
```

------

**重要**  
將 `iam:CreateRole`、`iam:CreatePolicy` 和 ` iam:AttachRolePolicy` 許可授與使用者，可給予該使用者對您 AWS 帳戶的完整管理存取權。例如，擁有這些許可的使用者，可以建立具有所有資源完整許可的政策，並可將該政策連接至任何角色。對於您授與這些許可的對象，請務必謹慎。

如需連接政策和授與許可給使用者的資訊，請參閱[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)和[嵌入使用者或角色的內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console)。