本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS CloudWatch 的 受管 (預先定義) 政策
AWS 提供由 建立和管理的獨立 IAM 政策,以解決許多常見的使用案例 AWS。這些 AWS 受管政策會授予常見使用案例的必要許可,讓您不必調查需要哪些許可。如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策。
下列 AWS 受管政策是 CloudWatch 特有的,您可以連接到您帳戶中的使用者。
主題
AWS 受管政策的 CloudWatch 更新
檢視自此服務開始追蹤這些變更以來CloudWatch AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
|---|---|---|
|
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy – 更新的政策 |
CloudWatch 已將 |
2025 年 12 月 10 日 |
|
CloudWatchFullAccessV2 – 更新的政策 |
CloudWatch 已將許可新增至 CloudWatchFullAccessV2。 新增可觀測性管理動作的許可,以允許完整存取遙測管道和 S3 資料表整合。 |
2025 年 12 月 2 日 |
|
CloudWatchReadOnlyAccess – 更新的政策 |
CloudWatch 已將許可新增至 CloudWatchReadOnlyAccess。 新增可觀測性管理動作的許可,以允許唯讀存取遙測管道和 S3 資料表整合。 |
2025 年 12 月 2 日 |
|
CloudWatchFullAccessV2 – 更新的政策 |
CloudWatch 已更新 CloudWatchFullAccessV2 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及啟用資源總管從 Application Signals 查詢未檢測的服務和資源。 |
2025 年 11 月 20 日 |
|
CloudWatch 已更新 CloudWatchApplicationSignalsFullAccess 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及啟用資源總管從 Application Signals 查詢未檢測的服務和資源。 |
2025 年 11 月 20 日 | |
|
CloudWatchReadOnlyAccess – 更新的政策 |
CloudWatch 已更新 CloudWatchReadOnlyAccess 政策,以包含支援檢視指定實體和時間範圍變更事件的許可,以及從 Application Signals 查詢未檢測的服務和資源。 |
2025 年 11 月 20 日 |
|
CloudWatch 已更新 CloudWatchApplicationSignalsReadOnlyAccess 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及從 Application Signals 查詢未檢測的服務和資源。 |
2025 年 11 月 20 日 | |
|
CloudWatch 已更新名為 CloudWatchApplicationSignalsServiceRolePolicy 的政策。 更新政策以包含 |
2025 年 11 月 20 日 | |
|
CloudWatch 已更新 AIOpsConsoleAdminPolicy 政策以包含 Amazon Q 整合許可,讓使用者能夠透過 Amazon Q 的對話界面與 CloudWatch 調查事件報告互動。 |
2025 年 11 月 17 日 | |
|
CloudWatch 已更新 AIOpsOperatorAccess 政策以包含 Amazon Q 整合許可,讓使用者能夠透過 Amazon Q 的對話界面與 CloudWatch 調查事件報告互動。 |
2025 年 11 月 7 日 | |
|
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy – 更新的政策 |
CloudWatch 已將 |
2025 年 11 月 6 日 |
|
CloudWatch 新增了 AIOpsAssistantIncidentReportPolicy 政策,讓 CloudWatch 調查能夠從調查資料產生事件報告,包括存取調查、建立報告和管理 AI 衍生事實的許可。 |
2025 年 10 月 10 日 | |
|
CloudWatch 更新了 AIOpsOperatorAccess 政策,以包含事件報告產生許可,允許使用者建立和管理事件報告,並在 CloudWatch 調查中使用 AI 衍生的事實。 |
2025 年 10 月 10 日 | |
|
CloudWatchReadOnlyAccess – 更新現有政策。 |
CloudWatch 已將許可新增至 CloudWatchReadOnlyAccess。 新增可觀測性管理動作的許可,以允許唯讀存取遙測規則、集中化組態和資源遙測資料 AWS Organizations。 |
2025 年 10 月 10 日 |
|
CloudWatchFullAccessV2 – 現有政策更新 |
CloudWatch 已更新 CloudWatchFullAccessV2,以包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。 |
2025 年 10 月 8 日 |
|
CloudWatchReadOnlyAccess – 現有政策的更新 |
CloudWatch 已更新 CloudWatchReadOnlyAccess,以包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。 |
2025 年 10 月 8 日 |
|
CloudWatch 已更新 CloudWatchApplicationSignalsReadOnlyAccess 政策,可檢視帳戶中資源與服務的變動狀況,並檢視帳戶中服務異常的主要觀測結果。 |
2025 年 9 月 29 日 | |
|
CloudWatch 已更新 CloudWatchApplicationSignalsFullAccess 政策,可檢視帳戶中資源與服務的變動狀況,並檢視帳戶中服務異常的主要觀測結果。 |
