本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS CloudWatch 的 受管 (預先定義) 政策
AWS 透過提供由 建立和管理的獨立 IAM 政策,解決許多常見的使用案例 AWS。這些 AWS 受管政策會授予常見使用案例的必要許可,讓您不必調查需要哪些許可。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
下列 AWS 受管政策是 CloudWatch 特有的,您可以連接到您帳戶中的使用者。
**Topics**
+ [AWS 受管政策的 CloudWatch 更新](#security-iam-awsmanpol-updates)
+ [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)
+ [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess)
+ [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)
+ [CloudWatchActionsEC2Access](#managed-policies-cloudwatch-CloudWatchActionsEC2Access)
+ [CloudWatch-CrossAccountAccess](#managed-policies-cloudwatch-CloudWatch-CrossAccountAccess)
+ [CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess)
+ [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy)
+ [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy)
+ [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)
+ [AWS CloudWatch 跨帳戶可觀測性的 受管 (預先定義) 政策](#managed-policies-cloudwatch-crossaccount)
+ [AWS CloudWatch 調查的 受管 (預先定義) 政策](#managed-policies-cloudwatch-QInvestigations)
+ [AWS CloudWatch Application Signals 的受管 (預先定義) 政策](#managed-policies-cloudwatch-ApplicationSignals)
+ [AWS CloudWatch Synthetics 的受管 (預先定義) 政策](#managed-policies-cloudwatch-canaries)
+ [AWS Amazon CloudWatch RUM 的 受管 (預先定義) 政策](#managed-policies-cloudwatch-RUM)
+ [AWS AWS Systems Manager Incident Manager 的 受管政策](#managed-policies-cloudwatch-incident-manager)
## AWS 受管政策的 CloudWatch 更新
檢視自此服務開始追蹤這些變更以來CloudWatch AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新的政策 | CloudWatch 已更新 **CloudWatchSyntheticsFullAccess** 政策。
已新增 `cloudwatch:ListMetrics`許可,以便 CloudWatch Synthetics 列出可用的指標。此外,`apigateway:GET`許可已從允許所有資源變更為特定 API Gateway 資源:REST APIs、REST API 階段、REST API 階段 Swagger 匯出和 HTTP APIs。 | 2026 年 3 月 31 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 已更新政策 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 政策。它新增了許可,以啟用 CloudWatch 調查,以協助查詢、疑難排解和拓撲映射。
已新增下列許可:`appsync:GetGraphqlApiEnvironmentVariables`、`kms:GetKeyPolicy`、 `cloudtrail:GetEventConfiguration`和 `s3:GetBucketAbac` | 2026 年 2 月 6 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 已更新政策 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 政策。它新增了許可,以啟用 CloudWatch 調查,以協助查詢、疑難排解和拓撲映射。
已新增下列許可:`kms:GetKeyRotationStatus`、 `kms:ListAliases`和 `kms:ListKeyRotations` | 2025 年 12 月 17 日 |
| [ CloudWatchNetworkMonitorServiceRolePolicy](security-iam-awsmanpol-nw.md#security-iam-CloudWatchNetworkMonitorServiceRolePolicy) – 更新的政策 | CloudWatch 已將 `ec2:DescribeRouteTables`、`ec2:DescribeTransitGatewayRouteTables`、、 `ec2:SearchTransitGatewayRoutes` 許可新增至 **CloudWatchNetworkMonitorServiceRolePolicy** `ec2:DescribeTransitGatewayAttachments`受管政策,以授予 Network Synthetic Monitor 許可,為使用 Transit Gateways 的客戶產生 Network Health Indicator 值。 | 2025 年 12 月 12 日 |
| [ CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 更新政策 | CloudWatch 已將 `ec2:DescribeVpcEndpoints`和 `ec2:DescribeVpcEndpointServiceConfigurations`許可新增至 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 受管政策,以授予 Network Flow Monitor 許可,以產生 VPC 端點和 vpce 服務組態的拓撲快照。 | 2025 年 12 月 10 日 |
| [ CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新的政策 | CloudWatch 已將許可新增至 **CloudWatchFullAccessV2**。
新增可觀測性管理動作的許可,以允許完整存取遙測管道和 S3 資料表整合。 | 2025 年 12 月 2 日 |
| [ CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新的政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。
新增可觀測性管理動作的許可,以允許唯讀存取遙測管道和 S3 資料表整合。 | 2025 年 12 月 2 日 |
| [CloudWatchFullAccessV2 ](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新的政策 | CloudWatch 已更新 **CloudWatchFullAccessV2** 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及啟用資源總管從 Application Signals 查詢未檢測的服務和資源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsFullAccess ](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – 更新的政策 | CloudWatch 已更新 **CloudWatchApplicationSignalsFullAccess** 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及啟用資源總管從 Application Signals 查詢未檢測的服務和資源。 | 2025 年 11 月 20 日 |
| [CloudWatchReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新的政策 | CloudWatch 已更新 **CloudWatchReadOnlyAccess** 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及從 Application Signals 查詢未經檢測的服務和資源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – 更新的政策 | CloudWatch 已更新 **CloudWatchApplicationSignalsReadOnlyAccess** 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及從 Application Signals 查詢未檢測的服務和資源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新現有政策 | CloudWatch 已更新名為 **CloudWatchApplicationSignalsServiceRolePolicy** 的政策。
