AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los gestionadores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos de CloudWatch. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
Temas
Ejemplos de políticas basadas en identidades para Amazon CloudWatch
Resolución de problemas de identidad y acceso de Amazon CloudWatch
Políticas administradas (predefinidas) de AWS para CloudWatch
Actualizaciones de CloudWatch para las políticas administradas de AWS
Uso de claves de condición para limitar el acceso a los espacios de nombres de CloudWatch
Uso de claves de condición para limitar las acciones de la alarma
Uso de roles vinculados a un servicio para CloudWatch Application Insights
Políticas administradas de AWS para Información de aplicaciones de Amazon CloudWatch
Público
La forma en que utilice AWS Identity and Access Management (IAM) difiere en función del trabajo que realice en CloudWatch.
Usuario de servicio: si utiliza el servicio de CloudWatch para realizar el trabajo, el administrador le proporciona las credenciales y los permisos necesarios. Es posible que a medida que utilice más características de CloudWatch para realizar su trabajo, necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarle a solicitar los permisos correctos al administrador. Si no puede acceder a una característica en CloudWatch, consulte Resolución de problemas de identidad y acceso de Amazon CloudWatch.
Administrador de servicio: si está a cargo de los recursos de CloudWatch en la empresa, probablemente tenga acceso completo a CloudWatch. Su trabajo consiste en determinar a qué características y recursos de CloudWatch deben acceder los usuarios del servicio. Luego, debe enviar solicitudes a su gestionador de IAM para cambiar los permisos de los usuarios de su servicio. Revise la información de esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar IAM con CloudWatch, consulte Cómo funciona Amazon CloudWatch con IAM.
Administrador de IAM: si es un administrador de IAM, es posible que desee obtener información sobre cómo escribir políticas para administrar el acceso a CloudWatch. Para consultar ejemplos de políticas basadas en identidad de CloudWatch que puede utilizar en IAM, consulte Ejemplos de políticas basadas en identidades para Amazon CloudWatch.
Autenticación con identidades
La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe estar autenticado (haber iniciado sesión en AWS) como Usuario raíz de la cuenta de AWS, como un usuario de IAM o asumiendo un rol de IAM.
Puede iniciar sesión en AWS como una identidad federada mediante las credenciales proporcionadas a través de una fuente de identidad. AWS IAM Identity Center Los usuarios (del IAM Identity Center), la autenticación de inicio de sesión único de su empresa y sus credenciales de Google o Facebook son ejemplos de identidades federadas. Al iniciar sesión como una identidad federada, su gestionador habrá configurado previamente la federación de identidades mediante roles de IAM. Cuando accede a AWS mediante la federación, está asumiendo un rol de forma indirecta.
Según el tipo de usuario que sea, puede iniciar sesión en la AWS Management Console o en el portal de acceso de AWS. Para obtener más información sobre el inicio de sesión en AWS, consulta Cómo iniciar sesión en su Cuenta de AWS en la Guía del usuario de AWS Sign-In.
Si accede a AWS mediante programación, AWS proporciona un kit de desarrollo de software (SDK) y una interfaz de la línea de comandos (CLI) para firmar criptográficamente las solicitudes mediante el uso de las credenciales. Si no usa las herramientas de AWS, debe firmar las solicitudes. Para obtener más información sobre cómo usar el método recomendado para la firma de solicitudes personalmente, consulte AWS Signature Version 4 para solicitudes de API en la Guía del usuario de IAM.
Independientemente del método de autenticación que use, es posible que deba proporcionar información de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor (MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Multi-factor authentication en la Guía del usuario de AWS IAM Identity Center y Autenticación multifactor de AWS en IAM en la Guía del usuario de IAM.
Usuario raíz de Cuenta de AWS
Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utiliza el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulta Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.
Identidad federada
Como práctica recomendada, solicite que los usuarios humanos, incluidos los que requieren acceso de gestionador, utilicen la federación con un proveedor de identidades para acceder a los Servicios de AWS utilizando credenciales temporales.
Una identidad federada es un usuario del directorio de usuarios de su empresa, un proveedor de identidad web, el AWS Directory Service, el directorio del Identity Center, o cualquier usuario que acceda a Servicios de AWS utilizando credenciales proporcionadas a través de un origen de identidad. Cuando identidades federadas acceden a Cuentas de AWS, asumen roles y los roles proporcionan credenciales temporales.
Para una administración de acceso centralizada, le recomendamos que utiliza AWS IAM Identity Center. Puede crear usuarios y grupos en el IAM Identity Center o puede conectarse y sincronizar con un conjunto de usuarios y grupos de su propia fuente de identidad para usarlos en todas sus aplicaciones y Cuentas de AWS. Para obtener más información, consulte ¿Qué es IAM Identity Center? en la Guía del usuario de AWS IAM Identity Center.
Usuarios y grupos de IAM
Un usuario de IAM es una identidad de la Cuenta de AWSque dispone de permisos específicos para una sola persona o aplicación. Siempre que sea posible, recomendamos emplear credenciales temporales, en lugar de crear usuarios de IAM que tengan credenciales de larga duración como contraseñas y claves de acceso. No obstante, si tiene casos de uso específicos que requieran credenciales de larga duración con usuarios de IAM, recomendamos rotar las claves de acceso. Para obtener más información, consulte Rotar las claves de acceso periódicamente para casos de uso que requieran credenciales de larga duración en la Guía del usuario de IAM.
Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesión como grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los grupos facilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener un grupo cuyo nombre fuese IAMAdmins y conceder permisos a dicho grupo para administrar los recursos de IAM.
Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación, pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienen credenciales de larga duración permanentes; no obstante, los roles proporcionan credenciales temporales. Para obtener más información, consulte Casos de uso para usuarios de IAM en la Guía del usuario de IAM.
Roles de IAM
Un rol de IAM es una identidad de la Cuenta de AWS que dispone de permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada. Para asumir temporalmente una función de IAM en la AWS Management Console, puede cambiar de un rol de usuario a un rol de IAM (consola). Puede asumir un rol llamando a una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para obtener más información sobre los métodos para el uso de roles, consulte Métodos para asumir un rol en la Guía del usuario de IAM.
Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:
-
Acceso de usuario federado: para asignar permisos a una identidad federada, puede crear un rol y definir sus permisos. Cuando se autentica una identidad federada, se asocia la identidad al rol y se le conceden los permisos define el rol. Para obtener información acerca de roles de federación, consulte Crear un rol para un proveedor de identidad de terceros (federación) en la Guía de usuario de IAM. Si utiliza el IAM Identity Center, debe configurar un conjunto de permisos. IAM Identity Center correlaciona el conjunto de permisos con un rol en IAM para controlar a qué puede acceder las identidades después de autenticarse. Para obtener información acerca de los conjuntos de permisos, consulta Conjuntos de permisos en la Guía del usuario de AWS IAM Identity Center.
-
Permisos de usuario de IAM temporales: un usuario de IAM puede asumir un rol de IAM para recibir temporalmente permisos distintos que le permitan realizar una tarea concreta.
-
Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal de confianza) de otra cuenta acceda a los recursos de la cuenta. Los roles son la forma principal de conceder acceso entre cuentas. No obstante, con algunos Servicios de AWS se puede asociar una política directamente a un recurso (en lugar de utilizar un rol como intermediario). Para obtener información acerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulta Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.
-
Acceso entre servicios: algunos Servicios de AWS utilizan características de otros Servicios de AWS. Por ejemplo, cuando realiza una llamada en un servicio, es común que ese servicio ejecute aplicaciones en Amazon EC2 o almacene objetos en Amazon S3. Es posible que un servicio haga esto usando los permisos de la entidad principal, usando un rol de servicio o usando un rol vinculado a servicios.
-
Reenviar sesiones de acceso (FAS): cuando utiliza un rol o un usuario de IAM para llevar a cabo las acciones en AWS, se le considera una entidad principal. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. FAS utiliza los permisos de la entidad principal para llamar a un Servicio de AWS, combinados con el Servicio de AWS solicitante para realizar solicitudes a servicios posteriores. Las solicitudes de FAS solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros Servicios de AWS o recursos para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulta Reenviar sesiones de acceso.
-
Rol de servicio: un rol de servicio es un rol de IAM que adopta un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.
-
Rol vinculado a los servicios: un rol vinculado a servicios es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
-
-
Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrar credenciales temporales para las aplicaciones que se ejecuten en una instancia de EC2 y realicen solicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Administración de acceso mediante políticas
Para controlar el acceso en AWS, se crean políticas y se adjuntan a identidades o recursos de AWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando una entidad principal (sesión de rol, usuario o usuario raíz) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre la estructura y el contenido de los documentos de política JSON, consulta Información general de políticas JSON en la Guía del usuario de IAM.
Los gestionadores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un gestionador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el gestionador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.
Las políticas de IAM definen permisos para una acción independientemente del método que se utiliza para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción iam:GetRole. Un usuario con dicha política puede obtener información del usuario de la AWS Management Console, la AWS CLI o la API de AWS.
Políticas basadas en identidades
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Definición de permisos de IAM personalizados con políticas administradas por el cliente en la Guía del usuario de IAM.
Las políticas basadas en identidades pueden clasificarse además como políticas insertadas o políticas gestionadas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las políticas gestionadas son políticas independientes que puede adjuntar a varios usuarios, grupos y roles de su Cuenta de AWS. Las políticas gestionadas incluyen las políticas gestionadas de AWS y las políticas gestionadas por el cliente. Para obtener más información sobre cómo elegir una política administrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas en la Guía del usuario de IAM.
Políticas basadas en recursos
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los gestionadores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos. Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se puede utilizar políticas de IAM gestionadas de AWS en una política basada en recursos.
Listas de control de acceso (ACL)
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener más información sobre las ACL, consulta Información general de Lista de control de acceso (ACL) en la Guía para desarrolladores de Amazon Simple Storage Service.
Otros tipos de políticas
AWS admite otros tipos de políticas adicionales menos frecuentes. Estos tipos de políticas pueden establecer el máximo de permisos que los tipos de políticas más frecuentes le conceden.
-
Límites de permisos: un límite de permisos es una característica avanzada que le permite establecer los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuario o rol de IAM). Puede establecer un límite de permisos para una entidad. Los permisos resultantes son la intersección de las políticas basadas en la identidad de la entidad y los límites de permisos. Las políticas basadas en recursos que especifiquen el usuario o rol en el campo
Principalno estarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre los límites de los permisos, consulta Límites de permisos para las entidades de IAM en la Guía del usuario de IAM. -
Políticas de control de servicio (SCP): las SCP son políticas de JSON que especifican los permisos máximos de una organización o una unidad organizativa en AWS Organizations. AWS Organizations es un servicio que le permite agrupar y administrar de manera centralizada varias Cuentas de AWS que posea su empresa. Si habilita todas las características en una empresa, entonces podrá aplicar políticas de control de servicio (SCP) a una o todas sus cuentas. Una SCP limita los permisos para las entidades de las cuentas de miembro, incluido cada Usuario raíz de la cuenta de AWS. Para obtener más información acerca de SCP y Organizations, consulta Políticas de control de servicios en la Guía del usuario de AWS Organizations.
-
Políticas de control de recursos (RCP): las RCP son políticas JSON que permiten establecer los permisos máximos disponibles para los recursos de las cuentas sin actualizar las políticas de IAM asociadas a cada recurso que posea. La RCP limita los permisos de los recursos en las cuentas de miembros y puede afectar a los permisos efectivos de las identidades, incluidos los Usuario raíz de la cuenta de AWS, independientemente de si pertenecen a su organización. Para obtener más información sobre Organizations y RCP, incluida una lista de los Servicios de AWS que admiten RCP, consulte Políticas de control de recursos (RCP) en la Guía del usuario de AWS Organizations.
-
Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión. Los permisos también puede proceder de una política en función de recursos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información, consulte Políticas de sesión en la Guía del usuario de IAM.
Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuando hay varios tipos de políticas implicados, consulta Lógica de evaluación de políticas en la Guía del usuario de IAM.
