Uso de políticas basadas en identidades (políticas de IAM) para CloudWatch - Amazon CloudWatch

Uso de políticas basadas en identidades (políticas de IAM) para CloudWatch

En este tema se ofrecen ejemplos de políticas basadas en identidades que muestran cómo un administrador de una cuenta puede adjuntar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de CloudWatch.

importante

Se recomienda que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a los recursos de CloudWatch. Para obtener más información, consulte Control de acceso .

En las secciones de este tema se explica lo siguiente:

A continuación se muestra un ejemplo de una política de permisos.

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["cloudwatch:GetMetricData","cloudwatch:ListMetrics"], "Resource":"*", "Condition":{ "Bool":{ "aws:SecureTransport":"true" } } } ] }

Esta política de muestra tiene una declaración que concede permisos a un grupo para dos acciones de CloudWatch (cloudwatch:GetMetricData y cloudwatch:ListMetrics), pero solo si el grupo utiliza SSL con la solicitud ("aws:SecureTransport":"true"). Para obtener más información acerca de los elementos dentro de una declaración de política de IAM, consulte Especificar elementos de la política: acciones, efectos y entidades de seguridad y IAM Policy Elements Reference (Referencia de elementos de políticas de IAM) en la Guía del usuario de IAM.

Permisos necesarios para utilizar la consola de CloudWatch

Para que un usuario pueda trabajar con la consola de CloudWatch, dicho usuario debe tener un conjunto mínimo de permisos que le permitan describir otros recursos de AWS en su cuenta. La consola de CloudWatch requiere permisos de los siguientes servicios:

  • Amazon EC2 Auto Scaling

  • CloudTrail

  • CloudWatch

  • CloudWatch Events

  • CloudWatch Logs

  • Amazon EC2

  • Servicio de OpenSearch

  • IAM

  • Kinesis

  • Lambda

  • Simple Storage Service (Amazon S3)

  • Amazon SNS

  • Amazon SQS

  • Amazon SWF

  • X-Ray, si está utilizando la característica de ServiceLens

Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola de no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola de CloudWatch, adjunte también la política administrada CloudWatchReadOnlyAccess al usuario, según se explica en Políticas administradas (predefinidas) de AWS para CloudWatch.

No es necesario que les conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a AWS CLI o a la API de CloudWatch.

El conjunto completo de permisos necesarios para trabajar con la consola de CloudWatch se enumera a continuación:

  • application-autoscaling:DescribeScalingPolicies

  • autoscaling:DescribeAutoScalingGroups

  • autoscaling:DescribePolicies

  • cloudtrail:DescribeTrails

  • cloudwatch:DeleteAlarms

  • cloudwatch:DescribeAlarmHistory

  • cloudwatch:DescribeAlarms

  • cloudwatch:GetMetricData

  • cloudwatch:GetMetricStatistics

  • cloudwatch:ListMetrics

  • cloudwatch:PutMetricAlarm

  • cloudwatch:PutMetricData

  • ec2:DescribeInstances

  • ec2:DescribeTags

  • ec2:DescribeVolumes

  • es:DescribeElasticsearchDomain

  • es:ListDomainNames

  • events:DeleteRule

  • events:DescribeRule

  • events:DisableRule

  • events:EnableRule

  • events:ListRules

  • events:PutRule

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • kinesis:DescribeStream

  • kinesis:ListStreams

  • lambda:AddPermission

  • lambda:CreateFunction

  • lambda:GetFunctionConfiguration

  • lambda:ListAliases

  • lambda:ListFunctions

  • lambda:ListVersionsByFunction

  • lambda:RemovePermission

  • logs:CancelExportTask

  • logs:CreateExportTask

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DeleteLogGroup

  • logs:DeleteLogStream

  • logs:DeleteMetricFilter

  • logs:DeleteRetentionPolicy

  • logs:DeleteSubscriptionFilter

  • logs:DescribeExportTasks

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeMetricFilters

  • logs:DescribeQueries

  • logs:DescribeSubscriptionFilters

  • logs:FilterLogEvents

  • logs:GetLogGroupFields

  • logs:GetLogRecord

  • logs:GetLogEvents

  • logs:GetQueryResults

  • logs:PutMetricFilter

  • logs:PutRetentionPolicy

  • logs:PutSubscriptionFilter

  • logs:StartQuery

  • logs:StopQuery

  • logs:TestMetricFilter

  • s3:CreateBucket

  • s3:ListBucket

  • sns:CreateTopic

  • sns:GetTopicAttributes

  • sns:ListSubscriptions

  • sns:ListTopics

  • sns:SetTopicAttributes

  • sns:Subscribe

  • sns:Unsubscribe

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:ListQueues

  • sqs:SetQueueAttributes

  • swf:CreateAction

  • swf:DescribeAction

  • swf:ListActionTemplates

  • swf:RegisterAction

  • swf:RegisterDomain

  • swf:UpdateAction

Además, para ver el mapa de servicio en ServiceLens, necesita AWSXrayReadOnlyAccess

Políticas administradas (predefinidas) de AWS para CloudWatch

AWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Las siguientes políticas administradas de AWS, que se pueden adjuntar a los usuarios de la cuenta, son específicas de CloudWatch:

nota

Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.