更新政策以包含 `resource-explorer-2:Search`和 `cloudtrail:CreateServiceLinkedChannel`,以啟用新的 Application Signals 功能。 | 2025 年 11 月 20 日 |
| [AIOpsConsoleAdminPolicy – 已更新政策 ](https://docs.aws.amazon.com/managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) | CloudWatch 已更新 **AIOpsConsoleAdminPolicy** 政策以包含 Amazon Q 整合許可,讓使用者能夠透過 Amazon Q 的對話界面與 CloudWatch 調查事件報告互動。 | 2025 年 11 月 17 日 |
| [AIOpsOperatorAccess – 更新的政策 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) | CloudWatch 已更新 **AIOpsOperatorAccess** 政策以包含 Amazon Q 整合許可,讓使用者能夠透過 Amazon Q 的對話界面與 CloudWatch 調查事件報告互動。 | 2025 年 11 月 7 日 |
| [ CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 更新的政策 | CloudWatch 將 `ec2:DescribeManagedPrefixLists`和 `ec2:GetManagedPrefixListEntries`許可新增至 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 受管政策,以授予 Network Flow Monitor 產生受管字首清單拓撲快照的許可。 | 2025 年 11 月 6 日 |
| [AIOpsAssistantIncidentReportPolicy – 新政策 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html) | CloudWatch 新增了 **AIOpsAssistantIncidentReportPolicy** 政策,讓 CloudWatch 調查能夠從調查資料產生事件報告,包括存取調查、建立報告和管理 AI 衍生事實的許可。 | 2025 年 10 月 10 日 |
| [AIOpsOperatorAccess – 更新的政策 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) | CloudWatch 更新了 **AIOpsOperatorAccess** 政策,以包含事件報告產生許可,允許使用者建立和管理事件報告,並在 CloudWatch 調查中使用 AI 衍生的事實。 | 2025 年 10 月 10 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新現有政策。 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。
新增可觀測性管理動作的許可,以允許唯讀存取遙測規則、集中化組態和資源遙測資料 AWS Organizations。 | 2025 年 10 月 10 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 現有政策更新 | CloudWatch 已更新 **CloudWatchFullAccessV2**,以包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。 | 2025 年 10 月 8 日 |
| [CloudWatchReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 現有政策的更新 | CloudWatch 已更新 **CloudWatchReadOnlyAccess**,以包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。 | 2025 年 10 月 8 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess – 已更新政策](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html) | CloudWatch 已更新 **CloudWatchApplicationSignalsReadOnlyAccess** 政策,可檢視帳戶中資源與服務的變動狀況,並檢視帳戶中服務異常的主要觀測結果。 | 2025 年 9 月 29 日 |
| [CloudWatchApplicationSignalsFullAccess – 已更新政策 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html) | CloudWatch 已更新 **CloudWatchApplicationSignalsFullAccess** 政策,可檢視帳戶中資源與服務的變動狀況,並檢視帳戶中服務異常的主要觀測結果。 | 2025 年 9 月 29 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 已更新政策 | CloudWatch 已更新 **AIOpsAssistantPolicy**,允許 CloudWatch 調查功能存取更多資源,以協助執行查詢、疑難排解及拓撲映射作業。
此政策授與 CloudWatch 調查功能進行調查所需的許可。 | 2025 年 9 月 24 日 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 已更新政策 | CloudWatch 已更新 **AIOpsConsoleAdminPolicy** 政策,允許跨帳戶驗證調查群組。
此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 | 2025 年 6 月 13 日 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – 已更新政策 | CloudWatch 已更新 **AIOpsOperatorAccess** 政策,允許跨帳戶驗證調查群組。
此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 | 2025 年 6 月 13 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 現有政策更新 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 政策。新增了許可,讓 CloudWatch Application Insights 操作調查功能可在調查期間於資源中尋找相關資訊。
已新增下列許可:`appsync:GetGraphqlApi`、`appsync:GetDataSource`、`iam:ListAttachedRolePolicies`、`iam:ListRolePolicies` 和 `iam:ListRoles`
此外,已從政策中移除 `elastic-inference:Describe*` 許可。 | 2025 年 6 月 13 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新的政策 | CloudWatch 新增了對 **AmazonCloudWatchRUMReadOnlyAccess** 政策的許可。
新增了 `synthetics: describeCanaries` 和 `synthetics:describeCanariesLastRun`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 Synthetics Canary。
新增了 `cloudwatch:GetMetricData`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 CloudWatch 指標。
新增了 `cloudwatch:DescribeAlarms`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 CloudWatch 警示。
新增了 `logs:DescribeLogGroups`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 CloudWatch 日誌。
新增了 `xray:GetTraceSummaries`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 X-Ray 追蹤區段。
新增了 `rum:ListTagsForResources`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的標籤。 | 2025 年 6 月 28 日 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – 已更新政策 | CloudWatch 已更新 **AIOpsReadOnlyAccess** 政策,允許跨帳戶驗證調查群組。
此政策授與使用者 Amazon AI Operations 和其他相關服務的唯讀許可。 | 2025 年 6 月 5 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新的政策 | CloudWatch 將許可新增至 **AmazonCloudWatchRUMReadOnlyAccess** 政策。