Políticas administradas (predefinidas) de AWS para CloudWatch
AWS aborda muchos casos de uso comunes dando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
Las siguientes políticas administradas de AWS, que se pueden adjuntar a los usuarios de la cuenta, son específicas de CloudWatch:
Temas
Políticas administradas (predefinidas) de AWS para la observabilidad entre cuentas de CloudWatch
Políticas (predefinidas) administradas de AWS para investigaciones operativas de Amazon Q Developer
Políticas administradas (predefinidas) de AWS para CloudWatch Application Signals
Políticas administradas (predefinidas) de AWS para CloudWatch Synthetics
Políticas administradas (predefinidas) de AWS para Amazon CloudWatch RUM
Políticas administradas (predefinidas) de AWS para CloudWatch Evidently
Política administrada de AWS para Systems Manager Incident Manager de AWS
CloudWatchFullAccessV2
AWS recientemente agregó la política de IAM administrada de CloudWatchFullAccessV2. Esta política otorga acceso total a las acciones y los recursos de CloudWatch y, al mismo tiempo, delimita más adecuadamente los permisos concedidos a otros servicios, como Amazon SNS y Amazon EC2 Auto Scaling. Le recomendamos que comience a usar esta política en lugar de CloudWatchFullAccess.AWS planea dejar obsoleto CloudWatchFullAccess en un futuro próximo.
Incluye permisos de application-signals: para que los usuarios puedan acceder a todas las funciones desde la consola de CloudWatch en Application Signals. Incluye algunos permisos de autoscaling:Describe para que los usuarios con esta política puedan ver las acciones de escalado automático asociadas a las alarmas de CloudWatch. Incluye algunos permisos de sns para que los usuarios con esta política puedan recuperar temas de Amazon SNS creados y asociarlos a las alarmas de CloudWatch. Incluye permisos de IAM para que los usuarios con esta política puedan ver información sobre las funciones vinculadas a servicios asociados a CloudWatch. Incluye los permisos de oam:ListSinks y oam:ListAttachedLinks para que los usuarios con esta política puedan usar la consola para ver los datos compartidos desde las cuentas de origen en la observabilidad entre cuentas de CloudWatch.
Incluye permisos de Amazon OpenSearch Service para admitir los paneles de registros a la venta en Registros de CloudWatch, que se crean con análisis de Amazon OpenSearch Service.
Incluye rum, synthetics y permisos de xray para que los usuarios puedan tener acceso completo a CloudWatch Synthetics, AWS X-Ray y CloudWatch RUM, todos ellos bajo el servicio de CloudWatch.
Los contenidos de CloudWatchFullAccessV2 son los siguientes:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchFullAccessPermissions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingPolicies",
"application-signals:*",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"cloudwatch:*",
"logs:*",
"sns:CreateTopic",
"sns:ListSubscriptions",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics",
"sns:Subscribe",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"oam:ListSinks",
"rum:*",
"synthetics:*",
"xray:*",
"opensearch:ApplicationAccessAll",
"iam:ListRoles",
"iam:ListUsers",
"aoss:BatchGetCollection",
"aoss:BatchGetLifecyclePolicy",
"es:ListApplications"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsServiceLinkedRolePermissions",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com"
}
}
},
{
"Sid": "EventsServicePermissions",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "events.amazonaws.com"
}
}
},
{
"Sid": "OAMReadPermissions",
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
},
{
"Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "opensearchservice.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "observability.aoss.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsCollectionRequestAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsApplicationRequestAccess",
"Effect": "Allow",
"Action": [
"es:CreateApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsCollectionResourceAccess",
"Effect": "Allow",
"Action": [
"aoss:DeleteCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsApplicationResourceAccess",
"Effect": "Allow",
"Action": [
"es:UpdateApplication",
"es:GetApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsCollectionPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateSecurityPolicy",
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetAccessPolicy",
"aoss:GetSecurityPolicy",
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "logs-collection-*"
}
}
},
{
"Sid": "CloudWatchLogsIndexPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:CreateLifecyclePolicy",
"aoss:DeleteLifecyclePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:index": "logs-collection-*"
}
}
},
{
"Sid": "CloudWatchLogsStartDirectQueryAccess",
"Effect": "Allow",
"Action": [
"opensearch:StartDirectQuery"
],
"Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*"
},
{
"Sid": "CloudWatchLogsDQSRequestQueryAccess",
"Effect": "Allow",
"Action": [
"es:AddDirectQueryDataSource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsDQSResourceQueryAccess",
"Effect": "Allow",
"Action": [
"es:GetDirectQueryDataSource",
"es:DeleteDirectQueryDataSource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsPassRoleAccess",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "directquery.opensearchservice.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAossTagsAccess",
"Effect": "Allow",
"Action": [
"aoss:TagResource",
"es:AddTags"
],
"Resource": "arn:aws:aoss:*:*:collection/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsApplicationTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:application/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsDataSourceTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:datasource/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
}
]
}CloudWatchFullAccess
La política CloudWatchFullAccess está en vías de quedar obsoleta. Le recomendamos que deje de usarla y utilice CloudWatchFullAccessV2 en su lugar.
Los contenidos de CloudWatchFullAccess son los siguientes:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:Describe*",
"cloudwatch:*",
"logs:*",
"sns:*",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"oam:ListSinks",
"opensearch:ApplicationAccessAll",
"iam:ListRoles",
"iam:ListUsers",
"aoss:BatchGetCollection",
"aoss:BatchGetLifecyclePolicy",
"es:ListApplications"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "events.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
},
{
"Sid": "CloudWatchLogsOpenSearchCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "opensearchservice.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/*/AWSServiceRoleForAmazonOpenSearchServerless",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "observability.aoss.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsCollectionRequestAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsApplicationRequestAccess",
"Effect": "Allow",
"Action": [
"es:CreateApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsCollectionResourceAccess",
"Effect": "Allow",
"Action": [
"aoss:DeleteCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsApplicationResourceAccess",
"Effect": "Allow",
"Action": [
"es:UpdateApplication",
"es:GetApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsCollectionPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateSecurityPolicy",
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetAccessPolicy",
"aoss:GetSecurityPolicy",
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "logs-collection-*"
}
}
},
{
"Sid": "CloudWatchLogsIndexPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:CreateLifecyclePolicy",
"aoss:DeleteLifecyclePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:index": "logs-collection-*"
}
}
},
{
"Sid": "CloudWatchLogsStartDirectQueryAccess",
"Effect": "Allow",
"Action": [
"opensearch:StartDirectQuery"
],
"Resource": "arn:aws:opensearch:*:*:datasource/logs_datasource_*"
},
{
"Sid": "CloudWatchLogsDQSRequestQueryAccess",
"Effect": "Allow",
"Action": [
"es:AddDirectQueryDataSource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsDQSResourceQueryAccess",
"Effect": "Allow",
"Action": [
"es:GetDirectQueryDataSource",
"es:DeleteDirectQueryDataSource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsPassRoleAccess",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "directquery.opensearchservice.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAossTagsAccess",
"Effect": "Allow",
"Action": [
"aoss:TagResource",
"es:AddTags"
],
"Resource": "arn:aws:aoss:*:*:collection/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsApplicationTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:application/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsDataSourceTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:datasource/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
}
]
}CloudWatchReadOnlyAccess
La política CloudWatchReadOnlyAccess concede acceso de solo lectura a CloudWatch.
La política incluye algunos permisos de logs:, para que los usuarios con esta política puedan usar la consola para ver la información de los Registros de CloudWatch y las consultas de Información de registros de CloudWatch. Incluye autoscaling:Describe*, para que los usuarios con esta política puedan ver las acciones de escalado automático asociadas a las alarmas de CloudWatch. Incluye los permisos de application-signals: para que los usuarios puedan usar Application Signals para supervisar el estado de sus servicios. Incluye application-autoscaling:DescribeScalingPolicies, para que los usuarios con esta política puedan acceder a la información sobre las políticas de escalado automático de la aplicación. Incluye sns:Get* y sns:List*, para que los usuarios con esta política puedan recuperar información sobre los temas de Amazon SNS que reciben notificaciones sobre las alarmas de CloudWatch. Incluye los permisos de oam:ListSinks y oam:ListAttachedLinks, para que los usuarios con esta política puedan usar la consola para ver los datos compartidos desde las cuentas de origen en la observabilidad entre cuentas de CloudWatch. Incluye los permisos de iam:GetRole para que los usuarios puedan comprobar si se ha configurado CloudWatch Application Signals.
Incluye rum, synthetics y permisos de xray para que los usuarios puedan tener acceso solo de lectura a CloudWatch Synthetics, AWS X-Ray y CloudWatch RUM, todos ellos bajo el servicio de CloudWatch.
A continuación se detalla el contenido de la política CloudWatchReadOnlyAccess:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchReadOnlyAccessPermissions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingPolicies",
"application-signals:BatchGet*",
"application-signals:Get*",
"application-signals:List*",
"autoscaling:Describe*",
"cloudwatch:BatchGet*",
"cloudwatch:Describe*",
"cloudwatch:GenerateQuery",
"cloudwatch:Get*",
"cloudwatch:List*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:Describe*",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"oam:ListSinks",
"sns:Get*",
"sns:List*",
"rum:BatchGet*",
"rum:Get*",
"rum:List*",
"synthetics:Describe*",
"synthetics:Get*",
"synthetics:List*",
"xray:BatchGet*",
"xray:Get*",
"xray:List*",
"xray:StartTraceRetrieval",
"xray:CancelTraceRetrieval"
],
"Resource": "*"
},
{
"Sid": "OAMReadPermissions",
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
},
{
"Sid": "CloudWatchReadOnlyGetRolePermissions",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
}
]
}CloudWatchActionsEC2Access
La política CloudWatchActionsEC2Access concede acceso de solo lectura a alarmas y métricas de CloudWatch, además de a los metadatos de Amazon EC2. Concede acceso a las acciones de la API de detener, terminar y reiniciar para instancias EC2.
A continuación se detalla el contenido de la política CloudWatchActionsEC2Access:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:Describe*",
"ec2:Describe*",
"ec2:RebootInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": "*"
}
]
}CloudWatch-CrossAccountAccess
El rol de IAM CloudWatch-CrossAccountSharingRole utiliza la política administrada CloudWatch-CrossAccountAccess. Este rol y política permiten a los usuarios de paneles de cuentas cruzadas visualizar paneles automáticos en cada cuenta que comparta paneles.
A continuación se detalla el contenido de CloudWatch-CrossAccountAccess:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/CloudWatch-CrossAccountSharing*"
],
"Effect": "Allow"
}
]
}CloudWatchAutomaticDashboardsAccess
La política administrada CloudWatchAutomaticDashboardsAccess concede acceso a CloudWatch a las API que no son de CloudWatch, para que recursos como las funciones de Lambda se puedan mostrar en paneles automáticos de CloudWatch.