2025 年 9 月 29 日 | |
|
AIOpsAssistantPolicy – 已更新政策 |
CloudWatch 已更新 AIOpsAssistantPolicy,允許 CloudWatch 調查功能存取更多資源,以協助執行查詢、疑難排解及拓撲映射作業。 此政策授與 CloudWatch 調查功能進行調查所需的許可。 |
2025 年 9 月 24 日 |
|
AIOpsConsoleAdminPolicy – 已更新政策 |
CloudWatch 已更新 AIOpsConsoleAdminPolicy 政策,允許跨帳戶驗證調查群組。 此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 |
2025 年 6 月 13 日 |
|
AIOpsOperatorAccess – 已更新政策 |
CloudWatch 已更新 AIOpsOperatorAccess 政策,允許跨帳戶驗證調查群組。 此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 |
2025 年 6 月 13 日 |
|
AIOpsAssistantPolicy – 現有政策更新 |
CloudWatch 已更新 AIOpsAssistantPolicy IAM 政策。新增了許可,讓 CloudWatch Application Insights 操作調查功能可在調查期間於資源中尋找相關資訊。 已新增下列許可: 此外,已從政策中移除 |
2025 年 6 月 13 日 |
|
CloudWatch 新增了對 AmazonCloudWatchRUMReadOnlyAccess 政策的許可。 新增了 新增了 新增了 新增了 新增了 新增了 |
2025 年 6 月 28 日 | |
|
AIOpsReadOnlyAccess – 已更新政策 |
CloudWatch 已更新 AIOpsReadOnlyAccess 政策,允許跨帳戶驗證調查群組。 此政策授與使用者 Amazon AI Operations 和其他相關服務的唯讀許可。 |
2025 年 6 月 5 日 |
|
CloudWatch 將許可新增至 AmazonCloudWatchRUMReadOnlyAccess 政策。 已新增 |
2025 年 4 月 28 日 | |
|
AIOpsConsoleAdminPolicy – 新政策 |
CloudWatch 建立名為 AIOpsConsoleAdminPolicy 的新政策。 此政策授與使用者管理 CloudWatch 調查的完整管理存取權,包括受信任身分傳播管理,以及 IAM Identity Center 與組織存取權管理。 |
2024 年 12 月 3 日 |
|
AIOpsOperatorAccess – 新政策 |
CloudWatch 建立名為 AIOpsOperatorAccess 的新政策。 此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 |
2024 年 12 月 3 日 |
|
AIOpsReadOnlyAccess – 新政策 |
CloudWatch 建立名為 AIOpsReadOnlyAccess 的新政策。 此政策授與使用者 Amazon AI Operations 和其他相關服務的唯讀許可。 |
2024 年 12 月 3 日 |
|
AIOpsAssistantPolicy – 新政策 |
CloudWatch 建立名為 AIOpsAssistantPolicy 的新政策。 不能將此政策指派給使用者。您可以將此政策指派給 Amazon AI Operations 助理,讓 CloudWatch 調查能夠在調查操作事件期間分析您的 AWS 資源。 |
2024 年 12 月 3 日 |
|
CloudWatchFullAccessV2 – 現有政策更新 |
CloudWatch 更新 CloudWatchFullAccessV2 和 CloudWatchFullAccess。 Amazon OpenSearch Service 已將 的許可新增至 ,以啟用部分功能的 CloudWatch Logs 與 OpenSearch Service 整合。 |
2024 年 12 月 1 日 |
|
CloudWatch 新增一項新政策 CloudWatchNetworkFlowMonitorServiceRolePolicy。 CloudWatchNetworkFlowMonitorServiceRolePolicy 授與 Network Flow Monitor 將指標發布至 CloudWatch 的許可。它還允許服務使用 AWS Organizations 來取得多帳戶案例的資訊。 |
2024 年 12 月 1 日 | |
|
CloudWatch 新增一項新政策 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy。 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy 授與 Network Flow Monitor 許可,以產生您帳戶中所用資源的拓撲快照。 |
2024 年 12 月 1 日 | |
|
CloudWatch 新增一項新政策 CloudWatchNetworkFlowMonitorAgentPublishPolicy。 CloudWatchNetworkFlowMonitorAgentPublishPolicy 授與 Amazon EC2 和 Amazon EKS 執行個體等資源的許可,以將遙測報告 (指標) 傳送至 Network Flow Monitor 端點。 |
2024 年 12 月 1 日 | |
|
CloudWatchSyntheticsFullAccess – 更新現有政策 |
CloudWatch 已更新名為 CloudWatchSyntheticsFullAccess 的政策。 新增下列 CloudWatch Logs 動作,以允許 CloudWatch Synthetics 在 Lambda 日誌群組中取得和使用 Canary 日誌資料。同時新增
此外,Lambda 層版本動作現在適用於所有 CloudWatch Synthetics 層 ARN。 |
2024 年 11 月 20 日 |
|
CloudWatchInternetMonitorReadOnlyAccess – 新增 CloudWatchInternetMonitorReadOnlyAccess。 此政策授與對 Internet Monitor CloudWatch 主控台中可用之資源和動作的唯讀存取權。此政策的範圍包括 |
