Uso de políticas basadas en identidades (políticas de IAM) para CloudWatch
En este tema se ofrecen ejemplos de políticas basadas en identidades que muestran cómo un administrador de una cuenta puede adjuntar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de CloudWatch.
Se recomienda que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a los recursos de CloudWatch. Para obtener más información, consulte Control de acceso .
En las secciones de este tema se explica lo siguiente:
A continuación se muestra un ejemplo de una política de permisos.
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["cloudwatch:GetMetricData","cloudwatch:ListMetrics"], "Resource":"*", "Condition":{ "Bool":{ "aws:SecureTransport":"true" } } } ] }
Esta política de muestra tiene una declaración que concede permisos a un grupo para dos acciones de CloudWatch (cloudwatch:GetMetricData y cloudwatch:ListMetrics), pero solo si el grupo utiliza SSL con la solicitud ("aws:SecureTransport":"true"). Para obtener más información acerca de los elementos dentro de una declaración de política de IAM, consulte Especificar elementos de la política: acciones, efectos y entidades de seguridad y IAM Policy Elements Reference (Referencia de elementos de políticas de IAM) en la Guía del usuario de IAM.
Permisos necesarios para utilizar la consola de CloudWatch
Para que un usuario pueda trabajar con la consola de CloudWatch, dicho usuario debe tener un conjunto mínimo de permisos que le permitan describir otros recursos de AWS en su cuenta. La consola de CloudWatch requiere permisos de los siguientes servicios:
-
Amazon EC2 Auto Scaling
-
CloudTrail
-
CloudWatch
-
CloudWatch Events
-
CloudWatch Logs
-
Amazon EC2
-
Servicio de OpenSearch
-
IAM
-
Kinesis
-
Lambda
-
Simple Storage Service (Amazon S3)
-
Amazon SNS
-
Amazon SQS
-
Amazon SWF
-
X-Ray, si está utilizando la característica de ServiceLens
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola de no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola de CloudWatch, adjunte también la política administrada CloudWatchReadOnlyAccess al usuario, según se explica en Políticas administradas (predefinidas) de AWS para CloudWatch.
No es necesario que les conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a AWS CLI o a la API de CloudWatch.
El conjunto completo de permisos necesarios para trabajar con la consola de CloudWatch se enumera a continuación:
application-autoscaling:DescribeScalingPolicies
autoscaling:DescribeAutoScalingGroups
autoscaling:DescribePolicies
cloudtrail:DescribeTrails
cloudwatch:DeleteAlarms
cloudwatch:DescribeAlarmHistory
cloudwatch:DescribeAlarms
cloudwatch:GetMetricData
cloudwatch:GetMetricStatistics
cloudwatch:ListMetrics
cloudwatch:PutMetricAlarm
cloudwatch:PutMetricData
ec2:DescribeInstances
ec2:DescribeTags
ec2:DescribeVolumes
es:DescribeElasticsearchDomain
es:ListDomainNames
events:DeleteRule
events:DescribeRule
events:DisableRule
events:EnableRule
events:ListRules
events:PutRule
iam:AttachRolePolicy
iam:CreateRole
iam:GetPolicy
iam:GetPolicyVersion
iam:GetRole
iam:ListAttachedRolePolicies
iam:ListRoles
kinesis:DescribeStream
kinesis:ListStreams
lambda:AddPermission
lambda:CreateFunction
lambda:GetFunctionConfiguration
lambda:ListAliases
lambda:ListFunctions
lambda:ListVersionsByFunction
lambda:RemovePermission
logs:CancelExportTask
logs:CreateExportTask
logs:CreateLogGroup
logs:CreateLogStream
logs:DeleteLogGroup
logs:DeleteLogStream
logs:DeleteMetricFilter
logs:DeleteRetentionPolicy
logs:DeleteSubscriptionFilter
logs:DescribeExportTasks
logs:DescribeLogGroups
logs:DescribeLogStreams
logs:DescribeMetricFilters
logs:DescribeQueries
logs:DescribeSubscriptionFilters
logs:FilterLogEvents
logs:GetLogGroupFields
logs:GetLogRecord
logs:GetLogEvents
logs:GetQueryResults
logs:PutMetricFilter
logs:PutRetentionPolicy
logs:PutSubscriptionFilter
logs:StartQuery
logs:StopQuery
logs:TestMetricFilter
s3:CreateBucket
s3:ListBucket
sns:CreateTopic
sns:GetTopicAttributes
sns:ListSubscriptions
sns:ListTopics
sns:SetTopicAttributes
sns:Subscribe
sns:Unsubscribe
sqs:GetQueueAttributes
sqs:GetQueueUrl
sqs:ListQueues
sqs:SetQueueAttributes
swf:CreateAction
swf:DescribeAction
swf:ListActionTemplates
swf:RegisterAction
swf:RegisterDomain
swf:UpdateAction
Además, para ver el mapa de servicio en ServiceLens, necesita AWSXrayReadOnlyAccess
Políticas administradas (predefinidas) de AWS para CloudWatch
AWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Las siguientes políticas administradas de AWS, que se pueden adjuntar a los usuarios de la cuenta, son específicas de CloudWatch:
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de CloudWatch. Puede asociar estas políticas personalizadas a los usuarios o grupos de IAM que requieran esos permisos.