A continuación se detalla el contenido de CloudWatchAutomaticDashboardsAccess:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"cloudfront:GetDistribution",
"cloudfront:ListDistributions",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:DescribeClusters",
"ecs:DescribeContainerInstances",
"ecs:ListClusters",
"ecs:ListContainerInstances",
"ecs:ListServices",
"elasticache:DescribeCacheClusters",
"elasticbeanstalk:DescribeEnvironments",
"elasticfilesystem:DescribeFileSystems",
"elasticloadbalancing:DescribeLoadBalancers",
"kinesis:DescribeStream",
"kinesis:ListStreams",
"lambda:GetFunction",
"lambda:ListFunctions",
"rds:DescribeDBClusters",
"rds:DescribeDBInstances",
"resource-groups:ListGroupResources",
"resource-groups:ListGroups",
"route53:GetHealthCheck",
"route53:ListHealthChecks",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sns:ListTopics",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ListQueues",
"synthetics:DescribeCanariesLastRun",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"apigateway:GET"
],
"Effect": "Allow",
"Resource": [
"arn:aws:apigateway:*::/restapis*"
]
}
]
CloudWatchAgentServerPolicy
La política CloudWatchAgentServerPolicy se puede utilizar en roles de IAM adjuntados a instancias de Amazon EC2 a fin de permitir que el agente de CloudWatch lea información de la instancia y la registre en CloudWatch. El contenido es el siguiente.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CWACloudWatchServerPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ec2:DescribeVolumes",
"ec2:DescribeTags",
"logs:PutLogEvents",
"logs:PutRetentionPolicy",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": "*"
},
{
"Sid": "CWASSMServerPermissions",
"Effect": "Allow",
"Action": [
"ssm:GetParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*"
}
]
}CloudWatchAgentAdminPolicy
La política CloudWatchAgentAdminPolicy se puede utilizar en funciones de IAM adjuntadas a instancias de Amazon EC2. Esta política le permite al agente de CloudWatch leer información de la instancia y registrarla en CloudWatch, así como registrar información en el almacén de parámetros. El contenido es el siguiente.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CWACloudWatchPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ec2:DescribeTags",
"logs:PutLogEvents",
"logs:PutRetentionPolicy",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": "*"
},
{
"Sid": "CWASSMPermissions",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*"
}
]
}nota
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de CloudWatch. Puede asociar estas políticas personalizadas a los grupos o usuarios de IAM que requieran esos permisos.
Políticas administradas (predefinidas) de AWS para la observabilidad entre cuentas de CloudWatch
Las políticas de esta sección otorgan permisos relacionados con la observabilidad entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch.
CloudWatchCrossAccountSharingConfiguration
La política de CloudWatchCrossAccountSharingConfiguration permite crear, administrar y ver los enlaces de Observability Access Manager para compartir los recursos de CloudWatch entre cuentas. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. El contenido es el siguiente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:Link",
"oam:ListLinks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
}
]
}OAMFullAccess
La política OAMFullAccess otorga acceso para crear, administrar y ver los sumideros y enlaces de Observability Access Manager, que se utilizan para la observabilidad entre cuentas de CloudWatch.
La política OAMFullAccess por sí sola no permite compartir datos de observabilidad entre enlaces. Para crear un enlace para compartir las métricas de CloudWatch, también necesita CloudWatchFullAccess o CloudWatchCrossAccountSharingConfiguration. Para crear un enlace para compartir los grupos de registro de CloudWatch Logs, también necesita CloudWatchLogsFullAccess o CloudWatchLogsCrossAccountSharingConfiguration. Para crear un enlace para compartir los seguimientos de X-Ray, también necesita AWSXRayFullAccess o AWSXRayCrossAccountSharingConfiguration.
Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. El contenido es el siguiente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oam:*"
],
"Resource": "*"
}
]
}OAMReadOnlyAccess
La política OAMReadOnlyAccess otorga acceso de solo lectura a los recursos de Observability Access Manager, que se utilizan para la observabilidad entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. El contenido es el siguiente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oam:Get*",
"oam:List*"
],
"Resource": "*"
}
]
}Políticas (predefinidas) administradas de AWS para investigaciones operativas de Amazon Q Developer
Las políticas de esta sección conceden permisos relacionados con las investigaciones operativas de Amazon Q Developer. Para obtener más información, consulte Investigaciones operativas de Amazon Q Developer (versión preliminar).
AIOpsConsoleAdminPolicy
La política AIOpsConsoleAdminPolicy otorga acceso total a todas las acciones de investigaciones operativas de Amazon Q Developer y a los permisos necesarios a través de la consola de AWS. Esta política también otorga acceso limitado a las API de otros servicios necesarias para la funcionalidad de investigaciones operativas de Amazon Q Developer.
Los permisos
aiopsotorgan acceso a todas las acciones de investigaciones operativas de Amazon Q Developer.Los permisos
organizations,sso,identitystoreystspermiten llevar a cabo las acciones necesarias para la administración de IAM Identity Center, lo que facilita las sesiones con reconocimiento de identidad.Los permisos
ssmson necesarios para la integración de SSM Ops Item con la administración de problemas de terceros.Los permisos
iamson necesarios para que los administradores puedan transferir los roles de IAM a los serviciosaiopsyssm.integrations; posteriormente, el asistente utiliza ese rol para analizar los recursos de AWSimportante
Estos permisos permiten a los usuarios con esta política transferir cualquier rol de IAM a los servicios
aiopsyssm.integrations.Esto permite que las API de servicios ajenos a Amazon Q Developer lleven a cabo investigaciones operativas, que son necesarias para la funcionalidad de la característica de investigación. Estas incluyen acciones para configurar Amazon Q Developer in chat applications, AWS KMS, registros de seguimiento de CloudTrail y la administración de problemas de terceros en SSM.
El siguiente es el contenido de la política AIOpsConsoleAdminPolicy.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AIOpsAdmin",
"Effect": "Allow",
"Action": [
"aiops:*"
],
"Resource": "*"
},
{
"Sid": "OrganizationsAccess",
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Sid": "SSOApplicationManagement",
"Effect": "Allow",
"Action": [
"sso:PutApplicationAccessScope",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAuthenticationMethod",
"sso:DeleteApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "aiops.amazonaws.com",
"aws:ResourceTag/ManagedByAmazonAIOperations": "true"
}
}
},
{
"Sid": "SSOApplicationTagManagement",
"Effect": "Allow",
"Action": [
"sso:CreateApplication",
"sso:TagResource"
],
"Resource": [
"arn:aws:sso:::instance/*",
"arn:aws:sso::aws:applicationProvider/aiops"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "aiops.amazonaws.com",
"aws:RequestTag/ManagedByAmazonAIOperations": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"ManagedByAmazonAIOperations"
]
}
}
},
{
"Sid": "SSOTagManagement",
"Effect": "Allow",
"Action": [
"sso:TagResource"
],
"Resource": "arn:aws:sso::*:application/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "aiops.amazonaws.com",
"aws:ResourceTag/ManagedByAmazonAIOperations": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"ManagedByAmazonAIOperations"
]
}
}
},
{
"Sid": "SSOManagementAccess",
"Effect": "Allow",
"Action": [
"identitystore:DescribeUser",
"sso:ListApplications",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:DescribeInstance",
"sso:GetSSOStatus",
"sso-directory:DescribeUsers"
],
"Resource": "*"
},
{
"Sid": "AllowSTSContextSetting",
"Effect": "Allow",
"Action": [
"sts:SetContext"
],
"Resource": "arn:aws:sts::*:self"
},
{
"Sid": "IdentityPropagationAccess",
"Effect": "Allow",
"Action": [
"signin:ListTrustedIdentityPropagationApplicationsForConsole"
],
"Resource": "*"
},
{
"Sid": "CloudtrailAccess",
"Effect": "Allow",
"Action": [
"cloudtrail:ListTrails",
"cloudtrail:DescribeTrails",
"cloudtrail:ListEventDataStores"
],
"Resource": "*"
},
{
"Sid": "KMSAccess",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "SSMIntegrationSecretsManagerAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy",
"secretsmanager:UpdateSecret",
"secretsmanager:DeleteSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:aws/ssm/3p/*"
},
{
"Sid": "SSMIntegrationAccess",
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:*:*:servicesetting/integrations/*"
},
{
"Sid": "SSMIntegrationCreatePolicy",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "arn:aws:iam::*:policy/service-role/AWSServiceRoleSSMIntegrationsPolicy*"
},
{
"Sid": "ChatbotConfigurations",
"Effect": "Allow",
"Action": [
"chatbot:DescribeChimeWebhookConfigurations",
"chatbot:DescribeSlackWorkspaces",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:ListMicrosoftTeamsChannelConfigurations",
"chatbot:ListMicrosoftTeamsConfiguredTeams"
],
"Resource": "*"
},
{
"Sid": "IAMPassRoleToAIOps",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "aiops.amazonaws.com"
}
}
},
{
"Sid": "IAMListRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "TagBoundaryPermission",
"Effect": "Allow",
"Action": [
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "IAMPassRoleToSSMIntegration",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.integrations.amazonaws.com"
},
"ArnEquals": {
"iam:AssociatedResourceArn": "arn:aws:aiops:*:*:investigation-group/*"
}
}
},
{
"Sid": "SSMOpsItemAccess",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "arn:*:ssm:*:*:opsitem/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Integration": "CloudWatch",
"aws:ResourceTag/Integration": "CloudWatch"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"Integration"
]
}
}
}
]
}AIOpsOperatorAccess
La política AIOpsOperatorAccess otorga acceso a un conjunto limitado de API de investigaciones operativas de Amazon Q Developer, lo que incluye la creación, actualización y eliminación de investigaciones, eventos de investigación y recursos de investigación.
Esta política solo proporciona acceso a las investigaciones. Debe asegurarse de que las entidades principales de IAM con esta política también tengan permisos para leer los datos de observabilidad de CloudWatch, como las métricas, los SLO y los resultados de las consultas de Registros de CloudWatch.
Los permisos
aiopspermiten el acceso a las API de investigaciones operativas de Amazon Q Developer para crear, actualizar y eliminar investigaciones.Los permisos
sso,identitystoreystspermiten llevar a cabo las acciones necesarias para la administración de IAM Identity Center, lo que facilita las sesiones con reconocimiento de identidad.Los permisos
ssmson necesarios para la integración de SSM Ops Item con la administración de problemas de terceros.
El siguiente es el contenido de la política AIOpsOperatorAccess.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AIOpsOperatorAccess",
"Effect": "Allow",
"Action": [
"aiops:CreateInvestigation",
"aiops:CreateInvestigationEvent",
"aiops:CreateInvestigationResource",
"aiops:DeleteInvestigation",
"aiops:Get*",
"aiops:List*",
"aiops:UpdateInvestigation",
"aiops:UpdateInvestigationEvent"
],
"Resource": "*"
},
{
"Sid": "SSOManagementAccess",
"Effect": "Allow",
"Action": [
"identitystore:DescribeUser",
"sso:DescribeInstance",
"sso-directory:DescribeUsers"
],
"Resource": "*"
},
{
"Sid": "AllowSTSContextSetting",
"Effect": "Allow",
"Action": [
"sts:SetContext"
],
"Resource": "arn:aws:sts::*:self"
},
{
"Sid": "SSMSettingServiceIntegration",
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "arn:aws:ssm:*:*:servicesetting/integrations/*"
},
{
"Sid": "SSMIntegrationTagAccess",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource",
"ssm:CreateOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Integration": [
"CloudWatch"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "Integration"
}
}
},
{
"Sid": "SSMOpsItemIntegration",
"Effect": "Allow",
"Action": [
"ssm:DeleteOpsItem",
"ssm:UpdateOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Integration": [
"CloudWatch"
]
}
}
},
{
"Sid": "SSMTagOperation",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Integration": [
"CloudWatch"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "Integration"
}
}
},
{
"Sid": "SSMOpsSummaryIntegration",
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary"
],
"Resource": "*"
}
]
}AIOpsReadOnlyAccess
La política AIOpsReadOnlyAccess concede permisos de solo lectura para investigaciones de Amazon Q y otros servicios relacionados.
El siguiente es el contenido de la política AIOpsReadOnlyAccess.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AIOpsReadOnlyAccess",
"Effect": "Allow",
"Action": [
"aiops:Get*",
"aiops:List*"
],
"Resource": "*"
},
{
"Sid": "SSOManagementAccess",
"Effect": "Allow",
"Action": [
"identitystore:DescribeUser",
"sso:DescribeInstance",
"sso-directory:DescribeUsers"
],
"Resource": "*"
}
]
}Política de IAM para las investigaciones operativas de Amazon Q Developer (AIOpsAssistantPolicy)
La política AIOpsAssistantPolicy de esta sección no debe asignarse a usuarios ni administradores. En su lugar, asigne AIOpsAssistantPolicy a Amazon Q Developer para que pueda analizar los recursos de AWS durante las investigaciones de eventos operativos. El alcance de esta política se basa en los recursos que Amazon Q Developer admite durante las investigaciones y se actualizará a medida que se admitan más recursos.