2024 年 11 月 14 日 | |
|
CloudWatch 建立名為 CloudWatchInternetMonitorFullAccess 的新政策。 此政策授與對 Internet Monitor CloudWatch 主控台中可用之資源和動作的完整存取權。此政策的範圍包括 |
2024 年 10 月 23 日 | |
|
CloudWatchLambdaApplicationSignalsExecutionRolePolicy – 新增 CloudWatchLambdaApplicationSignalsExecutionRolePolicy。 為 Lambda 工作負載啟用 CloudWatch Application Signals 時,會使用此政策。允許對 X-Ray 以及 CloudWatch Application Signals 所使用之日誌群組進行寫入存取。 |
2024 年 10 月 16 日 | |
|
CloudWatchSyntheticsFullAccess – 更新現有政策 |
CloudWatch 已更新名為 CloudWatchSyntheticsFullAccess 的政策。 新增 |
2024 年 10 月 11 日 |
|
CloudWatch 建立名為 CloudWatchApplicationSignalsReadOnlyAccess 的新政策。 此政策授與對 Application Signals CloudWatch 主控台中可用之資源和動作的唯讀存取權。此政策的範圍包含 |
2024 年 6 月 7 日 | |
|
CloudWatch 建立名為 CloudWatchApplicationSignalsFullAccess 的新政策。 此政策授與對 Application Signals CloudWatch 主控台中可用之資源和動作的完整存取權。此政策的範圍包括 |
2024 年 6 月 7 日 | |
|
CloudWatchFullAccessV2 – 更新為現有政策 |
CloudWatch 已更新名為 CloudWatchFullAccessV2 的政策。
|
2024 年 5 月 20 日 |
|
CloudWatchReadOnlyAccess — 更新現有政策 |
CloudWatch 已更新名為 CloudWatchReadOnlyAccess 的政策。
|
2024 年 5 月 20 日 |
|
CloudWatch 已更新名為 CloudWatchApplicationSignalsServiceRolePolicy 的政策。
|
2024 年 4 月 18 日 | |
|
CloudWatch 變更 CloudWatchApplicationSignalsServiceRolePolicy 中的許可範圍。
|
2024 年 4 月 8 日 | |
|
CloudWatchAgentServerPolicy – 更新現有政策 |
CloudWatch 將許可新增至 CloudWatchAgentServerPolicy。 新增 |
2024 年 2 月 12 日 |
|
CloudWatchAgentAdminPolicy – 更新現有政策 |
CloudWatch 將許可新增至 CloudWatchAgentAdminPolicy。 新增 |
2024 年 2 月 12 日 |
|
CloudWatchFullAccessV2 – 更新為現有政策 |
CloudWatch 已將許可新增至 CloudWatchFullAccessV2。 已新增 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 動作的現有許可以及 CloudWatch Application Signals 的新許可,以便具有此政策的使用者可以管理 CloudWatch Application Signals。 已新增用於建立 CloudWatch Application Signals 服務連結角色的許可,以允許 CloudWatch Application Signals 探索日誌、指標、追蹤和標籤中的遙測資料。 |
2023 年 12 月 5 日 |
|
CloudWatchReadOnlyAccess — 更新現有政策 |
CloudWatch 已將許可新增至 CloudWatchReadOnlyAccess。 已新增 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 動作的現有唯讀許可以及 CloudWatch Application Signals 的新唯讀許可,以便具有此政策的使用者可以分類和診斷 CloudWatch Application Signals 所報告的服務運作狀態問題。 新增 |
2023 年 12 月 5 日 |
|
CloudWatchReadOnlyAccess – 更新現有政策。 |
CloudWatch 已將許可新增至 CloudWatchReadOnlyAccess。 新增 |
2023 年 12 月 1 日 |
|
CloudWatch 新增了一項新政策 CloudWatchApplicationSignalsServiceRolePolicy。 CloudWatchApplicationSignalsServiceRolePolicy 授予即將推出的特徵許可,以收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料,以及標記資料。 |
2023 年 11 月 9 日 | |
|
AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy – 新政策 |
CloudWatch 新增了一項新政策 AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy。 AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy 會授予許可給 CloudWatch 來代表您從資料庫擷取 Performance Insights 指標。 |
2023 年 9 月 20 日 |
|
CloudWatchReadOnlyAccess — 更新現有政策 |
CloudWatch 已將許可新增至 CloudWatchReadOnlyAccess。 新增了 |
2023 年 9 月 14 日 |
|
CloudWatchFullAccessV2 – 新政策 |