已新增 `rum:GetResourcePolicy` 許可,以便 CloudWatch RUM 可以檢視連結至 RUM 應用程式監視器的資源政策。 | 2025 年 4 月 28 日 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 新政策 | CloudWatch 建立名為 **AIOpsConsoleAdminPolicy** 的新政策。
此政策授與使用者管理 CloudWatch 調查的完整管理存取權,包括受信任身分傳播管理,以及 IAM Identity Center 與組織存取權管理。 | 2024 年 12 月 3 日 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – 新政策 | CloudWatch 建立名為 **AIOpsOperatorAccess** 的新政策。
此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 | 2024 年 12 月 3 日 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – 新政策 | CloudWatch 建立名為 **AIOpsReadOnlyAccess** 的新政策。
此政策授與使用者 Amazon AI Operations 和其他相關服務的唯讀許可。 | 2024 年 12 月 3 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 新政策 | CloudWatch 建立名為 **AIOpsAssistantPolicy** 的新政策。
不能將此政策指派給使用者。您可以將此政策指派給 Amazon AI Operations 助理,讓 CloudWatch 調查能夠在調查操作事件期間分析您的 AWS 資源。 | 2024 年 12 月 3 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 現有政策更新 | CloudWatch 更新 **CloudWatchFullAccessV2** 和 **CloudWatchFullAccess**。
Amazon OpenSearch Service 已將 的許可新增至 ,以啟用部分功能的 CloudWatch Logs 與 OpenSearch Service 整合。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorServiceRolePolicy](using-service-linked-roles-network-flow-monitor.md) – 新政策 | CloudWatch 新增一項新政策 **CloudWatchNetworkFlowMonitorServiceRolePolicy**。
**CloudWatchNetworkFlowMonitorServiceRolePolicy** 授與 Network Flow Monitor 將指標發布至 CloudWatch 的許可。它還允許服務使用 AWS Organizations 來取得多帳戶案例的資訊。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 新政策 | CloudWatch 新增一項新政策 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**。
**CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 授與 Network Flow Monitor 許可,以產生您帳戶中所用資源的拓撲快照。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) – 新政策 | CloudWatch 新增一項新政策 **CloudWatchNetworkFlowMonitorAgentPublishPolicy**。
**CloudWatchNetworkFlowMonitorAgentPublishPolicy** 授與 Amazon EC2 和 Amazon EKS 執行個體等資源的許可,以將遙測報告 (指標) 傳送至 Network Flow Monitor 端點。 | 2024 年 12 月 1 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch 已更新名為 **CloudWatchSyntheticsFullAccess** 的政策。
新增下列 CloudWatch Logs 動作,以允許 CloudWatch Synthetics 在 Lambda 日誌群組中取得和使用 Canary 日誌資料。同時新增 `lambda:GetFunction` 許可,以允許 Synthetics 取得特定函式的相關資訊。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch.html)
此外,Lambda 層版本動作現在適用於所有 CloudWatch Synthetics 層 ARN。 | 2024 年 11 月 20 日 |
| [CloudWatchInternetMonitorReadOnlyAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorReadOnlyAccess) – 新增 **CloudWatchInternetMonitorReadOnlyAccess**。
此政策授與對 Internet Monitor CloudWatch 主控台中可用之資源和動作的唯讀存取權。此政策的範圍包括 `internetmonitor:`,使用者可以使用唯讀 Internet Monitor 動作和資源。其中包含一些 `cloudwatch:` 政策,與擷取 CloudWatch 指標資訊相關。其中包含一些 `logs:` 政策,與管理日誌查詢相關。 | 2024 年 11 月 14 日 |
| [CloudWatchInternetMonitorFullAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorFullAccess) – 新政策 | CloudWatch 建立名為 **CloudWatchInternetMonitorFullAccess** 的新政策。
此政策授與對 Internet Monitor CloudWatch 主控台中可用之資源和動作的完整存取權。此政策的範圍包括 `internetmonitor:`,使用者可以使用 Internet Monitor 動作和資源。其中包含一些 `cloudwatch:` 政策,與擷取 CloudWatch 警示和指標資訊相關。其中包含一些 `logs:` 政策,與管理日誌查詢相關。其中包含一些 `ec2:`、`cloudfront:`、`elasticloadbalancing:` 和 `workspaces:` 政策,用於處理您新增至監視器的資源,以便 Internet Monitor 能夠為您的應用程式建立流量設定檔。其中包含一些 `iam:` 政策,與管理 IAM 角色相關。 | 2024 年 10 月 23 日 |
| [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](#managed-policies-CloudWatchLambdaApplicationSignalsExecutionRolePolicy) – 新增 **CloudWatchLambdaApplicationSignalsExecutionRolePolicy**。
為 Lambda 工作負載啟用 CloudWatch Application Signals 時,會使用此政策。允許對 X-Ray 以及 CloudWatch Application Signals 所使用之日誌群組進行寫入存取。 | 2024 年 10 月 16 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch 已更新名為 **CloudWatchSyntheticsFullAccess** 的政策。
新增 `lambda:ListTags`、`lambda:TagResource` 和 `lambda:UntagResource` 許可,因此當您在 Canary 上套用或變更標籤時,也可以選擇讓 Synthetics 將這些標籤或變更套用至 Canary 使用的 Lambda 函式。 | 2024 年 10 月 11 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – 新政策 | CloudWatch 建立名為 **CloudWatchApplicationSignalsReadOnlyAccess** 的新政策。
此政策授與對 Application Signals CloudWatch 主控台中可用之資源和動作的唯讀存取權。此政策的範圍包含 `application-signals:` 政策,使用者可以在 CloudWatch 主控台的 Application Signals 下使用唯讀動作和資源。其中包含 `iam:` 政策,與管理 IAM 角色相關。其中包含一些 `logs:` 政策,與管理日誌查詢和篩選條件相關。其中包含 `cloudwatch:` 政策,與擷取 CloudWatch 警示和指標資訊相關。其中包含一些 `synthetics:` 政策,與擷取 Synthetics Canary 資訊相關。其中包含 `rum:` 政策,與管理 RUM 用戶端和任務相關。其中包含 `xray:` 政策,與取得追蹤摘要相關。 | 2024 年 6 月 7 日 |
| [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – 新增政策 | CloudWatch 建立名為 **CloudWatchApplicationSignalsFullAccess** 的新政策。