También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de CloudWatch. Puede asociar estas políticas personalizadas a los usuarios o grupos de IAM que requieran esos permisos.

CloudWatchFullAccess

La política CloudWatchFullAccess otorga acceso completo a todas las acciones y recursos de CloudWatch. El contenido es el siguiente:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:*", "logs:*", "sns:*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } } ] }

CloudWatchActionsEC2Access

La política CloudWatchActionsEC2Access concede acceso de solo lectura a alarmas y métricas de CloudWatch, además de a los metadatos de Amazon EC2. Concede acceso a las acciones de la API de detener, terminar y reiniciar para instancias EC2.

A continuación se detalla el contenido de la política CloudWatchActionsEC2Access:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Describe*", "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*" } ] }

CloudWatchReadOnlyAccess

La política CloudWatchReadOnlyAccess concede acceso de solo lectura a CloudWatch.

A continuación se detalla el contenido de la política CloudWatchReadOnlyAccess:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:Describe*", "logs:TestMetricFilter", "logs:FilterLogEvents", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }

CloudWatchAutomaticDashboardsAccess

El rol de IAM CloudWatch-CrossAccountSharingRole utiliza la política administrada CloudWatch-CrossAccountAccess. Este rol y política permiten a los usuarios de paneles de cuentas cruzadas visualizar paneles automáticos en cada cuenta que comparta paneles.

A continuación se detalla el contenido de CloudWatchAutomaticDashboardsAccess:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListServices", "elasticache:DescribeCacheClusters", "elasticbeanstalk:DescribeEnvironments", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunction", "lambda:ListFunctions", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "route53:GetHealthCheck", "route53:ListHealthChecks", "s3:ListAllMyBuckets", "s3:ListBucket", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ListQueues", "synthetics:DescribeCanariesLastRun", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "apigateway:GET" ], "Effect": "Allow", "Resource": [ "arn:aws:apigateway:*::/restapis*" ] } ]

CloudWatchAgentServerPolicy

La política CloudWatchAgentServerPolicy se puede utilizar en roles de IAM adjuntados a instancias de Amazon EC2 a fin de permitir que el agente de CloudWatch lea información de la instancia y la registre en CloudWatch.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeVolumes", "ec2:DescribeTags", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }

CloudWatchAgentAdminPolicy

La política CloudWatchAgentAdminPolicy se puede utilizar en funciones de IAM adjuntadas a instancias de Amazon EC2. Esta política le permite al agente de CloudWatch leer información de la instancia y registrarla en CloudWatch, así como registrar información en el almacén de parámetros.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeTags", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:PutParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
nota

Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.

También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de CloudWatch. Puede asociar estas políticas personalizadas a los usuarios o grupos de IAM que requieran esos permisos.

Políticas administradas (predefinidas) de AWS para CloudWatch Synthetics

Las políticas administradas de AWS CloudWatchSyntheticsFullAccess y CloudWatchSyntheticsReadOnlyAccess están disponibles para asignarlas a usuarios que administrarán o usarán CloudWatch Synthetics. También son relevantes las siguientes políticas adicionales:

  • AmazonS3ReadOnlyAccess y CloudWatchReadOnlyAccess: estas son necesarias para poder leer todos los datos de Synthetics en la consola de CloudWatch.

  • AWSLambdaReadOnlyAccess: para poder ver el código fuente que utilizan los canaries.

  • CloudWatchSyntheticsFullAccess le permite crear un valor controlado; además, para crear un valor controlado que tendrá un rol de IAM nuevo creado para este, también necesita la siguiente declaración de política anexa:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:AttachRolePolicy", "iam:DetachRolePolicy", ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }
    importante

    Conceder a un usuario los permisos iam:CreateRole, iam:DeleteRole, iam:CreatePolicy, iam:DeletePolicy, iam:AttachRolePolicy y iam:DetachRolePolicy proporciona a ese usuario acceso administrativo completo para crear, adjuntar y eliminar roles y políticas que tienen ARN que hagan coincidir arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole* y arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*. Por ejemplo, un usuario con estos permisos puede crear una política que tenga permisos completos para todos los recursos y asociarla a cualquier rol que coincida con ese patrón de ARN. Sea muy cauteloso en lo referente a la persona a la que concede estos permisos.