CloudWatch 新增了一項新政策 CloudWatchFullAccessV2。 CloudWatchFullAccessv2 授予對 CloudWatch 動作和資源的完整存取權,同時更能限定授予其他服務 (例如 Amazon SNS 和 Amazon EC2 Auto Scaling) 的許可範圍。如需更多資訊,請參閱 CloudWatchFullAccessV2。 |
2023 年 8 月 1 日 |
|
AWSServiceRoleForInternetMonitor — 更新至現有政策 |
Amazon CloudWatch 網路監視器新增了監控 Network Load Balancer 資源的許可。 需有 如需詳細資訊,請參閱使用網路監視器。 |
2023 年 7 月 15 日 |
|
CloudWatchReadOnlyAccess — 更新現有政策 |
CloudWatch 已將許可新增至 CloudWatchReadOnlyAccess。 已新增 |
2023 年 6 月 6 日 |
|
CloudWatch 新增了一項新政策,讓您能管理共用 CloudWatch 指標的 CloudWatch 跨帳戶觀察功能連結。 如需詳細資訊,請參閱CloudWatch 跨帳戶可觀測性功能。 |
2022 年 11 月 27 日 | |
|
OAMFullAccess — 新政策 |
CloudWatch 新增了一項新政策,讓您能完全管理 CloudWatch 跨帳戶觀察功能連結和接收器。 如需詳細資訊,請參閱CloudWatch 跨帳戶可觀測性功能。 |
2022 年 11 月 27 日 |
|
OAMReadOnlyAccess — 新政策 |
CloudWatch 新增了一項新政策,讓您能檢視有關 CloudWatch 跨帳戶觀察功能連結和接收器的資訊。 如需詳細資訊,請參閱CloudWatch 跨帳戶可觀測性功能。 |
2022 年 11 月 27 日 |
|
CloudWatchFullAccess — 更新現有政策 |
CloudWatch 已將許可新增至 CloudWatchFullAccess。 新增 |
2022 年 11 月 27 日 |
|
CloudWatchReadOnlyAccess — 更新現有政策 |
CloudWatch 已將許可新增至 CloudWatchReadOnlyAccess。 新增 |
2022 年 11 月 27 日 |
AmazonCloudWatchRUMServiceRolePolicy – 更新為現有政策 |
CloudWatch RUM 更新了 AmazonCloudWatchRUMServiceRolePolicy 中的條件索引鍵。 該
|
2023 年 2 月 2 日 |
|
CloudWatch 新增了對 AmazonCloudWatchRUMReadOnlyAccess 政策的許可。 已新增 |
2022 年 10 月 27 日 | |
AmazonCloudWatchRUMServiceRolePolicy – 更新為現有政策 |
CloudWatch RUM 新增了對 AmazonCloudWatchRUMServiceRolePolicy 的許可。 已新增 |
2022 年 10 月 26 日 |
|
CloudWatchSyntheticsFullAccess – 更新現有政策 |
CloudWatch Synthetics 已將許可新增至 CloudWatchSyntheticsFullAccess。 已新增 |
2022 年 5 月 6 日 |
|
CloudWatch 新增了新的政策來啟用 CloudWatch RUM 的完整管理。 CloudWatch RUM 允許您對您的 Web 應用程式執行真實的使用者監控。如需詳細資訊,請參閱CloudWatch RUM。 |
2021 年 11 月 29 日 | |
|
CloudWatch 新增了一項新政策,以啟用對 CloudWatch RUM 的唯讀存取。 CloudWatch RUM 允許您對您的 Web 應用程式執行真實的使用者監控。如需詳細資訊,請參閱CloudWatch RUM。 |
2021 年 11 月 29 日 | |
|
AWSServiceRoleForCloudWatchRUM – 新的受管政策 |
CloudWatch 為新的服務連結角色新增了政策,可讓 CloudWatch RUM 將監控資料發佈至其他相關 AWS 服務。 |
2021 年 11 月 29 日 |
|
CloudWatchSyntheticsFullAccess – 更新現有政策 |
CloudWatch Synthetics 已將許可新增至 CloudWatchSyntheticsFullAccess,並且還更改了一個許可的範圍。 已新增
|
2021 年 9 月 29 日 |
|
CloudWatchSyntheticsFullAccess – 更新現有政策 |
CloudWatch Synthetics 已將許可新增至 CloudWatchSyntheticsFullAccess。 新增 |
2021 年 7 月 20 日 |
|
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy – 新受管政策 |
CloudWatch 新增了新的受管 IAM 政策,以允許 CloudWatch 在 AWS Systems Manager Incident Manager 中建立事件。 |
2021 年 5 月 10 日 |
CloudWatchAutomaticDashboardsAccess – 更新現有政策 |
CloudWatch 已將許可新增至 CloudWatchAutomaticDashboardsAccess 受管政策。已向此政策新增了 |
2021 年 4 月 20 日 |
|
CloudWatch 開始追蹤變更 |
CloudWatch 開始追蹤其 AWS 受管政策的變更。 |
2021 年 4 月 14 日 |
CloudWatchFullAccessV2
AWS 最近新增了 CloudWatchFullAccessV2 受管 IAM 政策。此政策授予對 CloudWatch 動作和資源的完整存取權,並且還可以更適當地限定授予其他服務 (例如 Amazon SNS 和 Amazon EC2 Auto Scaling) 的許可範圍。我們建議您開始使用此政策,而不是使用 CloudWatchFullAccess. AWS plans 在不久的將來棄用 CloudWatchFullAccess。