También puede elegir asignar la política ReadOnlyAccess general de AWS al asistente, además de asignarle AIOpsAssistantPolicy. El motivo para ello es que AWS actualizará ReadOnlyAccess con más frecuencia, cuando se publiquen permisos para los nuevos servicios y acciones de AWS. AIOpsAssistantPolicy también se actualizará para incluir nuevas acciones, pero no con tanta frecuencia.
El siguiente es el contenido de la política AIOpsAssistantPolicy.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AIOPSServiceAccess",
"Effect": "Allow",
"Action": [
"access-analyzer:GetAnalyzer",
"access-analyzer:List*",
"acm-pca:Describe*",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:GetCertificateAuthorityCsr",
"acm-pca:List*",
"acm:DescribeCertificate",
"acm:GetAccountConfiguration",
"airflow:List*",
"amplify:GetApp",
"amplify:GetBranch",
"amplify:GetDomainAssociation",
"amplify:List*",
"aoss:BatchGetCollection",
"aoss:BatchGetLifecyclePolicy",
"aoss:BatchGetVpcEndpoint",
"aoss:GetAccessPolicy",
"aoss:GetSecurityConfig",
"aoss:GetSecurityPolicy",
"aoss:List*",
"appconfig:GetApplication",
"appconfig:GetConfigurationProfile",
"appconfig:GetEnvironment",
"appconfig:GetHostedConfigurationVersion",
"appconfig:List*",
"appflow:Describe*",
"appflow:List*",
"application-autoscaling:Describe*",
"application-signals:BatchGetServiceLevelObjectiveBudgetReport",
"application-signals:GetService",
"application-signals:GetServiceLevelObjective",
"application-signals:List*",
"applicationinsights:Describe*",
"applicationinsights:List*",
"apprunner:Describe*",
"apprunner:List*",
"appstream:Describe*",
"appstream:List*",
"appsync:GetApiAssociation",
"appsync:GetDomainName",
"appsync:GetFunction",
"appsync:GetResolver",
"appsync:GetSourceApiAssociation",
"appsync:List*",
"aps:Describe*",
"aps:List*",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:List*",
"athena:GetCapacityAssignmentConfiguration",
"athena:GetCapacityReservation",
"athena:GetDataCatalog",
"athena:GetNamedQuery",
"athena:GetPreparedStatement",
"athena:GetWorkGroup",
"athena:List*",
"auditmanager:GetAssessment",
"auditmanager:List*",
"autoscaling:Describe*",
"backup-gateway:GetHypervisor",
"backup-gateway:List*",
"backup:Describe*",
"backup:GetBackupPlan",
"backup:GetBackupSelection",
"backup:GetBackupVaultAccessPolicy",
"backup:GetBackupVaultNotifications",
"backup:GetRestoreTestingPlan",
"backup:GetRestoreTestingSelection",
"backup:List*",
"batch:DescribeComputeEnvironments",
"batch:DescribeJobQueues",
"batch:DescribeSchedulingPolicies",
"batch:List*",
"bedrock:GetAgent",
"bedrock:GetAgentActionGroup",
"bedrock:GetAgentAlias",
"bedrock:GetAgentKnowledgeBase",
"bedrock:GetDataSource",
"bedrock:GetGuardrail",
"bedrock:GetKnowledgeBase",
"bedrock:List*",
"budgets:Describe*",
"budgets:List*",
"ce:Describe*",
"ce:GetAnomalyMonitors",
"ce:GetAnomalySubscriptions",
"ce:List*",
"chatbot:Describe*",
"chatbot:GetMicrosoftTeamsChannelConfiguration",
"chatbot:List*",
"cleanrooms-ml:GetTrainingDataset",
"cleanrooms-ml:List*",
"cleanrooms:GetAnalysisTemplate",
"cleanrooms:GetCollaboration",
"cleanrooms:GetConfiguredTable",
"cleanrooms:GetConfiguredTableAnalysisRule",
"cleanrooms:GetConfiguredTableAssociation",
"cleanrooms:GetMembership",
"cleanrooms:List*",
"cloudformation:Describe*",
"cloudformation:GetResource",
"cloudformation:GetStackPolicy",
"cloudformation:GetTemplate",
"cloudformation:List*",
"cloudfront:Describe*",
"cloudfront:GetCachePolicy",
"cloudfront:GetCloudFrontOriginAccessIdentity",
"cloudfront:GetContinuousDeploymentPolicy",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:GetFunction",
"cloudfront:GetKeyGroup",
"cloudfront:GetMonitoringSubscription",
"cloudfront:GetOriginAccessControl",
"cloudfront:GetOriginRequestPolicy",
"cloudfront:GetPublicKey",
"cloudfront:GetRealtimeLogConfig",
"cloudfront:GetResponseHeadersPolicy",
"cloudfront:List*",
"cloudtrail:Describe*",
"cloudtrail:GetChannel",
"cloudtrail:GetEventDataStore",
"cloudtrail:GetEventSelectors",
"cloudtrail:GetInsightSelectors",
"cloudtrail:GetQueryResults",
"cloudtrail:GetResourcePolicy",
"cloudtrail:GetTrail",
"cloudtrail:GetTrailStatus",
"cloudtrail:List*",
"cloudtrail:LookupEvents",
"cloudtrail:StartQuery",
"cloudwatch:Describe*",
"cloudwatch:GenerateQuery",
"cloudwatch:GetDashboard",
"cloudwatch:GetInsightRuleReport",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStream",
"cloudwatch:GetService",
"cloudwatch:GetServiceLevelObjective",
"cloudwatch:List*",
"codeartifact:Describe*",
"codeartifact:GetDomainPermissionsPolicy",
"codeartifact:GetRepositoryPermissionsPolicy",
"codeartifact:List*",
"codebuild:BatchGetFleets",
"codebuild:List*",
"codecommit:GetRepository",
"codecommit:GetRepositoryTriggers",
"codedeploy:BatchGetDeployments",
"codedeploy:BatchGetDeploymentTargets",
"codedeploy:GetApplication",
"codedeploy:GetDeploymentConfig",
"codedeploy:List*",
"codeguru-profiler:Describe*",
"codeguru-profiler:GetNotificationConfiguration",
"codeguru-profiler:GetPolicy",
"codeguru-profiler:List*",
"codeguru-reviewer:Describe*",
"codeguru-reviewer:List*",
"codepipeline:GetPipeline",
"codepipeline:GetPipelineState",
"codepipeline:List*",
"codestar-connections:GetConnection",
"codestar-connections:GetRepositoryLink",
"codestar-connections:GetSyncConfiguration",
"codestar-connections:List*",
"codestar-notifications:Describe*",
"codestar-notifications:List*",
"cognito-identity:DescribeIdentityPool",
"cognito-identity:GetIdentityPoolRoles",
"cognito-identity:ListIdentityPools",
"cognito-identity:ListTagsForResource",
"cognito-idp:AdminListGroupsForUser",
"cognito-idp:DescribeIdentityProvider",
"cognito-idp:DescribeResourceServer",
"cognito-idp:DescribeRiskConfiguration",
"cognito-idp:DescribeUserImportJob",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolDomain",
"cognito-idp:GetGroup",
"cognito-idp:GetLogDeliveryConfiguration",
"cognito-idp:GetUICustomization",
"cognito-idp:GetUserPoolMfaConfig",
"cognito-idp:GetWebACLForResource",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListResourceServers",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListTagsForResource",
"comprehend:Describe*",
"comprehend:List*",
"config:Describe*",
"config:GetStoredQuery",
"config:List*",
"connect:Describe*",
"connect:GetTaskTemplate",
"connect:List*",
"databrew:Describe*",
"databrew:List*",
"datapipeline:Describe*",
"datapipeline:GetPipelineDefinition",
"datapipeline:List*",
"datasync:Describe*",
"datasync:List*",
"deadline:GetFarm",
"deadline:GetFleet",
"deadline:GetLicenseEndpoint",
"deadline:GetMonitor",
"deadline:GetQueue",
"deadline:GetQueueEnvironment",
"deadline:GetQueueFleetAssociation",
"deadline:GetStorageProfile",
"deadline:List*",
"detective:GetMembers",
"detective:List*",
"devicefarm:GetDevicePool",
"devicefarm:GetInstanceProfile",
"devicefarm:GetNetworkProfile",
"devicefarm:GetProject",
"devicefarm:GetTestGridProject",
"devicefarm:GetVPCEConfiguration",
"devicefarm:List*",
"devops-guru:Describe*",
"devops-guru:GetResourceCollection",
"devops-guru:List*",
"dms:Describe*",
"dms:List*",
"ds:Describe*",
"dynamodb:Describe*",
"dynamodb:GetResourcePolicy",
"dynamodb:List*",
"ec2:Describe*",
"ec2:GetAssociatedEnclaveCertificateIamRoles",
"ec2:GetIpamPoolAllocations",
"ec2:GetIpamPoolCidrs",
"ec2:GetManagedPrefixListEntries",
"ec2:GetNetworkInsightsAccessScopeContent",
"ec2:GetSnapshotBlockPublicAccessState",
"ec2:GetTransitGatewayMulticastDomainAssociations",
"ec2:GetTransitGatewayRouteTableAssociations",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:GetVerifiedAccessEndpointPolicy",
"ec2:GetVerifiedAccessGroupPolicy",
"ec2:GetVerifiedAccessInstanceWebAcl",
"ec2:SearchLocalGatewayRoutes",
"ec2:SearchTransitGatewayRoutes",
"ecr:Describe*",
"ecr:GetLifecyclePolicy",
"ecr:GetRegistryPolicy",
"ecr:GetRepositoryPolicy",
"ecr:List*",
"ecs:Describe*",
"ecs:List*",
"eks:Describe*",
"eks:List*",
"elastic-inference:Describe*",
"elasticache:Describe*",
"elasticache:List*",
"elasticbeanstalk:Describe*",
"elasticbeanstalk:List*",
"elasticfilesystem:Describe*",
"elasticloadbalancing:Describe*",
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"emr-containers:Describe*",
"emr-containers:List*",
"emr-serverless:GetApplication",
"emr-serverless:List*",
"es:Describe*",
"es:List*",
"events:Describe*",
"events:List*",
"evidently:GetExperiment",
"evidently:GetFeature",
"evidently:GetLaunch",
"evidently:GetProject",
"evidently:GetSegment",
"evidently:List*",
"firehose:Describe*",
"firehose:List*",
"fis:GetExperimentTemplate",
"fis:GetTargetAccountConfiguration",
"fis:List*",
"fms:GetNotificationChannel",
"fms:GetPolicy",
"fms:List*",
"forecast:Describe*",
"forecast:List*",
"frauddetector:BatchGetVariable",
"frauddetector:Describe*",
"frauddetector:GetDetectors",
"frauddetector:GetDetectorVersion",
"frauddetector:GetEntityTypes",
"frauddetector:GetEventTypes",
"frauddetector:GetExternalModels",
"frauddetector:GetLabels",
"frauddetector:GetListElements",
"frauddetector:GetListsMetadata",
"frauddetector:GetModelVersion",
"frauddetector:GetOutcomes",
"frauddetector:GetRules",
"frauddetector:GetVariables",
"frauddetector:List*",
"fsx:Describe*",
"gamelift:Describe*",
"gamelift:List*",
"globalaccelerator:Describe*",
"globalaccelerator:List*",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetJob",
"glue:GetRegistry",
"glue:GetSchema",
"glue:GetSchemaVersion",
"glue:GetTable",
"glue:GetTags",
"glue:GetTrigger",
"glue:List*",
"glue:querySchemaVersionMetadata",
"grafana:Describe*",
"grafana:List*",
"greengrass:Describe*",
"greengrass:GetDeployment",
"greengrass:List*",
"groundstation:GetConfig",
"groundstation:GetDataflowEndpointGroup",
"groundstation:GetMissionProfile",
"groundstation:List*",
"guardduty:GetDetector",
"guardduty:GetFilter",
"guardduty:GetIPSet",
"guardduty:GetMalwareProtectionPlan",
"guardduty:GetMasterAccount",
"guardduty:GetMembers",
"guardduty:GetThreatIntelSet",
"guardduty:List*",
"health:DescribeEvents",
"health:DescribeEventDetails",
"healthlake:Describe*",
"healthlake:List*",
"iam:GetGroup",
"iam:GetGroupPolicy",
"iam:GetInstanceProfile",
"iam:GetLoginProfile",
"iam:GetOpenIDConnectProvider",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetSAMLProvider",
"iam:GetServerCertificate",
"iam:GetServiceLinkedRoleDeletionStatus",
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListOpenIDConnectProviders",
"iam:ListServerCertificates",
