IAM-Richtlinien für die Verwendung von RUM CloudWatch - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Richtlinien für die Verwendung von RUM CloudWatch

Um CloudWatch RUM vollständig verwalten zu können, müssen Sie als IAM-Benutzer oder als IAM-Rolle angemeldet sein, für die die AmazonCloudWatchRUMFullAccess IAM-Richtlinie gilt. Darüber hinaus benötigen Sie möglicherweise andere Richtlinien oder Berechtigungen:

  • Um einen App-Monitor zu erstellen, der einen neuen Amazon Cognito Cognito-Identitätspool für die Autorisierung erstellt, benötigen Sie die Admin-IAM-Rolle oder die AdministratorAccessIAM-Richtlinie.

  • Um einen App-Monitor zu erstellen, der Daten an CloudWatch Logs sendet, müssen Sie bei einer IAM-Rolle oder -Richtlinie angemeldet sein, die über die folgenden Berechtigungen verfügt:

    {
    "Effect": "Allow",
    "Action": [
        "logs:PutResourcePolicy"
    ],
    "Resource": [
        "*"
    ]
}

  • Um JavaScript Quellkarten in einem App-Monitor zu aktivieren, müssen Sie Ihre Quellzuordnungsdateien in einen Amazon S3 S3-Bucket hochladen. Ihre IAM-Rolle oder -Richtlinie benötigt spezielle Amazon S3 S3-Berechtigungen, die das Erstellen von Amazon S3 S3-Buckets, das Festlegen von Bucket-Richtlinien und das Verwalten von Dateien im Bucket ermöglichen. Aus Sicherheitsgründen sollten Sie diese Berechtigungen auf bestimmte Ressourcen beschränken. Die folgende Beispielrichtlinie schränkt den Zugriff auf Buckets ein, deren Namen enthaltenrum, und verwendet den aws:ResourceAccount Bedingungsschlüssel, um die Berechtigungen nur auf das Hauptkonto zu beschränken.

    {
    "Sid": "AllowS3BucketCreationAndListing",
    "Effect": "Allow",
    "Action": [
        "s3:CreateBucket",
        "s3:ListAllMyBuckets"
    ],
    "Resource": "arn:aws:s3:::*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
},
{
    "Sid": "AllowS3BucketActions",
    "Effect": "Allow",
    "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::*rum*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
},
{
    "Sid": "AllowS3BucketPolicyActions",
    "Effect": "Allow",
    "Action": [
        "s3:PutBucketPolicy",
        "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::*rum*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
},
{
    "Sid": "AllowS3ObjectActions",
    "Effect": "Allow",
    "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:AbortMultipartUpload"
    ],
    "Resource": "arn:aws:s3:::*rum*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}

  • Um Ihre eigenen AWS KMS Schlüssel für die serverseitige Verschlüsselung in Ihrem Quellzuordnungs-Bucket zu verwenden, benötigt Ihre IAM-Rolle oder -Richtlinie bestimmte AWS KMS Berechtigungen, die es ermöglichen, einen Schlüssel zu erstellen, die Schlüsselrichtlinie zu aktualisieren, den AWS KMS Schlüssel mit Amazon S3 zu verwenden und die Verschlüsselungskonfiguration Ihres Amazon S3 S3-Buckets festzulegen. Aus Sicherheitsgründen sollten Sie diese Berechtigungen auf bestimmte Zwecke beschränken. Das folgende Beispiel schränkt den Zugriff auf Schlüssel für eine bestimmte Region und accountId ein und hat ähnliche S3-Einschränkungen wie das obige Beispiel. 

    {
    "Sid": "AllowKMSKeyCreation",
    "Effect": "Allow",
    "Action": [
        "kms:CreateKey",
        "kms:CreateAlias"
    ],
    "Resource": "*"
},
{
    "Sid": "KMSReadPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:ListAliases"
    ],
    "Resource": "*"
},
{
    "Sid": "AllowUpdatingKeyPolicy",
    "Effect": "Allow",
    "Action": [
        "kms:PutKeyPolicy",
        "kms:GetKeyPolicy",
        "kms:ListKeyPolicies"
    ],
    "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*"
},
{
    "Sid": "AllowUseOfKMSKeyForS3",
    "Effect": "Allow",
    "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/*"
},
{
    "Sid": "AllowS3EncryptionConfiguration",
    "Effect": "Allow",
    "Action": [
        "s3:PutEncryptionConfiguration",
        "s3:GetEncryptionConfiguration"
    ],
    "Resource": "arn:aws:s3:::*rum*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}

Anderen Benutzern, die CloudWatch RUM-Daten einsehen, aber keine CloudWatch RUM-Ressourcen erstellen müssen, kann die AmazonCloudWatchRUMReadOnlyAccessRichtlinie gewährt werden.