其中包含 application-signals: 許可,使用者可以從 CloudWatch 主控台的 Application Signals 下存取所有功能。它包含了部分 autoscaling:Describe 許可,以便採取此政策的使用者可以查看與 CloudWatch 警示相關聯的 Auto Scaling 動作。它包含了部分 sns 許可,以便採取此政策的使用者可以擷取建立 Amazon SNS 主題,並將其與 CloudWatch 警示建立關聯。包括 IAM 許可,以便採取此政策的使用者可以檢視與 CloudWatch 相關聯的服務連結角色的相關資訊。包含 oam:ListSinks 和 oam:ListAttachedLinks 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。它還包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。
其中包含在 CloudWatch Logs 中支援使用 分析建立 Amazon OpenSearch Service 的付費日誌儀表板的 Amazon OpenSearch Service 許可。它包含 resource-explorer-2:政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務。
它包含 rum、 synthetics和 xray許可,讓使用者可以完整存取 CloudWatch Synthetics AWS X-Ray和 CloudWatch RUM,所有這些都屬於 CloudWatch 服務。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchFullAccessV2。
CloudWatchFullAccess
CloudWatchFullAccess 政策即將棄用。我們建議您停止使用它,並改用 CloudWatchFullAccessV2。
CloudWatchReadOnlyAccess
CloudWatchReadOnlyAccess 政策授與對 CloudWatch 及相關可觀測性功能的唯讀存取權。
該政策包含一些 logs: 許可,以便採取此政策的使用者可以使用主控台來檢視 CloudWatch Logs 資訊和 CloudWatch Logs Insights 查詢。包括 autoscaling:Describe*,以便採取此政策的使用者可以查看與 CloudWatch 警示相關聯的 Auto Scaling 動作。其中包含 application-signals: 許可,使用者可以使用 Application Signals 監控其服務的運作狀態。包括 application-autoscaling:DescribeScalingPolicies,讓具有此政策的使用者可以存取 Application Auto Scaling 政策的相關資訊。包含 sns:Get* 和 sns:List*,以便採取此政策的使用者可以擷取有關 Amazon SNS 主題的資訊,這些主題會接收有關 CloudWatch 警示的通知。包含 oam:ListSinks 和 oam:ListAttachedLinks 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。其中包含 iam:GetRole 許可,使用者可以檢查 CloudWatch Application Signals 是否已設定。它還包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。它包含可觀測性管理許可,用於檢視遙測規則、集中組態和資源遙測資料 AWS Organizations。它包含 cloudwatch:GenerateQuery許可,因此使用此政策的使用者可以從自然語言提示產生 CloudWatch Metrics Insights 查詢字串。它包含 resource-explorer-2:政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務。
它包含 rum、 synthetics和 xray許可,讓使用者可以唯讀存取 CloudWatch Synthetics AWS X-Ray和 CloudWatch RUM,所有這些都屬於 CloudWatch 服務。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchReadOnlyAccess。
CloudWatchActionsEC2Access
CloudWatchActionsEC2Access 政策授予 CloudWatch 警示和指標唯讀存取權 (除了 Amazon EC2 中繼資料)。其還會授予存取以停止、終止和重新啟動適用於 EC2 執行個體的 API 動作。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchActionsEC2Access。
CloudWatch-CrossAccountAccess
CloudWatch-CrossAccountSharingRole IAM 角色會使用 CloudWatch-CrossAccountAccess 受管政策。此角色和政策可讓跨帳戶儀表板的使用者檢視共用儀表板的每個帳戶中的自動儀表板。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatch-CrossAccountAccess。
CloudWatchAutomaticDashboardsAccess
CloudWatchAutomaticDashboardsAccess 受管政策授與非 CloudWatch API 存取 CloudWatch 的權限,以便 Lambda 函式等資源可以顯示在 CloudWatch 自動儀表板上。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchAutomaticDashboardsAccess。
CloudWatchAgentServerPolicy
CloudWatchAgentServerPolicy 政策可用於連接到 Amazon EC2 執行個體的 IAM 角色,以允許 CloudWatch 代理程式從執行個體讀取資訊並將其寫入 CloudWatch。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchAgentServerPolicy。