"iam:ListVirtualMFADevices",
"identitystore:DescribeGroup",
"identitystore:DescribeGroupMembership",
"identitystore:ListGroupMemberships",
"identitystore:ListGroups",
"imagebuilder:GetComponent",
"imagebuilder:GetContainerRecipe",
"imagebuilder:GetDistributionConfiguration",
"imagebuilder:GetImage",
"imagebuilder:GetImagePipeline",
"imagebuilder:GetImageRecipe",
"imagebuilder:GetInfrastructureConfiguration",
"imagebuilder:GetLifecyclePolicy",
"imagebuilder:GetWorkflow",
"imagebuilder:List*",
"inspector2:List*",
"inspector:Describe*",
"inspector:List*",
"internetmonitor:GetMonitor",
"internetmonitor:List*",
"iot:Describe*",
"iot:GetPackage",
"iot:GetPackageVersion",
"iot:GetPolicy",
"iot:GetThingShadow",
"iot:GetTopicRule",
"iot:GetTopicRuleDestination",
"iot:GetV2LoggingOptions",
"iot:List*",
"iotanalytics:Describe*",
"iotanalytics:List*",
"iotevents:Describe*",
"iotevents:List*",
"iotfleethub:Describe*",
"iotfleethub:List*",
"iotsitewise:Describe*",
"iotsitewise:List*",
"iotwireless:GetDestination",
"iotwireless:GetDeviceProfile",
"iotwireless:GetFuotaTask",
"iotwireless:GetMulticastGroup",
"iotwireless:GetNetworkAnalyzerConfiguration",
"iotwireless:GetServiceProfile",
"iotwireless:GetWirelessDevice",
"iotwireless:GetWirelessGateway",
"iotwireless:GetWirelessGatewayTaskDefinition",
"iotwireless:List*",
"ivs:GetChannel",
"ivs:GetEncoderConfiguration",
"ivs:GetPlaybackRestrictionPolicy",
"ivs:GetRecordingConfiguration",
"ivs:GetStage",
"ivs:List*",
"ivschat:GetLoggingConfiguration",
"ivschat:GetRoom",
"ivschat:List*",
"kafka:Describe*",
"kafka:GetClusterPolicy",
"kafka:List*",
"kafkaconnect:Describe*",
"kafkaconnect:List*",
"kendra:Describe*",
"kendra:List*",
"kinesis:Describe*",
"kinesis:List*",
"kinesisanalytics:Describe*",
"kinesisanalytics:List*",
"kinesisvideo:Describe*",
"kms:DescribeKey",
"kms:ListResourceTags",
"kms:ListKeys",
"lakeformation:Describe*",
"lakeformation:GetLFTag",
"lakeformation:GetResourceLFTags",
"lakeformation:List*",
"lambda:GetAlias",
"lambda:GetCodeSigningConfig",
"lambda:GetEventSourceMapping",
"lambda:GetFunction",
"lambda:GetFunctionCodeSigningConfig",
"lambda:GetFunctionConfiguration",
"lambda:GetFunctionEventInvokeConfig",
"lambda:GetFunctionRecursionConfig",
"lambda:GetFunctionUrlConfig",
"lambda:GetLayerVersion",
"lambda:GetLayerVersionPolicy",
"lambda:GetPolicy",
"lambda:GetProvisionedConcurrencyConfig",
"lambda:GetRuntimeManagementConfig",
"lambda:List*",
"launchwizard:GetDeployment",
"launchwizard:List*",
"lex:Describe*",
"lex:List*",
"license-manager:GetLicense",
"license-manager:List*",
"lightsail:GetAlarms",
"lightsail:GetBuckets",
"lightsail:GetCertificates",
"lightsail:GetContainerServices",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetInstance",
"lightsail:GetInstances",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"logs:Describe*",
"logs:FilterLogEvents",
"logs:GetDataProtectionPolicy",
"logs:GetDelivery",
"logs:GetDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:GetDeliverySource",
"logs:GetLogAnomalyDetector",
"logs:GetLogDelivery",
"logs:GetQueryResults",
"logs:List*",
"logs:StartQuery",
"logs:StopLiveTail",
"logs:StopQuery",
"logs:TestMetricFilter",
"lookoutmetrics:Describe*",
"lookoutmetrics:List*",
"lookoutvision:Describe*",
"lookoutvision:List*",
"m2:GetApplication",
"m2:GetEnvironment",
"m2:List*",
"macie2:GetAllowList",
"macie2:GetCustomDataIdentifier",
"macie2:GetFindingsFilter",
"macie2:GetMacieSession",
"macie2:List*",
"mediaconnect:Describe*",
"mediaconnect:List*",
"medialive:Describe*",
"medialive:GetCloudWatchAlarmTemplate",
"medialive:GetCloudWatchAlarmTemplateGroup",
"medialive:GetEventBridgeRuleTemplate",
"medialive:GetEventBridgeRuleTemplateGroup",
"medialive:GetSignalMap",
"medialive:List*",
"mediapackage-vod:Describe*",
"mediapackage-vod:List*",
"mediapackage:Describe*",
"mediapackage:List*",
"mediapackagev2:GetChannel",
"mediapackagev2:GetChannelGroup",
"mediapackagev2:GetChannelPolicy",
"mediapackagev2:GetOriginEndpoint",
"mediapackagev2:GetOriginEndpointPolicy",
"mediapackagev2:List*",
"memorydb:Describe*",
"memorydb:List*",
"mobiletargeting:GetInAppTemplate",
"mobiletargeting:List*",
"mq:Describe*",
"mq:List*",
"network-firewall:Describe*",
"network-firewall:List*",
"networkmanager:Describe*",
"networkmanager:GetConnectAttachment",
"networkmanager:GetConnectPeer",
"networkmanager:GetCoreNetwork",
"networkmanager:GetCoreNetworkPolicy",
"networkmanager:GetCustomerGatewayAssociations",
"networkmanager:GetDevices",
"networkmanager:GetLinkAssociations",
"networkmanager:GetLinks",
"networkmanager:GetSites",
"networkmanager:GetSiteToSiteVpnAttachment",
"networkmanager:GetTransitGatewayPeering",
"networkmanager:GetTransitGatewayRegistrations",
"networkmanager:GetTransitGatewayRouteTableAttachment",
"networkmanager:GetVpcAttachment",
"networkmanager:List*",
"nimble:GetLaunchProfile",
"nimble:GetStreamingImage",
"nimble:GetStudio",
"nimble:GetStudioComponent",
"nimble:List*",
"oam:GetLink",
"oam:GetSink",
"oam:GetSinkPolicy",
"oam:List*",
"omics:GetAnnotationStore",
"omics:GetReferenceStore",
"omics:GetRunGroup",
"omics:GetSequenceStore",
"omics:GetVariantStore",
"omics:GetWorkflow",
"omics:List*",
"opsworks-cm:Describe*",
"opsworks-cm:List*",
"organizations:Describe*",
"organizations:List*",
"osis:GetPipeline",
"osis:List*",
"payment-cryptography:GetAlias",
"payment-cryptography:GetKey",
"payment-cryptography:List*",
"pca-connector-ad:GetConnector",
"pca-connector-ad:GetDirectoryRegistration",
"pca-connector-ad:GetServicePrincipalName",
"pca-connector-ad:GetTemplate",
"pca-connector-ad:GetTemplateGroupAccessControlEntry",
"pca-connector-ad:List*",
"pca-connector-scep:GetChallengeMetadata",
"pca-connector-scep:GetConnector",
"pca-connector-scep:List*",
"personalize:Describe*",
"personalize:List*",
"pipes:Describe*",
"pipes:List*",
"proton:GetEnvironmentTemplate",
"proton:GetServiceTemplate",
"proton:List*",
"qbusiness:GetApplication",
"qbusiness:GetDataSource",
"qbusiness:GetIndex",
"qbusiness:GetPlugin",
"qbusiness:GetRetriever",
"qbusiness:GetWebExperience",
"qbusiness:List*",
"qldb:Describe*",
"qldb:List*",
"ram:GetPermission",
"ram:List*",
"rds:Describe*",
"rds:List*",
"redshift-serverless:GetNamespace",
"redshift-serverless:GetWorkgroup",
"redshift-serverless:List*",
"redshift:Describe*",
"refactor-spaces:GetApplication",
"refactor-spaces:GetEnvironment",
"refactor-spaces:GetRoute",
"refactor-spaces:List*",
"rekognition:Describe*",
"rekognition:List*",
"resiliencehub:Describe*",
"resiliencehub:List*",
"resource-explorer-2:GetDefaultView",
"resource-explorer-2:GetIndex",
"resource-explorer-2:GetView",
"resource-explorer-2:List*",
"resource-groups:GetGroup",
"resource-groups:GetGroupConfiguration",
"resource-groups:GetGroupQuery",
"resource-groups:GetTags",
"resource-groups:List*",
"robomaker:Describe*",
"robomaker:List*",
"route53-recovery-control-config:Describe*",
"route53-recovery-control-config:List*",
"route53-recovery-readiness:GetCell",
"route53-recovery-readiness:GetReadinessCheck",
"route53-recovery-readiness:GetRecoveryGroup",
"route53-recovery-readiness:GetResourceSet",
"route53-recovery-readiness:List*",
"route53:GetDNSSEC",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:List*",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:List*",
"route53resolver:GetFirewallDomainList",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetFirewallRuleGroupAssociation",
"route53resolver:GetOutpostResolver",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverQueryLogConfigAssociation",
"route53resolver:GetResolverRule",
"route53resolver:GetResolverRuleAssociation",
"route53resolver:List*",
"rum:GetAppMonitor",
"rum:List*",
"s3-outposts:GetAccessPoint",
"s3-outposts:GetAccessPointPolicy",
"s3-outposts:GetBucket",
"s3-outposts:GetBucketPolicy",
"s3-outposts:GetBucketTagging",
"s3-outposts:GetLifecycleConfiguration",
"s3-outposts:List*",
"s3:GetAccelerateConfiguration",
"s3:GetAccessGrant",
"s3:GetAccessGrantsInstance",
"s3:GetAccessGrantsLocation",
"s3:GetAccessPoint",
"s3:GetAccessPointConfigurationForObjectLambda",
"s3:GetAccessPointForObjectLambda",
"s3:GetAccessPointPolicy",
"s3:GetAccessPointPolicyForObjectLambda",
"s3:GetAccessPointPolicyStatusForObjectLambda",
"s3:GetAnalyticsConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketNotification",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketOwnershipControls",
"s3:GetBucketPolicy",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"S3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetIntelligentTieringConfiguration",
"s3:GetInventoryConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetMetricsConfiguration",
"s3:GetMultiRegionAccessPoint",
"s3:GetMultiRegionAccessPointPolicy",
"s3:GetMultiRegionAccessPointPolicyStatus",
"s3:GetReplicationConfiguration",
"s3:GetStorageLensConfiguration",
"s3:GetStorageLensConfigurationTagging",
"s3:GetStorageLensGroup",
"s3:List*",
"sagemaker:Describe*",
"sagemaker:List*",
"scheduler:GetSchedule",
"scheduler:GetScheduleGroup",
"scheduler:List*",
"schemas:Describe*",
"schemas:GetResourcePolicy",
"schemas:List*",
"secretsmanager:Describe*",
"secretsmanager:GetResourcePolicy",
"secretsmanager:List*",
"securityhub:BatchGetAutomationRules",
"securityhub:BatchGetSecurityControls",
"securityhub:Describe*",
"securityhub:GetConfigurationPolicy",
"securityhub:GetConfigurationPolicyAssociation",
"securityhub:GetEnabledStandards",
"securityhub:GetFindingAggregator",
"securityhub:GetInsights",
"securityhub:List*",
"securitylake:GetSubscriber",
"securitylake:List*",
"servicecatalog:Describe*",
"servicecatalog:GetApplication",
"servicecatalog:GetAttributeGroup",
"servicecatalog:List*",
"servicequotas:GetServiceQuota",
"ses:Describe*",
"ses:GetAccount",
"ses:GetAddonInstance",
"ses:GetAddonSubscription",
"ses:GetArchive",
"ses:GetConfigurationSet",
"ses:GetConfigurationSetEventDestinations",
"ses:GetContactList",
"ses:GetDedicatedIpPool",
"ses:GetDedicatedIps",
"ses:GetEmailIdentity",
"ses:GetEmailTemplate",
"ses:GetIngressPoint",
"ses:GetRelay",
"ses:GetRuleSet",
"ses:GetTemplate",
"ses:GetTrafficPolicy",
"ses:List*",
"shield:Describe*",
"shield:List*",
"signer:GetSigningProfile",
"signer:List*",
"sns:GetDataProtectionPolicy",
"sns:GetSubscriptionAttributes",
"sns:GetTopicAttributes",
"sns:List*",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:List*",
"ssm-contacts:GetContact",