Temas
- CloudWatchFullAccess
- CloudWatchActionsEC2Access
- CloudWatchReadOnlyAccess
- CloudWatchAutomaticDashboardsAccess
- CloudWatchAgentServerPolicy
- CloudWatchAgentAdminPolicy
- Políticas administradas (predefinidas) de AWS para CloudWatch Synthetics
- Políticas administradas (predefinidas) de AWS para Amazon CloudWatch RUM
- Políticas administradas (predefinidas) de AWS para CloudWatch Evidently
- Política administrada de AWS para Systems Manager Incident Manager de AWS
CloudWatchFullAccess
La política CloudWatchFullAccess otorga acceso completo a todas las acciones y recursos de CloudWatch. El contenido es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:*", "logs:*", "sns:*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } } ] }
CloudWatchActionsEC2Access
La política CloudWatchActionsEC2Access concede acceso de solo lectura a alarmas y métricas de CloudWatch, además de a los metadatos de Amazon EC2. Concede acceso a las acciones de la API de detener, terminar y reiniciar para instancias EC2.
A continuación se detalla el contenido de la política CloudWatchActionsEC2Access:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Describe*", "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*" } ] }
CloudWatchReadOnlyAccess
La política CloudWatchReadOnlyAccess concede acceso de solo lectura a CloudWatch.
A continuación se detalla el contenido de la política CloudWatchReadOnlyAccess:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:Describe*", "logs:TestMetricFilter", "logs:FilterLogEvents", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }
CloudWatchAutomaticDashboardsAccess
El rol de IAM CloudWatch-CrossAccountSharingRole utiliza la política administrada CloudWatch-CrossAccountAccess. Este rol y política permiten a los usuarios de paneles de cuentas cruzadas visualizar paneles automáticos en cada cuenta que comparta paneles.
A continuación se detalla el contenido de CloudWatchAutomaticDashboardsAccess:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListServices", "elasticache:DescribeCacheClusters", "elasticbeanstalk:DescribeEnvironments", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunction", "lambda:ListFunctions", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "route53:GetHealthCheck", "route53:ListHealthChecks", "s3:ListAllMyBuckets", "s3:ListBucket", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ListQueues", "synthetics:DescribeCanariesLastRun", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "apigateway:GET" ], "Effect": "Allow", "Resource": [ "arn:aws:apigateway:*::/restapis*" ] } ]
CloudWatchAgentServerPolicy
La política CloudWatchAgentServerPolicy se puede utilizar en roles de IAM adjuntados a instancias de Amazon EC2 a fin de permitir que el agente de CloudWatch lea información de la instancia y la registre en CloudWatch.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeVolumes", "ec2:DescribeTags", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
CloudWatchAgentAdminPolicy
La política CloudWatchAgentAdminPolicy se puede utilizar en funciones de IAM adjuntadas a instancias de Amazon EC2. Esta política le permite al agente de CloudWatch leer información de la instancia y registrarla en CloudWatch, así como registrar información en el almacén de parámetros.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeTags", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:PutParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de CloudWatch. Puede asociar estas políticas personalizadas a los usuarios o grupos de IAM que requieran esos permisos.
Políticas administradas (predefinidas) de AWS para CloudWatch Synthetics
Las políticas administradas de AWS CloudWatchSyntheticsFullAccess y CloudWatchSyntheticsReadOnlyAccess están disponibles para asignarlas a usuarios que administrarán o usarán CloudWatch Synthetics. También son relevantes las siguientes políticas adicionales:
AmazonS3ReadOnlyAccess y CloudWatchReadOnlyAccess: estas son necesarias para poder leer todos los datos de Synthetics en la consola de CloudWatch.
AWSLambdaReadOnlyAccess: para poder ver el código fuente que utilizan los canaries.