CloudWatchAgentAdminPolicy
CloudWatchAgentAdminPolicy 政策可用於連接到 Amazon EC2 執行個體的 IAM 角色。此政策允許 CloudWatch 代理程式從執行個體讀取資訊並將其寫入 CloudWatch,並將資訊寫入參數存放區。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchAgentAdminPolicy。
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
您不得將 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy 連接到 IAM 實體。此政策會連結至名為 AWSServiceRoleForNetworkFlowMonitor_Topology 的服務連結角色。透過這些許可以及收集內部中繼資料資訊 (以提高效率),此服務連結角色會收集資源網路組態的中繼資料,例如描述路由表和閘道,這些資源正是此服務監控的網路流量對應的對象。此中繼資料可讓 Network Flow Monitor 產生資源的拓撲快照。當網路效能下降時,Network Flow Monitor 會使用拓撲來提供網路問題位置的洞察,並協助釐清問題的歸因。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》中的 CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy。
如需詳細資訊,請參閱Network Flow Monitor 的服務連結角色。
注意
您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些許可政策。
您也可以建立自己的自訂 IAM 政策,以允許 CloudWatch 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。
AWS CloudWatch 跨帳戶可觀測性的 受管 (預先定義) 政策
本節中的政策授予與 CloudWatch 跨帳戶觀察功能相關的許可。如需詳細資訊,請參閱CloudWatch 跨帳戶可觀測性功能。
CloudWatchCrossAccountSharingConfiguration
CloudWatchCrossAccountSharingConfiguration 政策授予可建立、管理和檢視 Observability Access Manager 連結的存取權,以便在帳戶之間共用 CloudWatch 資源。如需詳細資訊,請參閱CloudWatch 跨帳戶可觀測性功能。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchCrossAccountSharingConfiguration。
OAMFullAccess
OAMFullAccess 政策授予可建立、管理和檢視 Observability Access Manager 接收器和連結的存取權,這些將會用於 CloudWatch 跨帳戶觀察功能。
OAMFullAccess 政策本身不允許您跨連結共用觀察功能資料。若要建立連結以共用 CloudWatch 指標,您還需要使用 CloudWatchFullAccess 或 CloudWatchCrossAccountSharingConfiguration。若要建立連結以共用 CloudWatch Logs 日誌群組,您還需要使用 CloudWatchLogsFullAccess 或 CloudWatchLogsCrossAccountSharingConfiguration。若要建立連結以共用 X-Ray 追蹤,您還需要使用 AWSXRayFullAccess 或 AWSXRayCrossAccountSharingConfiguration。
如需詳細資訊,請參閱CloudWatch 跨帳戶可觀測性功能。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 OAMFullAccess。
OAMReadOnlyAccess
OAMReadOnlyAccess 政策授予 Observability Access Manager 資源的唯讀存取權,這些將會用於 CloudWatch 跨帳戶觀察功能。如需詳細資訊,請參閱CloudWatch 跨帳戶可觀測性功能。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 OAMReadOnlyAccess。
AWS CloudWatch 調查的受管 (預先定義) 政策
本節中的政策授與同 CloudWatch 調查相關的許可。如需詳細資訊,請參閱CloudWatch 調查。
AIOpsConsoleAdminPolicy
AIOpsConsoleAdminPolicy 政策透過 AWS 主控台授與對所有 CloudWatch 調查動作及其所需許可的完整存取權。此政策還授與對 CloudWatch 調查功能所需之其他服務的 API 的有限存取權。
-
aiops許可授與所有 CloudWatch 調查動作的存取權。 -
organizations、sso、identitystore和sts許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。 -
SSM Ops Item 與第三方問題管理系統整合需要
ssm許可。 -
需要
iam許可,以便管理員可以將 IAM 角色傳遞至aiopsssm.integrations和服務,之後助理會使用角色來分析 AWS 資源重要
這些許可允許採用此政策的使用者將任何 IAM 角色傳遞至
aiops和ssm.integrations服務。 -
允許來自 CloudWatch 調查外服務的 API,這是調查功能所需的。這包括設定 Amazon Q 聊天應用程式的開發人員、 AWS KMS CloudTrail 追蹤和 SSM 第三方問題管理的動作。
-
q許可可整合 Amazon Q,讓使用者透過 Amazon Q 的對話界面與 CloudWatch 調查報告互動和更新。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 AIOpsConsoleAdminPolicy。
AIOpsOperatorAccess
AIOpsOperatorAccess 政策授與對一組有限 CloudWatch 調查 API 的存取權,包括建立、更新和刪除調查、調查事件和調查資源。