此政策授與對 Application Signals CloudWatch 主控台中可用之資源和動作的完整存取權。此政策的範圍包括 `application-signals:`,使用者可以使用 Application Signals 動作和資源。其中包含一些 `cloudwatch:` 政策,與擷取 CloudWatch 警示和指標資訊相關。其中包含一些 `logs:` 政策,與管理日誌查詢相關。其中包含一些 `synthetics:` 政策,與寫入和擷取 Synthetics Canary 資訊相關。其中包含 `rum:` 政策,與管理 RUM 用戶端和任務相關。其中包含 `xray:` 政策,與取得追蹤摘要相關。其中包含一些 `cloudwatch:` 政策,與管理 CloudWatch 警示相關。其中包含一些 `iam:` 政策,與管理 IAM 角色相關。其中包含一些 `sns:` 政策,與管理 Amazon Simple Notification Service 通知相關。 | 2024 年 6 月 7 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新為現有政策 | CloudWatch 已更新名為 **CloudWatchFullAccessV2** 的政策。
`CloudWatchFullAccessPermissions` 政策的範圍更新,新增 `application-signals:*`,使用者可以使用 CloudWatch Application Signals 來檢視、調查和診斷與其服務運作狀態相關的問題。 | 2024 年 5 月 20 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已更新名為 **CloudWatchReadOnlyAccess** 的政策。
`CloudWatchReadOnlyAccessPermissions` 政策的範圍更新,新增 `application-signals:BatchGet*`、`application-signals:List*` 和 `application-signals:Get*`,使用者可以使用 CloudWatch Application Signals 來檢視、調查和診斷與其服務運作狀態相關的問題。`CloudWatchReadOnlyGetRolePermissions` 的範圍更新,新增 `iam:GetRole` 動作,使用者可以檢查 CloudWatch Application Signals 是否已設定。 | 2024 年 5 月 20 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新現有政策 | CloudWatch 已更新名為 **CloudWatchApplicationSignalsServiceRolePolicy** 的政策。
`logs:StartQuery` 和 `logs:GetQueryResults` 許可的範圍已變更,新增 `arn:aws:logs:*:*:log-group:/aws/appsignals/*:*` 和 `arn:aws:logs:*:*:log-group:/aws/application-signals/data:*` ARN,以在更多架構上啟用 Application Signals。 | 2024 年 4 月 18 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新現有政策 | CloudWatch 變更 **CloudWatchApplicationSignalsServiceRolePolicy** 中的許可範圍。
`cloudwatch:GetMetricData` 許可的範圍變更為 `*`,以便 Application Signals 可以從連結帳戶中的來源擷取指標。 | 2024 年 4 月 8 日 |
| [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy) – 更新現有政策 | CloudWatch 將許可新增至 **CloudWatchAgentServerPolicy**。
新增 `xray:PutTraceSegments`、`xray:PutTelemetryRecords`、`xray:GetSamplingRules`、`xray:GetSamplingTargets`、`xray:GetSamplingStatisticSummaries` 和 `logs:PutRetentionPolicy` 許可,CloudWatch 代理程式可以發布 X-Ray 追蹤並修改日誌群組保留期。 | 2024 年 2 月 12 日 |
| [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy) – 更新現有政策 | CloudWatch 將許可新增至 **CloudWatchAgentAdminPolicy**。
新增 `xray:PutTraceSegments`、`xray:PutTelemetryRecords`、`xray:GetSamplingRules`、`xray:GetSamplingTargets`、`xray:GetSamplingStatisticSummaries` 和 `logs:PutRetentionPolicy` 許可,CloudWatch 代理程式可以發布 X-Ray 追蹤並修改日誌群組保留期。 | 2024 年 2 月 12 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新為現有政策 | CloudWatch 已將許可新增至 **CloudWatchFullAccessV2**。
已新增 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 動作的現有許可以及 CloudWatch Application Signals 的新許可,以便具有此政策的使用者可以管理 CloudWatch Application Signals。
已新增用於建立 CloudWatch Application Signals 服務連結角色的許可,以允許 CloudWatch Application Signals 探索日誌、指標、追蹤和標籤中的遙測資料。 | 2023 年 12 月 5 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。
已新增 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 動作的現有唯讀許可以及 CloudWatch Application Signals 的新唯讀許可,以便具有此政策的使用者可以分類和診斷 CloudWatch Application Signals 所報告的服務運作狀態問題。
新增 `cloudwatch:GenerateQuery` 許可,讓具有此政策的使用者可以從自然語言提示中產生 CloudWatch Metrics Insights 查詢字串。 | 2023 年 12 月 5 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新現有政策。 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。
新增 `cloudwatch:GenerateQuery` 許可,採用此政策的使用者可以從自然語言提示中產生 [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) 查詢字串。 | 2023 年 12 月 1 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 新政策 | CloudWatch 新增了一項新政策 **CloudWatchApplicationSignalsServiceRolePolicy**。
**CloudWatchApplicationSignalsServiceRolePolicy** 授予即將推出的特徵許可,以收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料,以及標記資料。 | 2023 年 11 月 9 日 |
| [AWSServiceRoleForCloudWatchMetrics\_DbPerfInsightsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-permissions-dbperfinsights) – 新政策 | CloudWatch 新增了一項新政策 **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsightsServiceRolePolicy**。
**AWSServiceRoleForCloudWatchMetrics\_DbPerfInsightsServiceRolePolicy** 會授予許可給 CloudWatch 來代表您從資料庫擷取 Performance Insights 指標。 | 2023 年 9 月 20 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。
新增了 `application-autoscaling:DescribeScalingPolicies` 許可,讓具有此政策的使用者可以存取 Application Auto Scaling 政策的相關資訊。 | 2023 年 9 月 14 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 新政策 | CloudWatch 新增了一項新政策 **CloudWatchFullAccessV2**。