-
CloudWatchSyntheticsFullAccess le permite crear un valor controlado; además, para crear un valor controlado que tendrá un rol de IAM nuevo creado para este, también necesita la siguiente declaración de política anexa:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:AttachRolePolicy", "iam:DetachRolePolicy", ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }importante Conceder a un usuario los permisos
iam:CreateRole,iam:DeleteRole,iam:CreatePolicy,iam:DeletePolicy,iam:AttachRolePolicyyiam:DetachRolePolicyproporciona a ese usuario acceso administrativo completo para crear, adjuntar y eliminar roles y políticas que tienen ARN que hagan coincidirarn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*yarn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*. Por ejemplo, un usuario con estos permisos puede crear una política que tenga permisos completos para todos los recursos y asociarla a cualquier rol que coincida con ese patrón de ARN. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos.Para obtener información acerca de cómo asociar políticas y conceder permisos a los usuarios, consulte Cambio de los permisos de un usuario de IAM y Para integrar una política en línea de un usuario o un rol.
CloudWatchSyntheticsFullAccess
El contenido de la política CloudWatchSyntheticsFullAccess es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "s3:ListAllMyBuckets", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::cw-syn-*" }, { "Effect": "Allow", "Action": [ "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::aws-synthetics-library-*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration", "lambda:DeleteFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }
CloudWatchSyntheticsReadOnlyAccess
El contenido de la política CloudWatchSyntheticsReadOnlyAccess es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }
Políticas administradas (predefinidas) de AWS para Amazon CloudWatch RUM
Las políticas administradas AmazonCloudWatchRUMFullAccess (Acceso completo a Amazon CloudWatch RUM) y AmazonCloudWatchRUMReadOnlyAccess (Acceso de solo lectura a Amazon CloudWatch RUM) de AWS están disponibles para que las asigne a los usuarios que administrarán o usarán CloudWatch RUM.
AmazonCloudWatchRUMFullAccess
A continuación se detalla el contenido de la política AmazonCloudWatchRUMFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/RUM-Monitor*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "cognito-identity.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "cognito-identity:CreateIdentityPool", "cognito-identity:ListIdentityPools", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:SetIdentityPoolRoles" ], "Resource": "arn:aws:cognito-identity:*:*:identitypool/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:*RUMService*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanaries", "synthetics:describeCanariesLastRun" ], "Resource": "arn:aws:synthetics:*:*:canary:*" } ] }
AmazonCloudWatchRUMReadOnlyAccess
A continuación se detalla el contenido de la política AmazonCloudWatchRUMReadOnlyAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors" ], "Resource": "*" } ] }
AmazonCloudWatchRUMServiceRolePolicy
No puede adjuntar AmazonCloudWatchRUMServiceRolePolicy (Política de roles de servicio de Amazon Cloud Watch RUM) a sus entidades de IAM. Esta política se adjunta a un rol vinculado a servicios que permite que CloudWatch RUM publique datos de monitoreo en otros servicios relevantes de AWS. Para obtener más información sobre este rol vinculado a servicios, consulte Uso de roles vinculados a servicios para CloudWatch RUM.
Políticas administradas (predefinidas) de AWS para CloudWatch Evidently
Las políticas administradas CloudWatchEvidentlyFullAccess y CloudWatchEvidentlyReadOnlyAccess de AWS están disponibles para asignarlas a usuarios que administrarán o usarán CloudWatch Evidently.
CloudWatchEvidentlyFullAccess
A continuación se detalla el contenido de la política CloudWatchEvidentlyFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:TagResource", "cloudwatch:UnTagResource" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Evidently-*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] } ] }
CloudWatchEvidentlyReadOnlyAccess
A continuación se detalla el contenido de la política CloudWatchEvidentlyReadOnlyAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:GetSegment", "evidently:ListExperiments", "evidently:ListFeatures", "evidently:ListLaunches", "evidently:ListProjects", "evidently:ListSegments", "evidently:ListSegmentReferencs" ], "Resource": "*" } ] }
Política administrada de AWS para Systems Manager Incident Manager de AWS
La política AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy está adjuntada a un rol vinculado a servicios que permite a CloudWatch comenzar incidentes en Systems Manager Incident Manager de AWS en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios para acciones de alarmas de CloudWatch Systems Manager Incident Manager .
La política cuenta con el siguiente permiso:
ssm-incidents:StartIncident
Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de CloudWatch. Estas políticas funcionan cuando se utiliza la API de CloudWatch, los SDK de AWS o la AWS CLI.