此政策僅提供對調查的存取權。您應該確定,採用此政策的 IAM 主體同時具備讀取 CloudWatch 可觀測性資料的許可,例如指標、SLO 和 CloudWatch Logs 查詢結果。
-
aiops許可允許存取 CloudWatch 調查 API,以建立、更新和刪除調查。 -
sso-directory、sso、identitystore和sts許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。 -
SSM Ops Item 與第三方問題管理系統整合需要
ssm許可。 -
q許可可整合 Amazon Q,讓使用者透過 Amazon Q 的對話界面與 CloudWatch 調查報告互動和更新。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 AIOpsOperatorAccess。
AIOpsReadOnlyAccess
AIOpsReadOnlyAccess 政策授與 CloudWatch 調查和其他相關服務的唯讀許可。
-
aiops許可允許存取 CloudWatch 調查 API,以取得、列出和驗證調查群組。 -
sso許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。 -
SSM Ops Item 與第三方問題管理系統整合需要
ssm許可。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 AIOpsReadOnlyAccess。
AIOpsAssistantPolicy
AIOpsAssistantPolicy 政策是 建議的預設政策 AWS ,可將 指派給調查群組所使用的 Amazon AI Operations (AIOps) 角色,讓它在調查操作事件期間分析您的 AWS 資源。此政策不適用於人類使用者。
您可以選擇在建立調查時自動指派政策,也可以手動將政策指派給調查使用的角色。此政策的範圍是根據 CloudWatch 調查在執行調查時分析的資源而定,並且會隨著支援更多資源而更新。如需使用 CloudWatch 調查的服務完整清單,請參閱 AWS 支援調查的 服務。
除了指派 AIOpsAssistantPolicy 之外,您也可以選擇將 AWS generalReadOnlyAccess 指派給助理。這樣做的原因是 ReadOnlyAccess 將由 更頻繁地更新, AWS 並具有已發行新 AWS 服務和動作的許可。AIOpsAssistantPolicy 亦將針對新動作進行更新,但更新頻率不高。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 AIOpsAssistantPolicy。
AIOpsAssistantIncidentReportPolicy
AIOpsAssistantIncidentReportPolicy 政策會授予 CloudWatch 調查所需的許可,以從調查資料產生事件報告。
此政策旨在供 CloudWatch 調查使用,以便從調查結果產生自動事件報告。
-
aiops許可允許存取 CloudWatch 調查 APIs,以讀取調查資料和事件、建立和更新事件報告,以及管理構成報告產生基礎的 AI 衍生事實。
若要查看政策的完整內容,請參閱《 AWS 受管政策參考指南》中的 AIOpsAssistantIncidentReportPolicy。
AWS CloudWatch Application Signals 的受管 (預先定義) 政策
本節中的政策授與同 CloudWatch Application Signals 相關的許可。如需詳細資訊,請參閱應用程式訊號。
CloudWatchApplicationSignalsReadOnlyAccess
AWS 已新增 CloudWatchApplicationSignalsReadOnlyAccess 受管 IAM 政策。此政策授與對 CloudWatch 主控台中 Application Signals 下使用者可用之動作和資源的唯讀存取權。其中包含 application-signals: 政策,使用者可以使用 CloudWatch Application Signals 來檢視、調查和監控其服務的運作狀態。其中包含 iam:GetRole 政策,使用者可以擷取 IAM 角色相關資訊。其中包含 logs: 政策,與啟動與停止查詢、擷取 Metruc 篩選條件的設定,以及取得查詢結果相關。其中包含 cloudwatch: 政策,使用者可以取得 CloudWatch 警示或指標的相關資訊。其中包含 synthetics: 政策,使用者可以擷取 Synthetics Canary 執行的相關資訊。其中包含 rum: 政策,與執行批次操作、擷取資料和更新 RUM 用戶端的指標定義相關。其中包含 xray: 政策,與擷取追蹤摘要相關。它包含 oam:政策,讓使用者可以使用 主控台檢視 CloudWatch 跨帳戶可觀測性中來源帳戶共用的資料。它包含 resource-explorer-2:政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchApplicationSignalsReadOnlyAccess。
CloudWatchApplicationSignalsFullAccess
AWS 已新增 CloudWatchApplicationSignalsFullAccess 受管 IAM 政策。此政策授與對 CloudWatch 主控台中使用者可用之所有動作和資源的存取權。其中包含 application-signals: 政策,使用者可以使用 CloudWatch Application Signals 來檢視、調查和監控其服務的運作狀態。它使用 cloudwatch: 政策從指標和警示擷取資料。它使用 logs: 政策來管理查詢和篩選條件。它使用 synthetics: 政策,讓使用者可以擷取 Synthetics Canary 執行的相關資訊。其中包含 rum: 政策,與執行批次操作、擷取資料和更新 RUM 用戶端的指標定義相關。其中包含 xray: 政策,與擷取追蹤摘要相關。其中包含 arn:aws:cloudwatch:*:*:alarm: 政策,使用者可以擷取服務水準目標 (SLO) 警示的相關資訊。其中包含 iam: 政策,與管理 IAM 角色相關。它使用 sns: 政策來建立、列示和訂閱 Amazon SNS 主題。它包含 oam:政策,讓使用者可以使用 主控台檢視 CloudWatch 跨帳戶可觀測性中來源帳戶共用的資料。它包含 resource-explorer-2:政策,讓使用者可以使用 主控台來檢視其帳戶中未經檢測的服務