**CloudWatchFullAccessv2** 授予對 CloudWatch 動作和資源的完整存取權,同時更能限定授予其他服務 (例如 Amazon SNS 和 Amazon EC2 Auto Scaling) 的許可範圍。如需更多資訊,請參閱 [CloudWatchFullAccessV2](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch-CloudWatchFullAccessV2.html)。 | 2023 年 8 月 1 日 |
| [AWSServiceRoleForInternetMonitor](using-service-linked-roles-CWIM.md#service-linked-role-permissions-CWIM-AWSServiceRoleForInternetMonitor) — 更新至現有政策 | Amazon CloudWatch 網路監視器新增了監控 Network Load Balancer 資源的許可。
需有 `elasticloadbalancing:DescribeLoadBalancers` 和 `ec2:DescribeNetworkInterfaces` 許可,網路監視器才能分析 NLB 資源的流程日誌,監控客戶的 Network Load Balancer 流量。
如需詳細資訊,請參閱[使用網路監視器](CloudWatch-InternetMonitor.md)。 | 2023 年 7 月 15 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。
已新增 `logs:StartLiveTail` 和 `logs:StopLiveTail` 許可,讓使用此政策的使用者可以使用主控台啟動和停止 CloudWatch Logs Live Tail 工作階段。如需詳細資訊,請參閱[使用 Live Tail 以近乎即時的方式檢視日誌](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)。 | 2023 年 6 月 6 日 |
| [CloudWatchCrossAccountSharingConfiguration](#managed-policies-cloudwatch-CloudWatchCrossAccountSharingConfiguration) — 新政策 | CloudWatch 新增了一項新政策,讓您能管理共用 CloudWatch 指標的 CloudWatch 跨帳戶觀察功能連結。
如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [OAMFullAccess](#managed-policies-cloudwatch-OAMFullAccess) — 新政策 | CloudWatch 新增了一項新政策,讓您能完全管理 CloudWatch 跨帳戶觀察功能連結和接收器。
如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [OAMReadOnlyAccess](#managed-policies-cloudwatch-OAMReadOnlyAccess) — 新政策 | CloudWatch 新增了一項新政策,讓您能檢視有關 CloudWatch 跨帳戶觀察功能連結和接收器的資訊。
如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchFullAccess**。
新增 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。 | 2022 年 11 月 27 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。
新增 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。 | 2022 年 11 月 27 日 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – 更新為現有政策 | CloudWatch RUM 更新了 **AmazonCloudWatchRUMServiceRolePolicy** 中的條件索引鍵。
該 `"Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } }` 條件索引鍵已變更為以下內容,因此 CloudWatch RUM 可以將自訂指標傳送至自訂指標命名空間。"Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
| 2023 年 2 月 2 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新的政策 | CloudWatch 新增了對 **AmazonCloudWatchRUMReadOnlyAccess** 政策的許可。
已新增 `rum:ListRumMetricsDestinations`和 `rum:BatchGetRumMetricsDefinitions`許可,以便 CloudWatch RUM 可以將延伸指標傳送至 CloudWatch。 | 2022 年 10 月 27 日 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – 更新為現有政策 | CloudWatch RUM 新增了對 **AmazonCloudWatchRUMServiceRolePolicy** 的許可。
已新增 `cloudwatch:PutMetricData` 許可,可讓 CloudWatch RUM 可將延伸指標傳送至 CloudWatch。 | 2022 年 10 月 26 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch Synthetics 已將許可新增至 **CloudWatchSyntheticsFullAccess**。
已新增 `lambda:DeleteFunction` 和 `lambda:DeleteLayerVersion` 許可,以便 CloudWatch Synthetics 可以在刪除 Canary 時刪除相關資源。已新增 `iam:ListAttachedRolePolicies`,以便客戶可以檢視連接到 Canary IAM 角色的政策。 | 2022 年 5 月 6 日 |
| [AmazonCloudWatchRUMFullAccess](#managed-policies-CloudWatchRUMFullAccess) – 新政策 | CloudWatch 新增了新的政策來啟用 CloudWatch RUM 的完整管理。
CloudWatch RUM 允許您對您的 Web 應用程式執行真實的使用者監控。如需詳細資訊,請參閱[CloudWatch RUM](CloudWatch-RUM.md)。 | 2021 年 11 月 29 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 新政策 | CloudWatch 新增了一項新政策,以啟用對 CloudWatch RUM 的唯讀存取。
CloudWatch RUM 允許您對您的 Web 應用程式執行真實的使用者監控。如需詳細資訊,請參閱[CloudWatch RUM](CloudWatch-RUM.md)。 | 2021 年 11 月 29 日 |
| [**AWSServiceRoleForCloudWatchRUM**](using-service-linked-roles-RUM.md) – 新的受管政策 | CloudWatch 為新的服務連結角色新增了政策,可讓 CloudWatch RUM 將監控資料發佈至其他相關 AWS 服務。 | 2021 年 11 月 29 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch Synthetics 已將許可新增至 **CloudWatchSyntheticsFullAccess**,並且還更改了一個許可的範圍。
已新增 `kms:ListAliases`許可,讓使用者可以列出可用於加密 Canary 成品的可用 AWS KMS 金鑰。已新增 `kms:DescribeKey` 許可,以便使用者可以看到金鑰的詳細資訊,該金鑰可用於加密 Canary 成品。已新增 `kms:Decrypt` 許可,讓使用者能夠解密 Canary 成品。此解密功能僅限於在 Simple Storage Service (Amazon S3) 儲存貯體內的資源上使用。
`s3:GetBucketLocation` 許可的 `Resource` 範圍已從 `*` 變更為 `arn:aws:s3:::*`。 | 2021 年 9 月 29 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch Synthetics 已將許可新增至 **CloudWatchSyntheticsFullAccess**。
新增 `lambda:UpdateFunctionCode` 許可,以便具有此政策的使用者可以變更 Canary 的執行時間版本。 | 2021 年 7 月 20 日 |
| [ AWSCloudWatchAlarms\_ActionSSMIncidentsServiceRolePolicy](#managed-policies-cloudwatch-incident-manager) – 新受管政策 | CloudWatch 新增了新的受管 IAM 政策,以允許 CloudWatch 在 AWS Systems Manager Incident Manager 中建立事件。 | 2021 年 5 月 10 日 |
| [ CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess) – 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchAutomaticDashboardsAccess** 受管政策。已向此政策新增了 `synthetics:DescribeCanariesLastRun` 許可,讓跨帳戶儀表板使用者能夠查看有關 CloudWatch Synthetics canary 執行的詳細資訊。 | 2021 年 4 月 20 日 |
