Políticas de IAM para usar Evidently
Para administrar Cloudwatch Evidently, debe haber iniciado sesión como usuario o rol de IAM que tenga los siguientes permisos:
La política de AmazonCloudWatchEvidentlyFullAccess
La política de ResourceGroupsandTagEditorReadOnlyAccess
Además, para poder crear un proyecto que almacene eventos de evaluación en Amazon S3 o CloudWatch Logs, se necesitan los siguientes permisos:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": [ "*" ] } ] }
Permisos adicionales para la integración de CloudWatch RUM
Además, si tiene la intención de administrar lanzamientos o experimentos de Evidently que se integran con Amazon CloudWatch RUM y utilizan métricas de Cloudwatch RUM para monitorear, necesita la política de AmazonCloudWatchRUMFullAccess. Para crear un rol de IAM para otorgarle al cliente web de CloudWatch RUM permiso para enviar datos a CloudWatch RUM, necesita los siguientes permisos:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*", "arn:aws:iam::*:policy/service-role/CloudWatchRUMEvidentlyPolicy-*" ] } ] }
Permisos de acceso de solo lectura a Evidently
Puede otorgar la política de AmazonCloudWatchEvidentlyReadOnlyAccess para otros usuarios que necesitan ver los datos de Evidently, pero no necesitan crear recursos Evidently.