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchApplicationSignalsFullAccess。
CloudWatchLambdaApplicationSignalsExecutionRolePolicy
為 Lambda 工作負載啟用 CloudWatch Application Signals 時,會使用此政策。允許對 X-Ray 以及 CloudWatch Application Signals 所使用之日誌群組進行寫入存取。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchLambdaApplicationSignalsExecutionRolePolicy。
AWS CloudWatch Synthetics 的受管 (預先定義) 政策
CloudWatchSyntheticsFullAccess 和 CloudWatchSyntheticsReadOnlyAccess AWS 受管政策可供您指派給將管理或使用 CloudWatch Synthetics 的使用者。下列其他政策也是相關的:
-
AmazonS3ReadOnlyAccess 和 CloudWatchReadOnlyAccess – 這些是讀取 CloudWatch 主控台中所有 Synthetics 資料的必要條件。
-
AWSLambdaReadOnlyAccess – 能夠檢視 Canary 使用的原始程式碼。
-
CloudWatchSyntheticsFullAccess – 允許您建立 Canary。此外,若要建立和刪除已為其建立新 IAM 角色的 Canary,您需要特定的內嵌政策許可。
重要
向使用者授予
iam:CreateRole、iam:DeleteRole、iam:CreatePolicy、iam:DeletePolicy、iam:AttachRolePolicy和iam:DetachRolePolicy許可,該使用者便擁有完整管理存取權,可建立、連接和刪除具有與arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*和arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*相符之 ARN 的角色和政策。例如,擁有這些許可的使用者可以建立具有所有資源完整許可的政策,並將該政策連接至符合該 ARN 模式的任何角色。對於您要將這些許可授與到的對象,請務必謹慎。如需連接政策和授與許可給使用者的資訊,請參閱變更 IAM 使用者的許可和嵌入使用者或角色的內嵌政策。
CloudWatchSyntheticsFullAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchSyntheticsFullAccess。
CloudWatchSyntheticsReadOnlyAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 CloudWatchSyntheticsReadOnlyAccess。
AWS Amazon CloudWatch RUM 的 受管 (預先定義) 政策
AmazonCloudWatchRUMFullAccess 和 AmazonCloudWatchRUMReadOnlyAccess AWS 受管政策可供您指派給將管理或使用 CloudWatch RUM 的使用者。
AmazonCloudWatchRUMFullAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 AmazonCloudWatchRUMFullAccess。
AmazonCloudWatchRUMReadOnlyAccess
AmazonCloudWatchRUMReadOnlyAccess 允許對 CloudWatch RUM 進行唯讀管理存取。
-
synthetics許可允許向 RUM 應用程式監視器顯示關聯的 Synthetics Canary -
cloudwatch許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 指標 -
cloudwatch alarms許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 警示 -
cloudwatch logs許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 日誌 -
x-ray許可允許向 RUM 應用程式監視器顯示關聯的 X-Ray 追蹤區段 -
rum許可允許向 RUM 應用程式監視器顯示關聯的標籤
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 AmazonCloudWatchRUMReadOnlyAccess。
AmazonCloudWatchRUMServiceRolePolicy
您無法連接 AmazonCloudWatchRUMServiceRolePolicy 至您的 IAM 實體。此政策會連接至服務連結角色,允許 CloudWatch RUM 將監控資料發佈至其他相關 AWS 服務。如需此服務連結角色的詳細資訊,請參閱 對 CloudWatch RUM 使用服務連結角色。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》中的 AmazonCloudWatchRUMServiceRolePolicy。
AWSAWS Systems Manager Incident Manager 的 受管政策
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy 政策連接至服務連結的角色,可讓 CloudWatch 代表您開始 AWS Systems Manager Incident Manager 中的事件。如需詳細資訊,請參閱CloudWatch 警示 Systems Manager Incident Manager 動作的服務連結角色許可。
下列政策具有以下許可:
-
ssm-incidents:StartIncident