Ejemplos
Ejemplo 1: Permitir al usuario acceso completo a CloudWatch
Para conceder a un usuario acceso completo a CloudWatch, puede otorgarle la política administrada CloudWatchFullAccess en lugar de crear una política administrada por el cliente. Los contenidos de CloudWatchFullAccess se describen en CloudWatchFullAccess.
Ejemplo 2: Permitir acceso de solo lectura a CloudWatch
La siguiente política le permite a un usuario acceso de solo lectura a CloudWatch y le permite ver las acciones de Amazon EC2 Auto Scaling, las métricas de CloudWatch, los datos de CloudWatch Logs y los datos de Amazon SNS relacionados con alarmas.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:Describe*", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }
Ejemplo 3: Detener o terminar una instancia de Amazon EC2
La siguiente política le permite a una acción de alarma de CloudWatch detener o terminar una instancia EC2. En el siguiente ejemplo, las acciones GetMetricData, ListMetrics y DescribeAlarms son opcionales. Se recomienda que incluya estas acciones para asegurarse de haber parado o finalizado la instancia correctamente.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:DescribeAlarms" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
Actualizaciones de CloudWatch para las políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para CloudWatch debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de CloudWatch.
| Cambio | Descripción | Fecha |
|---|---|---|
|
CloudWatchEvidentlyReadOnlyAccess: actualización de una política existente |
CloudWatch Evidently agregó permisos a CloudWatchEvidentlyReadOnlyAccess. Los permisos |
12 de agosto de 2022 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó permisos a CloudWatchSyntheticsFullAccess. Los permisos |
6 de mayo de 2022 |
|
AmazonCloudWatchRUMFullAccess: nueva política |
CloudWatch agregó una nueva política para permitir la administración completa de CloudWatch RUM. CloudWatch RUM le permite realizar un monitoreo real de usuarios de su aplicación web. Para obtener más información, consulte Uso de CloudWatch RUM . |
29 de noviembre de 2021 |
|
AmazonCloudWatchRUMReadOnlyAccess: nueva política |
CloudWatch agregó una nueva política para permitir el acceso de solo lectura a CloudWatch RUM. CloudWatch RUM le permite realizar un monitoreo real de usuarios de su aplicación web. Para obtener más información, consulte Uso de CloudWatch RUM . |
29 de noviembre de 2021 |
|
CloudWatchEvidentlyFullAccess: nueva política |
CloudWatch agregó una nueva política para permitir la administración completa de CloudWatch Evidently. CloudWatch Evidently le permite realizar experimentos A/B de sus aplicaciones web e implementarlos de forma gradual. Para obtener más información, consulte Realice lanzamientos y experimentos A/B con CloudWatch Evidently . |
29 de noviembre de 2021 |
|
CloudWatchEvidentlyReadOnlyAccess: nueva política |
CloudWatch agregó una nueva política para permitir el acceso de solo lectura a CloudWatch Evidently. CloudWatch Evidently le permite realizar experimentos A/B de sus aplicaciones web e implementarlos de forma gradual. Para obtener más información, consulte Realice lanzamientos y experimentos A/B con CloudWatch Evidently . |
29 de noviembre de 2021 |
|
AWSServiceRoleForCloudWatchRUM: nueva política administrada |
CloudWatch agregó una política para un nuevo rol vinculado a servicios para permitir que CloudWatch RUM publique los datos de monitoreo en otros servicios relevantes de AWS. |
29 de noviembre de 2021 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó permisos aCloudWatchSyntheticsFullAccess (Acceso completo a CloudWatch Synthetics) y también cambió el alcance de un permiso. Se agregóó el permiso de El ámbito del |
29 de septiembre de 2021 |
|
CloudWatchSyntheticsFullAccess: actualización de una política existente |
CloudWatch Synthetics agregó un permiso a CloudWatchSyntheticsFullAccess. Se agregó el permiso |
20 de julio de 2021 |
|
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy: nueva política administrada |
CloudWatch agregó una nueva política de IAM administrada para permitir que CloudWatch cree incidentes en Incident Manager de AWS Systems Manager. |
10 de mayo de 2021 |
CloudWatchAutomaticDashboardsAccess: actualización de una política existente |
CloudWatch agregó un permiso a la política administrada CloudWatchAutomaticDashboardsAccess El permiso |
20 de abril de 2021 |
|
CloudWatch comenzó a realizar seguimientos de los cambios |
CloudWatch comenzó a realizar seguimientos de los cambios para las Políticas administradas de AWS. |
14 de abril de 2021 |