| CloudWatch 開始追蹤變更 | CloudWatch 開始追蹤其 AWS 受管政策的變更。 | 2021 年 4 月 14 日 |
## CloudWatchFullAccessV2
AWS 最近新增了 **CloudWatchFullAccessV2** 受管 IAM 政策。此政策授予對 CloudWatch 動作和資源的完整存取權,並且還可以更適當地限定授予其他服務 (例如 Amazon SNS 和 Amazon EC2 Auto Scaling) 的許可範圍。我們建議您開始使用此政策,而不是使用 **CloudWatchFullAccess**. AWS plans 在不久的將來棄用 **CloudWatchFullAccess**。
其中包含 `application-signals:` 許可,使用者可以從 CloudWatch 主控台的 Application Signals 下存取所有功能。它包含了部分 `autoscaling:Describe` 許可,以便採取此政策的使用者可以查看與 CloudWatch 警示相關聯的 Auto Scaling 動作。它包含了部分 `sns` 許可,以便採取此政策的使用者可以擷取建立 Amazon SNS 主題,並將其與 CloudWatch 警示建立關聯。包括 IAM 許可,以便採取此政策的使用者可以檢視與 CloudWatch 相關聯的服務連結角色的相關資訊。包含 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。它還包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。
其中包含在 CloudWatch Logs 中支援使用 分析建立 Amazon OpenSearch Service 之付費日誌儀表板的 Amazon OpenSearch Service 許可。它包含 `resource-explorer-2:`政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務。
它包含 `rum`、 `synthetics`和 `xray`許可,讓使用者可以完整存取 CloudWatch Synthetics AWS X-Ray和 CloudWatch RUM,所有這些都在 CloudWatch 服務下。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchFullAccessV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchFullAccessV2.html)。
## CloudWatchFullAccess
**CloudWatchFullAccess** 政策即將棄用。我們建議您停止使用它,並改用 [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)。
## CloudWatchReadOnlyAccess
**CloudWatchReadOnlyAccess** 政策授與對 CloudWatch 及相關可觀測性功能的唯讀存取權。
該政策包含一些 `logs:` 許可,以便採取此政策的使用者可以使用主控台來檢視 CloudWatch Logs 資訊和 CloudWatch Logs Insights 查詢。包括 `autoscaling:Describe*`,以便採取此政策的使用者可以查看與 CloudWatch 警示相關聯的 Auto Scaling 動作。其中包含 `application-signals:` 許可,使用者可以使用 Application Signals 監控其服務的運作狀態。包括 `application-autoscaling:DescribeScalingPolicies`,讓具有此政策的使用者可以存取 Application Auto Scaling 政策的相關資訊。包含 `sns:Get*` 和 `sns:List*`,以便採取此政策的使用者可以擷取有關 Amazon SNS 主題的資訊,這些主題會接收有關 CloudWatch 警示的通知。包含 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。其中包含 `iam:GetRole` 許可,使用者可以檢查 CloudWatch Application Signals 是否已設定。它還包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。它包含檢視遙測規則、集中組態和資源遙測資料的可觀測性管理許可 AWS Organizations。它包含 `cloudwatch:GenerateQuery`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) 查詢字串。它包含 `resource-explorer-2:`政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務。
它包含 `rum`、 `synthetics`和 `xray`許可,讓使用者可以唯讀存取 CloudWatch Synthetics AWS X-Ray和 CloudWatch RUM,所有這些都在 CloudWatch 服務下。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchReadOnlyAccess.html)。
## CloudWatchActionsEC2Access
**CloudWatchActionsEC2Access** 政策授予 CloudWatch 警示和指標唯讀存取權 (除了 Amazon EC2 中繼資料)。其還會授予存取以停止、終止和重新啟動適用於 EC2 執行個體的 API 動作。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchActionsEC2Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchActionsEC2Access.html)。
## CloudWatch-CrossAccountAccess
**CloudWatch-CrossAccountSharingRole** IAM 角色會使用 **CloudWatch-CrossAccountAccess** 受管政策。此角色和政策可讓跨帳戶儀表板的使用者檢視共用儀表板的每個帳戶中的自動儀表板。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatch-CrossAccountAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatch-CrossAccountAccess.html)。
## CloudWatchAutomaticDashboardsAccess
**CloudWatchAutomaticDashboardsAccess** 受管政策授與非 CloudWatch API 存取 CloudWatch 的權限,以便 Lambda 函式等資源可以顯示在 CloudWatch 自動儀表板上。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchAutomaticDashboardsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAutomaticDashboardsAccess.html)。
## CloudWatchAgentServerPolicy
**CloudWatchAgentServerPolicy** 政策可用於連接到 Amazon EC2 執行個體的 IAM 角色,以允許 CloudWatch 代理程式從執行個體讀取資訊並將其寫入 CloudWatch。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html)。
## CloudWatchAgentAdminPolicy
**CloudWatchAgentAdminPolicy** 政策可用於連接到 Amazon EC2 執行個體的 IAM 角色。此政策允許 CloudWatch 代理程式從執行個體讀取資訊並將其寫入 CloudWatch,並將資訊寫入參數存放區。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchAgentAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentAdminPolicy.html)。
## CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
您不得將 ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 連接到 IAM 實體。此政策會連結至名為 **AWSServiceRoleForNetworkFlowMonitor\_Topology** 的服務連結角色。透過這些許可以及收集內部中繼資料資訊 (以提高效率),此服務連結角色會收集資源網路組態的中繼資料,例如描述路由表和閘道,這些資源正是此服務監控的網路流量對應的對象。此中繼資料可讓 Network Flow Monitor 產生資源的拓撲快照。當網路效能下降時,Network Flow Monitor 會使用拓撲來提供網路問題位置的洞察,並協助釐清問題的歸因。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
如需詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
**注意**
您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些許可政策。