    Para obtener información acerca de cómo asociar políticas y conceder permisos a los usuarios, consulte Cambio de los permisos de un usuario de IAM y Para integrar una política en línea de un usuario o un rol.

CloudWatchSyntheticsFullAccess

El contenido de la política CloudWatchSyntheticsFullAccess es el siguiente:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "s3:ListAllMyBuckets", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::cw-syn-*" }, { "Effect": "Allow", "Action": [ "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::aws-synthetics-library-*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration", "lambda:DeleteFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }

CloudWatchSyntheticsReadOnlyAccess

El contenido de la política CloudWatchSyntheticsReadOnlyAccess es el siguiente:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }

Políticas administradas (predefinidas) de AWS para Amazon CloudWatch RUM

Las políticas administradas AmazonCloudWatchRUMFullAccess (Acceso completo a Amazon CloudWatch RUM) y AmazonCloudWatchRUMReadOnlyAccess (Acceso de solo lectura a Amazon CloudWatch RUM) de AWS están disponibles para que las asigne a los usuarios que administrarán o usarán CloudWatch RUM.

AmazonCloudWatchRUMFullAccess

A continuación se detalla el contenido de la política AmazonCloudWatchRUMFullAccess.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/RUM-Monitor*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "cognito-identity.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "cognito-identity:CreateIdentityPool", "cognito-identity:ListIdentityPools", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:SetIdentityPoolRoles" ], "Resource": "arn:aws:cognito-identity:*:*:identitypool/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:*RUMService*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanaries", "synthetics:describeCanariesLastRun" ], "Resource": "arn:aws:synthetics:*:*:canary:*" } ] }

AmazonCloudWatchRUMReadOnlyAccess

A continuación se detalla el contenido de la política AmazonCloudWatchRUMReadOnlyAccess.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:Get*", "rum:List*" ], "Resource": "*" } ] }

AmazonCloudWatchRUMServiceRolePolicy

No puede adjuntar AmazonCloudWatchRUMServiceRolePolicy (Política de roles de servicio de Amazon Cloud Watch RUM) a sus entidades de IAM. Esta política se adjunta a un rol vinculado a servicios que permite que CloudWatch RUM publique datos de monitoreo en otros servicios relevantes de AWS. Para obtener más información sobre este rol vinculado a servicios, consulte Uso de roles vinculados a servicios para CloudWatch RUM.

Políticas administradas (predefinidas) de AWS para CloudWatch Evidently

Las políticas administradas CloudWatchEvidentlyFullAccess y CloudWatchEvidentlyReadOnlyAccess de AWS están disponibles para asignarlas a usuarios que administrarán o usarán CloudWatch Evidently.

CloudWatchEvidentlyFullAccess

A continuación se detalla el contenido de la política CloudWatchEvidentlyFullAccess.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:TagResource", "cloudwatch:UnTagResource" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Evidently-*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] } ] }

CloudWatchEvidentlyReadOnlyAccess

A continuación se detalla el contenido de la política CloudWatchEvidentlyReadOnlyAccess.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:ListExperiments", "evidently:ListFeatures", "evidently:ListLaunches", "evidently:ListProjects" ], "Resource": "*" } ] }

Política administrada de AWS para Systems Manager Incident Manager de AWS

La política AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy está adjuntada a un rol vinculado a servicios que permite a CloudWatch comenzar incidentes en Systems Manager Incident Manager de AWS en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios para acciones de alarmas de CloudWatch Systems Manager Incident Manager .

La política cuenta con el siguiente permiso:

  • ssm-incidents:StartIncident

Ejemplos de políticas administradas por el cliente

En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de CloudWatch. Estas políticas funcionan cuando se utiliza la API de CloudWatch, los SDK de AWS o la AWS CLI.

Ejemplo 1: Permitir al usuario acceso completo a CloudWatch

Para conceder a un usuario acceso completo a CloudWatch, puede otorgarle la política administrada CloudWatchFullAccess en lugar de crear una política administrada por el cliente. Los contenidos de CloudWatchFullAccess se describen en CloudWatchFullAccess.

Ejemplo 2: Permitir acceso de solo lectura a CloudWatch

La siguiente política le permite a un usuario acceso de solo lectura a CloudWatch y le permite ver las acciones de Amazon EC2 Auto Scaling, las métricas de CloudWatch, los datos de CloudWatch Logs y los datos de Amazon SNS relacionados con alarmas.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:Describe*", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }

Ejemplo 3: Detener o terminar una instancia de Amazon EC2

La siguiente política le permite a una acción de alarma de CloudWatch detener o terminar una instancia EC2. En el siguiente ejemplo, las acciones GetMetricData, ListMetrics y DescribeAlarms son opcionales. Se recomienda que incluya estas acciones para asegurarse de haber parado o finalizado la instancia correctamente.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:DescribeAlarms" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

Actualizaciones de CloudWatch para las políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para CloudWatch debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de CloudWatch.