"ssm-contacts:GetContactChannel",
"ssm-contacts:List*",
"ssm-incidents:GetReplicationSet",
"ssm-incidents:GetResponsePlan",
"ssm-incidents:List*",
"ssm-sap:GetApplication",
"ssm-sap:List*",
"ssm:Describe*",
"ssm:GetDefaultPatchBaseline",
"ssm:GetDocument",
"ssm:GetParameters",
"ssm:GetPatchBaseline",
"ssm:GetResourcePolicies",
"ssm:List*",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso:GetInlinePolicyForPermissionSet",
"sso:GetManagedApplicationInstance",
"sso:GetPermissionsBoundaryForPermissionSet",
"sso:GetSharedSsoConfiguration",
"sso:ListAccountAssignments",
"sso:ListApplicationAssignments",
"sso:ListApplications",
"sso:ListCustomerManagedPolicyReferencesInPermissionSet",
"sso:ListInstances",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListTagsForResource",
"states:Describe*",
"states:List*",
"synthetics:Describe*",
"synthetics:GetCanary",
"synthetics:GetGroup",
"synthetics:List*",
"tag:GetResources",
"timestream:Describe*",
"timestream:List*",
"transfer:Describe*",
"transfer:List*",
"verifiedpermissions:GetIdentitySource",
"verifiedpermissions:GetPolicy",
"verifiedpermissions:GetPolicyStore",
"verifiedpermissions:GetPolicyTemplate",
"verifiedpermissions:GetSchema",
"verifiedpermissions:List*",
"vpc-lattice:GetAccessLogSubscription",
"vpc-lattice:GetAuthPolicy",
"vpc-lattice:GetListener",
"vpc-lattice:GetResourcePolicy",
"vpc-lattice:GetRule",
"vpc-lattice:GetService",
"vpc-lattice:GetServiceNetwork",
"vpc-lattice:GetServiceNetworkServiceAssociation",
"vpc-lattice:GetServiceNetworkVpcAssociation",
"vpc-lattice:GetTargetGroup",
"vpc-lattice:List*",
"wafv2:GetIPSet",
"wafv2:GetLoggingConfiguration",
"wafv2:GetRegexPatternSet",
"wafv2:GetRuleGroup",
"wafv2:GetWebACL",
"wafv2:GetWebACLForResource",
"wafv2:List*",
"workspaces-web:GetBrowserSettings",
"workspaces-web:GetIdentityProvider",
"workspaces-web:GetNetworkSettings",
"workspaces-web:GetPortal",
"workspaces-web:GetPortalServiceProviderMetadata",
"workspaces-web:GetTrustStore",
"workspaces-web:GetUserAccessLoggingSettings",
"workspaces-web:GetUserSettings",
"workspaces-web:List*",
"workspaces:Describe*",
"xray:BatchGetTraces",
"xray:GetGroup",
"xray:GetGroups",
"xray:GetSamplingRules",
"xray:GetServiceGraph",
"xray:GetTraceSummaries",
"xray:List*"
],
"Resource": "*"
},
{
"Sid": "AIOPSS3AccessForAmplify",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl"
],
"Resource": [
"arn:aws:s3:::amplify",
"arn:aws:s3:::cdk--assets--*"
],
"Condition": {
"StringEquals": {
"aws:ViaAWSService": [
"amplify.amazonaws.com"
],
"aws:PrincipalAccount": [
"${aws:ResourceAccount}"
]
}
}
},
{
"Sid": "AIOPSAPIGatewayAccess",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis/*/deployments",
"arn:aws:apigateway:*::/restapis/*/deployments/*",
"arn:aws:apigateway:*::/restapis/*/resources/*/methods/*/integrations",
"arn:aws:apigateway:*::/restapis/*/resources/*/methods/*/integrations/*",
"arn:aws:apigateway:*::/restapis/*/stages",
"arn:aws:apigateway:*::/restapis/*/stages/*",
"arn:aws:apigateway:*::/apis",
"arn:aws:apigateway:*::/apis/*",
"arn:aws:apigateway:*::/apis/*/deployments",
"arn:aws:apigateway:*::/apis/*/deployments/*",
"arn:aws:apigateway:*::/apis/*/integrations",
"arn:aws:apigateway:*::/apis/*/integrations/*",
"arn:aws:apigateway:*::/apis/*/stages",
"arn:aws:apigateway:*::/apis/*/stages/*"
]
}
]
}Políticas administradas (predefinidas) de AWS para CloudWatch Application Signals
Las políticas de esta sección conceden permisos relacionados con CloudWatch Application Signals. Para obtener más información, consulte Application Signals.
CloudWatchApplicationSignalsReadOnlyAccess
AWS agregó la política de IAM administrada CloudWatchApplicationSignalsReadOnlyAccess. Esta política concede acceso de solo lectura a las acciones y los recursos disponibles para los usuarios en la consola de CloudWatch en Application Signals. Incluye políticas de application-signals: para que los usuarios utilicen CloudWatch Application Signals para ver, investigar y supervisar el estado de sus servicios. Incluye una política de iam:GetRole que permite a los usuarios recuperar información sobre un rol de IAM. Incluye políticas de logs: para iniciar y detener las consultas, recuperar la configuración de un filtro métrico y obtener los resultados de las consultas. Incluye políticas de cloudwatch: para que los usuarios obtengan información sobre una alarma o una métrica de CloudWatch. Incluye políticas de synthetics: para que los usuarios recuperen información sobre las ejecuciones de valores controlados de Synthetics. Incluye políticas de rum: para ejecutar operaciones por lotes, recuperar datos y actualizar las definiciones de métricas para los clientes de RUM. Incluye una política de xray: para recuperar los resúmenes de seguimientos.
A continuación se detalla el contenido de la política CloudWatchApplicationSignalsReadOnlyAccess.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsReadOnlyAccessPermissions",
"Effect": "Allow",
"Action": [
"application-signals:BatchGetServiceLevelObjectiveBudgetReport",
"application-signals:GetService",
"application-signals:GetServiceLevelObjective",
"application-signals:ListServiceLevelObjectives",
"application-signals:ListServiceDependencies",
"application-signals:ListServiceDependents",
"application-signals:ListServiceOperations",
"application-signals:ListServices",
"application-signals:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsGetRolePermissions",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
},
{
"Sid": "CloudWatchApplicationSignalsLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:StartQuery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
},
{
"Sid": "CloudWatchApplicationSignalsLogsPermissions",
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:GetQueryResults"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsAlarmsReadPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsMetricsReadPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsSyntheticsReadPermissions",
"Effect": "Allow",
"Action": [
"synthetics:DescribeCanaries",
"synthetics:DescribeCanariesLastRun",
"synthetics:GetCanaryRuns"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsRumReadPermissions",
"Effect": "Allow",
"Action": [
"rum:BatchGetRumMetricDefinitions",
"rum:GetAppMonitor",
"rum:GetAppMonitorData",
"rum:ListAppMonitors"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsXrayReadPermissions",
"Effect": "Allow",
"Action": [
"xray:GetTraceSummaries"
],
"Resource": "*"
}
]
}CloudWatchApplicationSignalsFullAccess
AWS agregó la política de IAM administrada CloudWatchApplicationSignalsFullAccess. Esta política concede acceso a todas las acciones y los recursos disponibles para los usuarios en la consola de CloudWatch. Incluye políticas de application-signals: para que los usuarios utilicen CloudWatch Application Signals para ver, investigar y supervisar el estado de sus servicios. Utiliza políticas de cloudwatch: para recuperar datos de métricas y alarmas. Utiliza políticas de logs: para administrar las consultas y los filtros. Utiliza políticas de synthetics: para que los usuarios puedan recuperar información sobre las ejecuciones de los valores controlados de Synthetics. Incluye políticas de rum: para ejecutar operaciones por lotes, recuperar datos y actualizar las definiciones de métricas para los clientes de RUM. Incluye una política de xray: para recuperar los resúmenes de seguimientos. Incluye políticas de arn:aws:cloudwatch:*:*:alarm: para que los usuarios puedan recuperar información sobre una alarma de objetivo de nivel de servicio (SLO). Incluye políticas de iam: para administrar los roles de IAM. Utiliza políticas de sns: para crear, publicar y suscribirse a un tema de Amazon SNS.
A continuación se detalla el contenido de la política CloudWatchApplicationSignalsFullAccess.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsFullAccessPermissions",
"Effect": "Allow",
"Action": "application-signals:*",
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsAlarmsPermissions",
"Effect": "Allow",
"Action": "cloudwatch:DescribeAlarms",
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsMetricsPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:StartQuery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
},
{
"Sid": "CloudWatchApplicationSignalsLogsPermissions",
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:GetQueryResults"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsSyntheticsPermissions",
"Effect": "Allow",
"Action": [
"synthetics:DescribeCanaries",
"synthetics:DescribeCanariesLastRun",
"synthetics:GetCanaryRuns"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsRumPermissions",
"Effect": "Allow",
"Action": [
"rum:BatchCreateRumMetricDefinitions",
"rum:BatchDeleteRumMetricDefinitions",
"rum:BatchGetRumMetricDefinitions",
"rum:GetAppMonitor",
"rum:GetAppMonitorData",
"rum:ListAppMonitors",
"rum:PutRumMetricsDestination",
"rum:UpdateRumMetricDefinition"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsXrayPermissions",
"Effect": "Allow",
"Action": "xray:GetTraceSummaries",
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsPutMetricAlarmPermissions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricAlarm",
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:SLO-AttainmentGoalAlarm-*",
"arn:aws:cloudwatch:*:*:alarm:SLO-WarningAlarm-*",
"arn:aws:cloudwatch:*:*:alarm:SLI-HealthAlarm-*"
]
},
{
"Sid": "CloudWatchApplicationSignalsCreateServiceLinkedRolePermissions",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "application-signals.cloudwatch.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchApplicationSignalsGetRolePermissions",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/application-signals.cloudwatch.amazonaws.com/AWSServiceRoleForCloudWatchApplicationSignals"
},
{
"Sid": "CloudWatchApplicationSignalsSnsWritePermissions",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:Subscribe"
],
"Resource": "arn:aws:sns:*:*:cloudwatch-application-signals-*"
},
{
"Sid": "CloudWatchApplicationSignalsSnsReadPermissions",
"Effect": "Allow",
"Action": "sns:ListTopics",
"Resource": "*"
}
]
}CloudWatchLambdaApplicationSignalsExecutionRolePolicy
Esta política se utiliza cuando se habilita CloudWatch Application Signals para las cargas de trabajo de Lambda. Habilita el acceso de escritura a X-Ray y al grupo de registros que usa CloudWatch Application Signals.