您也可以建立自己的自訂 IAM 政策,以允許 CloudWatch 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。
## AWS CloudWatch 跨帳戶可觀測性的 受管 (預先定義) 政策
本節中的政策授予與 CloudWatch 跨帳戶觀察功能相關的許可。如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
### CloudWatchCrossAccountSharingConfiguration
**CloudWatchCrossAccountSharingConfiguration** 政策授予可建立、管理和檢視 Observability Access Manager 連結的存取權,以便在帳戶之間共用 CloudWatch 資源。如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchCrossAccountSharingConfiguration.html)。
### OAMFullAccess
**OAMFullAccess** 政策授予可建立、管理和檢視 Observability Access Manager 接收器和連結的存取權,這些將會用於 CloudWatch 跨帳戶觀察功能。
**OAMFullAccess** 政策本身不允許您跨連結共用觀察功能資料。若要建立連結以共用 CloudWatch 指標,您還需要使用 **CloudWatchFullAccess** 或 **CloudWatchCrossAccountSharingConfiguration**。若要建立連結以共用 CloudWatch Logs 日誌群組,您還需要使用 **CloudWatchLogsFullAccess** 或 **CloudWatchLogsCrossAccountSharingConfiguration**。若要建立連結以共用 X-Ray 追蹤,您還需要使用 **AWSXRayFullAccess** 或 **AWSXRayCrossAccountSharingConfiguration**。
如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [OAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMFullAccess.html)。
### OAMReadOnlyAccess
**OAMReadOnlyAccess** 政策授予 Observability Access Manager 資源的唯讀存取權,這些將會用於 CloudWatch 跨帳戶觀察功能。如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [OAMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMReadOnlyAccess.html)。
## AWS CloudWatch 調查的 受管 (預先定義) 政策
本節中的政策授與同 CloudWatch 調查相關的許可。如需詳細資訊,請參閱[CloudWatch 調查](Investigations.md)。
### AIOpsConsoleAdminPolicy
**AIOpsConsoleAdminPolicy** 政策透過 AWS 主控台授與對所有 CloudWatch 調查動作及其所需許可的完整存取權。此政策還授與對 CloudWatch 調查功能所需之其他服務的 API 的有限存取權。
+ `aiops` 許可授與所有 CloudWatch 調查動作的存取權。
+ `organizations`、`sso`、`identitystore` 和 `sts` 許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。
+ SSM Ops Item 與第三方問題管理系統整合需要 `ssm` 許可。
+ 需要 `iam`許可,以便管理員可以將 IAM 角色傳遞至 `aiops``ssm.integrations`和服務,之後助理會使用該角色來分析 AWS 資源
**重要**
這些許可允許採用此政策的使用者將任何 IAM 角色傳遞至 `aiops` 和 `ssm.integrations` 服務。
+ 允許來自 CloudWatch 調查外服務的 API,這是調查功能所需的。這包括設定 Amazon Q 聊天應用程式的開發人員、 AWS KMS CloudTrail 追蹤和 SSM 第三方問題管理的動作。
+ `q` 許可可整合 Amazon Q,讓使用者透過 Amazon Q 的對話界面與 CloudWatch 調查報告互動和更新。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsConsoleAdminPolicy.html)。
### AIOpsOperatorAccess
**AIOpsOperatorAccess** 政策授與對一組有限 CloudWatch 調查 API 的存取權,包括建立、更新和刪除調查、調查事件和調查資源。
此政策僅提供對調查的存取權。您應該確定,採用此政策的 IAM 主體同時具備讀取 CloudWatch 可觀測性資料的許可,例如指標、SLO 和 CloudWatch Logs 查詢結果。
+ `aiops` 許可允許存取 CloudWatch 調查 API,以建立、更新和刪除調查。
+ `sso-directory`、`sso`、`identitystore` 和 `sts` 許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。
+ SSM Ops Item 與第三方問題管理系統整合需要 `ssm` 許可。
+ `q` 許可可整合 Amazon Q,讓使用者透過 Amazon Q 的對話界面與 CloudWatch 調查報告互動和更新。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)。
### AIOpsReadOnlyAccess
**AIOpsReadOnlyAccess** 政策授與 CloudWatch 調查和其他相關服務的唯讀許可。
+ `aiops` 許可允許存取 CloudWatch 調查 API,以取得、列出和驗證調查群組。
+ `sso` 許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。
+ SSM Ops Item 與第三方問題管理系統整合需要 `ssm` 許可。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AIOpsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsReadOnlyAccess.html)。
### AIOpsAssistantPolicy
**AIOpsAssistantPolicy** 政策是 建議的預設政策 AWS ,可將 指派給您的調查群組所使用的 Amazon AI Operations (AIOps) 角色,讓它能夠在操作事件調查期間分析您的 AWS 資源。此政策不適用於人類使用者。
您可以選擇在建立調查時自動指派政策,也可以手動將政策指派給調查使用的角色。此政策的範圍是根據 CloudWatch 調查在執行調查時分析的資源而定,並且會隨著支援更多資源而更新。如需使用 CloudWatch 調查的服務完整清單,請參閱 [AWS 支援調查的 服務](Investigations-Services.md)。
除了指派 **AIOpsAssistantPolicy** 之外,您也可以選擇將 AWS [general**ReadOnlyAccess**](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html) 指派給助理。這樣做的原因是 **ReadOnlyAccess** 將由 更頻繁地更新, AWS 並具有已發行新 AWS 服務和動作的許可。**AIOpsAssistantPolicy** 亦將針對新動作進行更新,但更新頻率不高。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AIOpsAssistantPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)。
### AIOpsAssistantIncidentReportPolicy
**AIOpsAssistantIncidentReportPolicy** 政策會授予 CloudWatch 調查所需的許可,以從調查資料產生事件報告。
此政策旨在供 CloudWatch 調查使用,以便從調查結果產生自動事件報告。
+ `aiops` 許可允許存取 CloudWatch 調查 APIs,以讀取調查資料和事件、建立和更新事件報告,以及管理構成報告產生基礎的 AI 衍生事實。
若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [AIOpsAssistantIncidentReportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html)。
## AWS CloudWatch Application Signals 的受管 (預先定義) 政策
本節中的政策授與同 CloudWatch Application Signals 相關的許可。如需詳細資訊,請參閱[應用程式訊號](CloudWatch-Application-Monitoring-Sections.md)。