Cambio Descripción Fecha

CloudWatchSyntheticsFullAccess: Actualización de una política existente

CloudWatch Synthetics agregó permisos a CloudWatchSyntheticsFullAccess.

Los permisos lambda:DeleteFunction y lambda:DeleteLayerVersion se han agregado permisos para que CloudWatch Synthetics pueda eliminar recursos relacionados cuando se elimina un valor controlado. Se ha agregado la iam:ListAttachedRolePolicies para que los clientes puedan ver las políticas asociadas a un rol de IAM de un valor controlado.

6 de mayo de 2022

AmazonCloudWatchRUMFullAccess: nueva política

CloudWatch agregó una nueva política para permitir la administración completa de CloudWatch RUM.

CloudWatch RUM le permite realizar un monitoreo real de usuarios de su aplicación web. Para obtener más información, consulte Uso de CloudWatch RUM .

29 de noviembre de 2021

AmazonCloudWatchRUMReadOnlyAccess: nueva política

CloudWatch agregó una nueva política para permitir el acceso de solo lectura a CloudWatch RUM.

CloudWatch RUM le permite realizar un monitoreo real de usuarios de su aplicación web. Para obtener más información, consulte Uso de CloudWatch RUM .

29 de noviembre de 2021

CloudWatchEvidentlyFullAccess: nueva política

CloudWatch agregó una nueva política para permitir la administración completa de CloudWatch Evidently.

CloudWatch Evidently le permite realizar experimentos A/B de sus aplicaciones web e implementarlos de forma gradual. Para obtener más información, consulte Realice lanzamientos y experimentos A/B con CloudWatch Evidently .

29 de noviembre de 2021

CloudWatchEvidentlyReadOnlyAccess: nueva política

CloudWatch agregó una nueva política para permitir el acceso de solo lectura a CloudWatch Evidently.

CloudWatch Evidently le permite realizar experimentos A/B de sus aplicaciones web e implementarlos de forma gradual. Para obtener más información, consulte Realice lanzamientos y experimentos A/B con CloudWatch Evidently .

29 de noviembre de 2021

AWSServiceRoleForCloudWatchRUM: nueva política administrada

CloudWatch agregó una política para un nuevo rol vinculado a servicios para permitir que CloudWatch RUM publique los datos de monitoreo en otros servicios relevantes de AWS.

29 de noviembre de 2021

CloudWatchSyntheticsFullAccess: actualización de una política existente

CloudWatch Synthetics agregó permisos aCloudWatchSyntheticsFullAccess (Acceso completo a CloudWatch Synthetics) y también cambió el alcance de un permiso.

Se agregóó el permiso de kms:ListAliases para que los usuarios puedan publicar las claves de AWS KMS disponibles que se pueden utilizar para cifrar artefactos de canary. Se agregó el permiso de kms:DescribeKey para que los usuarios puedan ver los detalles de las claves que se utilizarán para cifrar los artefactos de canary. Finalmente, se agregó el permiso de kms:Decrypt para permitir que los usuarios descifren artefactos de canary. Esta capacidad de descifrado se limita al uso en los recursos dentro de los buckets de Amazon S3.

El ámbito del Resource (recurso) del permiso de s3:GetBucketLocation se modificó de * a arn:aws:s3:::*.

29 de septiembre de 2021

CloudWatchSyntheticsFullAccess: actualización de una política existente

CloudWatch Synthetics agregó un permiso a CloudWatchSyntheticsFullAccess.

Se agregó el permiso lambda:UpdateFunctionCode para que los usuarios con esta política puedan cambiar la versión de tiempo de ejecución de los canaries.

20 de julio de 2021

AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy: nueva política administrada

CloudWatch agregó una nueva política de IAM administrada para permitir que CloudWatch cree incidentes en Incident Manager de AWS Systems Manager.

10 de mayo de 2021

CloudWatchAutomaticDashboardsAccess: actualización de una política existente

CloudWatch agregó un permiso a la política administrada CloudWatchAutomaticDashboardsAccess El permiso synthetics:DescribeCanariesLastRun se agregó a esta política a fin de permitir que los usuarios del panel de las cuentas cruzadas visualicen los detalles sobre las ejecuciones de los canaries de CloudWatch Synthetics.

20 de abril de 2021

CloudWatch comenzó a realizar seguimientos de los cambios

CloudWatch comenzó a realizar seguimientos de los cambios para las Políticas administradas de AWS.

14 de abril de 2021