A continuación se detalla el contenido de la política CloudWatchLambdaApplicationSignalsExecutionRolePolicy.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsXrayWritePermissions",
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchApplicationSignalsLogGroupWritePermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}Políticas administradas (predefinidas) de AWS para CloudWatch Synthetics
Las políticas administradas de AWS CloudWatchSyntheticsFullAccess y CloudWatchSyntheticsReadOnlyAccess están disponibles para asignarlas a usuarios que administrarán o usarán CloudWatch Synthetics. También son pertinentes las siguientes políticas adicionales:
-
AmazonS3ReadOnlyAccess y CloudWatchReadOnlyAccess: estas son necesarias para leer todos los datos de Synthetics en la consola de CloudWatch.
-
AWSLambdaReadOnlyAccess: obligatoria para ver el código fuente que utilizan los canarios.
-
CloudWatchSyntheticsFullAccess: le permite crear canarios. Además, para crear y eliminar canarios para los que se creó un nuevo rol de IAM, necesita la siguiente declaración de política anexa:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "synthetics:*" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource":[ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect":"Allow", "Action":[ "iam:ListRoles", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:GetObject", "s3:ListBucket" ], "Resource":"arn:aws:s3:::cw-syn-*" }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersion" ], "Resource":"arn:aws:s3:::aws-synthetics-library-*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition":{ "StringEquals":{ "iam:PassedToService":[ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect":"Allow", "Action":[ "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect":"Allow", "Action":[ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource":[ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect":"Allow", "Action":[ "cloudwatch:DescribeAlarms" ], "Resource":[ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect":"Allow", "Action":[ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration" ], "Resource":[ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*", "arn:aws:lambda:*:*:layer:Synthetics_Selenium:*", "arn:aws:lambda:*:*:layer:AWS-CW-Synthetics*:*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "sns:ListTopics" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource":[ "arn:*:sns:*:*:Synthetics-*" ] } ] }importante
Conceder a un usuario los permisos
iam:CreateRole,iam:DeleteRole,iam:CreatePolicy,iam:DeletePolicy,iam:AttachRolePolicyyiam:DetachRolePolicyproporciona a ese usuario acceso administrativo completo para crear, adjuntar y eliminar roles y políticas que tienen ARN que hagan coincidirarn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*yarn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*. Por ejemplo, un usuario con estos permisos puede crear una política que tenga permisos completos para todos los recursos y asociarla a cualquier rol que coincida con ese patrón de ARN. Sea muy cauteloso en cuanto a quién concede estos permisos.Para obtener información acerca de cómo asociar políticas y conceder permisos a los usuarios, consulte Cambio de los permisos de un usuario de IAM y Para integrar una política en línea de un usuario o un rol.
CloudWatchSyntheticsFullAccess
El contenido de la política CloudWatchSyntheticsFullAccess es el siguiente:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"synthetics:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::cw-syn-results-*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"s3:ListAllMyBuckets",
"xray:GetTraceSummaries",
"xray:BatchGetTraces",
"apigateway:GET"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::cw-syn-*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::aws-synthetics-library-*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"synthetics.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListAttachedRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:Synthetics-*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:GetLogRecord",
"logs:DescribeLogStreams",
"logs:StartQuery",
"logs:GetLogEvents",
"logs:FilterLogEvents",
"logs:GetLogGroupFields"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/lambda/cwsyn-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:AddPermission",
"lambda:PublishVersion",
"lambda:UpdateFunctionCode",
"lambda:UpdateFunctionConfiguration",
"lambda:GetFunctionConfiguration",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:ListTags",
"lambda:TagResource",
"lambda:UntagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:cwsyn-*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:GetLayerVersion",
"lambda:PublishLayerVersion",
"lambda:DeleteLayerVersion"
],
"Resource": [
"arn:aws:lambda:*:*:layer:cwsyn-*",
"arn:aws:lambda:*:*:layer:Synthetics:*",
"arn:aws:lambda:*:*:layer:Synthetics_Selenium:*",
"arn:aws:lambda:*:*:layer:AWS-CW-Synthetics*:*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:Subscribe",
"sns:ListSubscriptionsByTopic"
],
"Resource": [
"arn:*:sns:*:*:Synthetics-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.*.amazonaws.com"
]
}
}
}
]
}CloudWatchSyntheticsReadOnlyAccess
El contenido de la política CloudWatchSyntheticsReadOnlyAccess es el siguiente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"synthetics:Describe*",
"synthetics:Get*",
"synthetics:List*",
"lambda:GetFunctionConfiguration"
],
"Resource": "*"
}
]
}Políticas administradas (predefinidas) de AWS para Amazon CloudWatch RUM
Las políticas administradas AmazonCloudWatchRUMFullAccess (Acceso completo a Amazon CloudWatch RUM) y AmazonCloudWatchRUMReadOnlyAccess (Acceso de solo lectura a Amazon CloudWatch RUM) de AWS están disponibles para que las asigne a los usuarios que administrarán o usarán CloudWatch RUM.
AmazonCloudWatchRUMFullAccess
A continuación se detalla el contenido de la política AmazonCloudWatchRUMFullAccess.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rum:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/RUM-Monitor*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"cognito-identity.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms"
],
"Resource": "arn:aws:cloudwatch:*:*:alarm:*"
},
{
"Effect": "Allow",
"Action": [
"cognito-identity:CreateIdentityPool",
"cognito-identity:ListIdentityPools",
"cognito-identity:DescribeIdentityPool",
"cognito-identity:GetIdentityPoolRoles",
"cognito-identity:SetIdentityPoolRoles"
],
"Resource": "arn:aws:cognito-identity:*:*:identitypool/*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:*:*:log-group:*RUMService*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group::log-stream:*"
},
{
"Effect": "Allow",
"Action": [
"synthetics:describeCanaries",
"synthetics:describeCanariesLastRun"
],
"Resource": "arn:aws:synthetics:*:*:canary:*"
}
]
}AmazonCloudWatchRUMReadOnlyAccess
A continuación se detalla el contenido de la política AmazonCloudWatchRUMReadOnlyAccess.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rum:GetAppMonitor",
"rum:GetAppMonitorData",
"rum:ListAppMonitors",
"rum:ListRumMetricsDestinations",
"rum:BatchGetRumMetricDefinitions"
],
"Resource": "*"
}
]
}AmazonCloudWatchRUMServiceRolePolicy
No puede adjuntar AmazonCloudWatchRUMServiceRolePolicy (Política de roles de servicio de Amazon CloudWatch RUM) a sus entidades de IAM. Esta política se adjunta a un rol vinculado a servicios que permite que CloudWatch RUM publique datos de supervisión en otros servicios pertinentes de AWS. Para obtener más información sobre este rol vinculado a servicios, consulte Uso de roles vinculados a servicios para CloudWatch RUM.
A continuación se detalla el contenido completo de la política AmazonCloudWatchRUMServiceRolePolicy.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
}
]
}Políticas administradas (predefinidas) de AWS para CloudWatch Evidently
Las políticas administradas CloudWatchEvidentlyFullAccess y CloudWatchEvidentlyReadOnlyAccess de AWS están disponibles para asignarlas a usuarios que administrarán o usarán CloudWatch Evidently.
CloudWatchEvidentlyFullAccess
A continuación se detalla el contenido de la política CloudWatchEvidentlyFullAccess.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evidently:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:TagResource",
"cloudwatch:UnTagResource"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:Subscribe",
"sns:ListSubscriptionsByTopic"
],
"Resource": [
"arn:*:sns:*:*:Evidently-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
}
]
}CloudWatchEvidentlyReadOnlyAccess
A continuación se detalla el contenido de la política CloudWatchEvidentlyReadOnlyAccess.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evidently:GetExperiment",
"evidently:GetFeature",
"evidently:GetLaunch",
"evidently:GetProject",
"evidently:GetSegment",
"evidently:ListExperiments",
"evidently:ListFeatures",
"evidently:ListLaunches",
"evidently:ListProjects",
"evidently:ListSegments",
"evidently:ListSegmentReferencs"
],
"Resource": "*"
}
]
}Política administrada de AWS para Systems Manager Incident Manager de AWS
La política AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy está adjuntada a un rol vinculado a servicios que permite a CloudWatch comenzar incidentes en Systems Manager Incident Manager de AWS en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios para acciones de alarmas de CloudWatch Systems Manager Incident Manager.
La política cuenta con el siguiente permiso:
-
ssm-incidents:StartIncident
Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de CloudWatch. Estas políticas funcionan cuando se utiliza la API de CloudWatch, los SDK de AWS o la AWS CLI.
Ejemplos
Ejemplo 1: Permitir al usuario acceso completo a CloudWatch
Para conceder a un usuario acceso completo a CloudWatch, puede otorgarle la política administrada CloudWatchFullAccess en lugar de crear una política administrada por el cliente. Los contenidos de CloudWatchFullAccess se describen en CloudWatchFullAccess.