### CloudWatchApplicationSignalsReadOnlyAccess
AWS 已新增 **CloudWatchApplicationSignalsReadOnlyAccess** 受管 IAM 政策。此政策授與對 CloudWatch 主控台中 Application Signals 下使用者可用之動作和資源的唯讀存取權。其中包含 `application-signals:` 政策,使用者可以使用 CloudWatch Application Signals 來檢視、調查和監控其服務的運作狀態。其中包含 `iam:GetRole` 政策,使用者可以擷取 IAM 角色相關資訊。其中包含 `logs:` 政策,與啟動與停止查詢、擷取 Metruc 篩選條件的設定,以及取得查詢結果相關。其中包含 `cloudwatch:` 政策,使用者可以取得 CloudWatch 警示或指標的相關資訊。其中包含 `synthetics:` 政策,使用者可以擷取 Synthetics Canary 執行的相關資訊。其中包含 `rum:` 政策,與執行批次操作、擷取資料和更新 RUM 用戶端的指標定義相關。其中包含 `xray:` 政策,與擷取追蹤摘要相關。它包含 `oam:`政策,讓使用者可以使用 主控台檢視 CloudWatch 跨帳戶可觀測性中來源帳戶共用的資料。它包含 `resource-explorer-2:`政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html)。
### CloudWatchApplicationSignalsFullAccess
AWS 已新增 **CloudWatchApplicationSignalsFullAccess** 受管 IAM 政策。此政策授與對 CloudWatch 主控台中使用者可用之所有動作和資源的存取權。其中包含 `application-signals:` 政策,使用者可以使用 CloudWatch Application Signals 來檢視、調查和監控其服務的運作狀態。它使用 `cloudwatch:` 政策從指標和警示擷取資料。它使用 `logs:` 政策來管理查詢和篩選條件。它使用 `synthetics:` 政策,讓使用者可以擷取 Synthetics Canary 執行的相關資訊。其中包含 `rum:` 政策,與執行批次操作、擷取資料和更新 RUM 用戶端的指標定義相關。其中包含 `xray:` 政策,與擷取追蹤摘要相關。其中包含 `arn:aws:cloudwatch:*:*:alarm:` 政策,使用者可以擷取服務水準目標 (SLO) 警示的相關資訊。其中包含 `iam:` 政策,與管理 IAM 角色相關。它使用 `sns:` 政策來建立、列示和訂閱 Amazon SNS 主題。它包含 `oam:`政策,讓使用者可以使用 主控台檢視 CloudWatch 跨帳戶可觀測性中來源帳戶共用的資料。它包含 `resource-explorer-2:`政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html)。
### CloudWatchLambdaApplicationSignalsExecutionRolePolicy
為 Lambda 工作負載啟用 CloudWatch Application Signals 時,會使用此政策。允許對 X-Ray 以及 CloudWatch Application Signals 所使用之日誌群組進行寫入存取。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLambdaApplicationSignalsExecutionRolePolicy.html)。
## AWS CloudWatch Synthetics 的受管 (預先定義) 政策
**CloudWatchSyntheticsFullAccess** 和 **CloudWatchSyntheticsReadOnlyAccess** AWS 受管政策可供您指派給將管理或使用 CloudWatch Synthetics 的使用者。下列其他政策也是相關的:
+ **AmazonS3ReadOnlyAccess** 和 **CloudWatchReadOnlyAccess** – 這些是讀取 CloudWatch 主控台中所有 Synthetics 資料的必要條件。
+ **AWSLambdaReadOnlyAccess** – 能夠檢視 Canary 使用的原始程式碼。
+ **CloudWatchSyntheticsFullAccess** – 允許您建立 Canary。此外,若要建立和刪除已為其建立新 IAM 角色的 Canary,您需要特定的內嵌政策許可。
**重要**
向使用者授予 `iam:CreateRole`、`iam:DeleteRole`、`iam:CreatePolicy`、`iam:DeletePolicy`、`iam:AttachRolePolicy` 和 `iam:DetachRolePolicy` 許可,該使用者便擁有完整管理存取權,可建立、連接和刪除具有與 `arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*` 和 `arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*` 相符之 ARN 的角色和政策。例如,擁有這些許可的使用者可以建立具有所有資源完整許可的政策,並將該政策連接至符合該 ARN 模式的任何角色。對於您要將這些許可授與到的對象,請務必謹慎。
如需連接政策和授與許可給使用者的資訊,請參閱[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)和[嵌入使用者或角色的內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console)。
### CloudWatchSyntheticsFullAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchSyntheticsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsFullAccess.html)。
### CloudWatchSyntheticsReadOnlyAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchSyntheticsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsReadOnlyAccess.html)。
## AWS Amazon CloudWatch RUM 的 受管 (預先定義) 政策
**AmazonCloudWatchRUMFullAccess** 和 **AmazonCloudWatchRUMReadOnlyAccess** AWS 受管政策可供您指派給將管理或使用 CloudWatch RUM 的使用者。
### AmazonCloudWatchRUMFullAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AmazonCloudWatchRUMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMFullAccess.html)。
### AmazonCloudWatchRUMReadOnlyAccess
**AmazonCloudWatchRUMReadOnlyAccess** 允許對 CloudWatch RUM 進行唯讀管理存取。
+ `synthetics` 許可允許向 RUM 應用程式監視器顯示關聯的 Synthetics Canary
+ `cloudwatch` 許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 指標
+ `cloudwatch alarms` 許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 警示
+ `cloudwatch logs` 許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 日誌
+ `x-ray` 許可允許向 RUM 應用程式監視器顯示關聯的 X-Ray 追蹤區段
+ `rum` 許可允許向 RUM 應用程式監視器顯示關聯的標籤
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AmazonCloudWatchRUMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMReadOnlyAccess.html)。
### AmazonCloudWatchRUMServiceRolePolicy
您無法連接 **AmazonCloudWatchRUMServiceRolePolicy** 至您的 IAM 實體。此政策會連接到服務連結角色,允許 CloudWatch RUM 將監控資料發佈至其他相關 AWS 服務。如需此服務連結角色的詳細資訊,請參閱 [對 CloudWatch RUM 使用服務連結角色](using-service-linked-roles-RUM.md)。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AmazonCloudWatchRUMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMServiceRolePolicy.html)。
## AWS AWS Systems Manager Incident Manager 的 受管政策
**AWSCloudWatchAlarms\_ActionSSMIncidentsServiceRolePolicy** 政策連接至服務連結的角色,可讓 CloudWatch 代表您開始 AWS Systems Manager Incident Manager 中的事件。如需詳細資訊,請參閱[CloudWatch 警示 Systems Manager Incident Manager 動作的服務連結角色許可](using-service-linked-roles.md#service-linked-role-permissions-incident-manager)。
下列政策具有以下許可:
+ ssm-incidents:StartIncident