Ejemplo 2: Permitir acceso de solo lectura a CloudWatch
La siguiente política le permite a un usuario acceso de solo lectura a CloudWatch y le permite ver las acciones de Amazon EC2 Auto Scaling, las métricas de CloudWatch, los datos de CloudWatch Logs y los datos de Amazon SNS relacionados con alarmas.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"logs:Get*",
"logs:Describe*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"sns:Get*",
"sns:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}Ejemplo 3: Detener o terminar una instancia de Amazon EC2
La siguiente política le permite a una acción de alarma de CloudWatch detener o terminar una instancia EC2. En el siguiente ejemplo, las acciones GetMetricData, ListMetrics y DescribeAlarms son opcionales. Se recomienda que incluya estas acciones para asegurarse de haber parado o finalizado la instancia correctamente.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}Actualizaciones de CloudWatch para las políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para CloudWatch debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de CloudWatch.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AIOpsConsoleAdminPolicy: nueva política |
CloudWatch creó una nueva política denominada AIOPSConsoleAdminPolicy. Esta política otorga a los usuarios acceso administrativo total para administrar las investigaciones operativas de Amazon Q Developer, incluida la administración de la propagación de identidades de confianza y la administración de IAM Identity Center y el acceso organizacional. |
3 de diciembre de 2024 |
|
AIOpOperatorAccess: nueva política |
CloudWatch creó una nueva política denominada AIOpsOperatorAccess. Esta política otorga a los usuarios acceso a las acciones de investigaciones operativas de Amazon Q Developer y a las acciones de AWS adicionales que sean necesarias para acceder a los eventos de investigación. |
3 de diciembre de 2024 |
|
AIOpsReadOnlyAccess: política nueva |
CloudWatch creó una nueva política denominada AIOpsReadOnlyAccess. Esta política otorga a los usuarios permisos de solo lectura para Amazon AI Operations y otros servicios relacionados. |
3 de diciembre de 2024 |
|
AIOpsAssistantPolicy: nueva política |
CloudWatch creó una nueva política denominada AIOpsAssistantPolicy. Esta política no se asigna a un usuario. Esta política se asigna al asistente de Amazon AI Operations para permitir que las investigaciones operativas de Amazon Q analicen los recursos de AWS durante la investigación de eventos operativos. |
3 de diciembre de 2024 |
|
CloudWatchFullAccessV2: actualiza políticas existentes |
CloudWatch actualizó CloudWatchFullAccessV2 y CloudWatchFullAccess. Se agregaron permisos para Amazon OpenSearch Service para permitir la integración de Registros de CloudWatch con OpenSearch Service para algunas características. |
1 de diciembre de 2024 |
|
CloudWatchNetworkFlowMonitorServiceRolePolicy: nueva política |
CloudWatch agregó una nueva política denominada CloudWatchNetworkFlowMonitorServiceRolePolicy. CloudWatchNetworkFlowMonitorServiceRolePolicy otorga permisos para que Network Flow Monitor publique métricas en CloudWatch. También permite que el servicio use AWS Organizations para obtener información para escenarios de varias cuentas. |
1 de diciembre de 2024 |
|
CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy: nueva política |
CloudWatch agregó una nueva política denominada CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy. CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy otorga permisos para que Network Flow Monitor genere instantáneas de topología de los recursos utilizados en la cuenta. |
1 de diciembre de 2024 |
|
CloudWatchNetworkFlowMonitorAgentPublishPolicy: nueva política |
CloudWatch agregó una nueva política denominada CloudWatchNetworkFlowMonitorAgentPublishPolicy. CloudWatchNetworkFlowMonitorAgentPublishPolicy otorga permisos a los recursos, como las instancias de Amazon EC2 y Amazon EKS, para enviar informes de telemetría (métricas) a un punto de conexión de Network Flow Monitor. |
1 de diciembre de 2024 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch actualizó la política con el nombre CloudWatchSyntheticsFullAccess. Se agregaron las siguientes acciones de Registros de CloudWatch para permitir que CloudWatch Synthetics obtenga y utilice datos de registros de canarios en grupos de registros de Lambda. También se agregó el permiso
Además, las acciones de versión de capa Lambda ahora se aplican a todos los ARN de capa de CloudWatch Synthetics. |
20 de noviembre de 2024 |
|
CloudWatchInternetMonitorReadOnlyAccess: nueva CloudWatchInternetMonitorReadOnlyAccess. Esta política concede acceso completo a los recursos y acciones disponibles en la consola de CloudWatch de Internet Monitor. El alcance de esta política incluye |
14 de noviembre de 2024 | |
|
CloudWatchInternetMonitorFullAccess: nueva política |
CloudWatch creó una nueva política con el nombre CloudWatchInternetMonitorFullAccess. Esta política concede acceso completo a los recursos y las acciones disponibles en la consola de CloudWatch para Internet Monitor. El alcance de esta política incluye |
23 de octubre de 2024 |
|
CloudWatchLambdaApplicationSignalsExecutionRolePolicy: nueva CloudWatchLambdaApplicationSignalsExecutionRolePolicy. Esta política se utiliza cuando se habilita CloudWatch Application Signals para las cargas de trabajo de Lambda. Habilita el acceso de escritura a X-Ray y al grupo de registros que usa CloudWatch Application Signals. |
16 de octubre de 2024 | |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch actualizó la política con el nombre CloudWatchSyntheticsFullAccess. Se agregaron los permisos |
11 de octubre de 2024 |
|
CloudWatchApplicationSignalsReadOnlyAccess: nueva política |
CloudWatch creó una nueva política con el nombre CloudWatchApplicationSignalsReadOnlyAccess. Esta política concede acceso de solo lectura a los recursos y las acciones disponibles en la consola de CloudWatch para Application Signals. El alcance de esta política incluye políticas de |
7 de junio de 2024 |
|
CloudWatchApplicationSignalsFullAccess: nueva política |
CloudWatch creó una nueva política con el nombre CloudWatchApplicationSignalsFullAccess. Esta política concede acceso completo a los recursos y las acciones disponibles en la consola de CloudWatch para Application Signals. El alcance de esta política incluye |
7 de junio de 2024 |
|
CloudWatchFullAccessV2: actualizar a una política existente |
CloudWatch actualizó la política denominada CloudWatchFullAccessV2. Se actualizó el alcance de la política de |
20 de mayo de 2024 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch actualizó la política denominada CloudWatchReadOnlyAccess. El alcance de la política de |
20 de mayo de 2024 |
|
CloudWatchApplicationSignalsServiceRolePolicy: actualización a una política existente |
CloudWatch actualizó la política denominada CloudWatchApplicationSignalsServiceRolePolicy. El alcance de los permisos |
18 de abril de 2024 |
|
CloudWatchApplicationSignalsServiceRolePolicy: actualización a una política existente |
CloudWatch cambió el alcance de un permiso en CloudwatchApplicationSignalsServiceRolePolicy. El alcance del permiso |
8 de abril de 2024 |
|
CloudWatchAgentServerPolicy: actualización a una política existente |
CloudWatch agregó permisos a CloudWatchAgentServerPolicy. Los permisos |
12 de febrero de 2024 |
|
CloudWatchAgentAdminPolicy: actualización a una política existente |
CloudWatch agregó permisos a CloudWatchAgentAdminPolicy. Los permisos |
12 de febrero de 2024 |
|
CloudWatchFullAccessV2: actualizar a una política existente |
CloudWatch añadió permisos a CloudWatchFullAccessV2. Los permisos existentes para las acciones de CloudWatch Synthetics, X-Ray y CloudWatch RUM y los nuevos permisos para CloudWatch Application Signals se añadieron para que los usuarios con esta política puedan administrar CloudWatch Application Signals. Se añadió el permiso para crear el rol vinculado al servicio de CloudWatch Application Signals para permitir que CloudWatch Application Signals detecte los datos de telemetría en registros, métricas, seguimientos y etiquetas. |
5 de diciembre de 2023 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch agregó permisos a CloudWatchReadOnlyAccess. Los permisos existentes de solo lectura para las acciones de CloudWatch Synthetics, X-Ray y CloudWatch RUM y los nuevos permisos de solo lectura para CloudWatch Application Signals se añadieron para que los usuarios con esta política puedan clasificar y diagnosticar los problemas en el estado del servicio notificados por CloudWatch Application Signals. El permiso de |
5 de diciembre de 2023 |
|
CloudWatchReadOnlyAccess: actualización a una política existente. |
CloudWatch agregó un permiso a CloudWatchReadOnlyAccess. Se agregó el permiso |
1 de diciembre de 2023 |
|
CloudWatchApplicationSignalsServiceRolePolicy: nueva política |
CloudWatch agregó una nueva política CloudWatchApplicationSignalsServiceRolePolicy. La política CloudWatchApplicationSignalsServiceRolePolicy otorga permisos para que una próxima característica recopile datos de registros de CloudWatch, datos de registros de seguimiento de X-Ray, datos de métricas de CloudWatch y datos de etiquetado. |
9 de noviembre de 2023 |
|
AWSServiceRoleForCloudWatchMetrics_DBPerfinSightsServiceRolePolicy: nueva política |
CloudWatch agregó una nueva política, llamada AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy. La política AWSServiceRoleForCloudWatchMetrics_DBPerfInsightsServiceRolePolicy concede permiso a CloudWatch para obtener métricas de Performance Insights de las bases de datos en su nombre. |
20 de septiembre de 2023 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch agregó un permiso a CloudWatchReadOnlyAccess. El permiso |
14 de septiembre de 2023 |
|
CloudWatchFullAccessV2: nueva política |
CloudWatch agregó una nueva política CloudWatchFullAccessV2. CloudWatchFullAccessV2 otorga acceso total a las acciones y los recursos de CloudWatch y, al mismo tiempo, amplía el alcance de los permisos concedidos a otros servicios, como Amazon SNS y Amazon EC2 Auto Scaling. Para obtener más información, consulte CloudWatchFullAccessV2. |
1 de agosto de 2023 |
|
AWSServiceRoleForInternetMonitor: actualización a una política existente |
Amazon CloudWatch Internet Monitor agregó nuevos permisos para supervisar los recursos del Equilibrador de carga de red. Los permisos Para obtener más información, consulte Uso de Internet Monitor. |
15 de julio de 2023 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch agregó permisos a CloudWatchReadOnlyAccess. Se agregaron los permisos |
6 de junio de 2023 |
|
CloudWatchCrossAccountSharingConfiguration: política nueva |
CloudWatch agregó una política nueva para permitir administrar los enlaces de observabilidad entre cuentas de CloudWatch que comparten las métricas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. |
27 de noviembre de 2022 |
|
OAMFullAccess: política nueva |
CloudWatch agregó una política nueva para permitir la administración completa de los enlaces y sumideros de observabilidad de entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. |
27 de noviembre de 2022 |
|
OamReadOnlyAccess: política nueva |
CloudWatch agregó una política nueva para permitir ver información sobre los enlaces y los sumideros de observabilidad de entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch. |
27 de noviembre de 2022 |
|
CloudWatchFullAccess: actualizar a una política existente |
CloudWatch agregó permisos a CloudWatchFullAccess. Los permisos de |
27 de noviembre de 2022 |
|
CloudWatchReadOnlyAccess: actualizar a una política existente |
CloudWatch agregó permisos a CloudWatchReadOnlyAccess. Los permisos de |
27 de noviembre de 2022 |
AmazonCloudWatchRUMServiceRolePolicy: actualización de una política existente |
CloudWatch RUM actualizó una clave de condición en AmazonCloudWatchRUMServiceRolePolicy. La clave de condición |
2 de febrero de 2023 |
AmazonCloudWatchRUMReadOnlyAccess: política actualizada |
CloudWatch agregó permisos a la política AmazonCloudWatchRUMReadOnlyAccess. Se agregaron los permisos |
27 de octubre de 2022 |
AmazonCloudWatchRUMServiceRolePolicy: actualización de una política existente |
CloudWatch RUM agregó permisos a la política AmazonCloudWatchRUMServiceRolePolicy. Se agregó el permiso |
26 de octubre de 2022 |
|
CloudWatchEvidentlyReadOnlyAccess: actualización de una política existente |
CloudWatch Evidently agregó permisos a CloudWatchEvidentlyReadOnlyAccess. Los permisos |
12 de agosto de 2022 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó permisos a CloudWatchSyntheticsFullAccess. Los permisos |
6 de mayo de 2022 |
|
AmazonCloudWatchRUMFullAccess: nueva política |
CloudWatch agregó una nueva política para permitir la administración completa de CloudWatch RUM. CloudWatch RUM le permite llevar a cabo una supervisión real de usuarios de su aplicación web. Para obtener más información, consulte CloudWatch RUM. |
29 de noviembre de 2021 |
|
AmazonCloudWatchRUMReadOnlyAccess: nueva política |
CloudWatch agregó una nueva política para permitir el acceso de solo lectura a CloudWatch RUM. CloudWatch RUM le permite llevar a cabo una supervisión real de usuarios de su aplicación web. Para obtener más información, consulte CloudWatch RUM. |
29 de noviembre de 2021 |
|
CloudWatchEvidentlyFullAccess: nueva política |
CloudWatch agregó una nueva política para permitir la administración completa de CloudWatch Evidently. CloudWatch Evidently le permite realizar experimentos A/B de sus aplicaciones web e implementarlos de forma gradual. Para obtener más información, consulte Realice lanzamientos y experimentos A/B con CloudWatch Evidently. |
29 de noviembre de 2021 |
|
CloudWatchEvidentlyReadOnlyAccess: nueva política |
CloudWatch agregó una nueva política para permitir el acceso de solo lectura a CloudWatch Evidently. CloudWatch Evidently le permite realizar experimentos A/B de sus aplicaciones web e implementarlos de forma gradual. Para obtener más información, consulte Realice lanzamientos y experimentos A/B con CloudWatch Evidently. |
29 de noviembre de 2021 |
|
AWSServiceRoleForCloudWatchRUM: nueva política administrada |
CloudWatch agregó una política para un nuevo rol vinculado a servicios para permitir que CloudWatch RUM publique los datos de supervisión en otros servicios pertinentes de AWS. |
29 de noviembre de 2021 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó permisos aCloudWatchSyntheticsFullAccess (Acceso completo a CloudWatch Synthetics) y también cambió el alcance de un permiso. Se agregó el permiso de El ámbito del |
29 de septiembre de 2021 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó un permiso a CloudWatchSyntheticsFullAccess. Se agregó el permiso |
20 de julio de 2021 |
|
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy: nueva política administrada |
CloudWatch agregó una nueva política de IAM administrada para permitir que CloudWatch cree incidentes en Incident Manager de AWS Systems Manager. |
10 de mayo de 2021 |
CloudWatchAutomaticDashboardsAccess: actualización de una política existente |
CloudWatch agregó un permiso a la política administrada CloudWatchAutomaticDashboardsAccess El permiso |
20 de abril de 2021 |
|
CloudWatch comenzó a realizar seguimientos de los cambios |
CloudWatch comenzó a realizar seguimientos de los cambios para las Políticas administradas de AWS. |
14 de abril de 2021 |
