Referencia de permisos de Amazon CloudWatch - Amazon CloudWatch

Referencia de permisos de Amazon CloudWatch

Puede usar la siguiente tabla como referencia cuando configure Control de acceso y escriba políticas de permisos que vaya a asociar a una identidad de IAM (políticas basadas en identidad). En la tabla figuran las operaciones de la API de CloudWatch y las acciones correspondientes para las que usted puede conceder permisos para realizar la acción. Las acciones se especifican en el campo Action de la política, y el valor del recurso se especifica como un carácter comodín (*) en el campo Resource de la política.

Puede utilizar claves de condición generales de AWS en las políticas de CloudWatch para expresar condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves de contexto de condición de IAM y globales de AWS en la Guía del usuario de IAM.

nota

Para especificar una acción, use el prefijo cloudwatch: seguido del nombre de operación de API. Por ejemplo: cloudwatch:GetMetricData, cloudwatch:ListMetrics o cloudwatch:* (para todas las acciones de CloudWatch).

Operaciones de la API y permisos necesarios de CloudWatch para acciones

Operaciones de la API de CloudWatch Permisos necesarios (acciones de API)

DeleteAlarms

cloudwatch:DeleteAlarms

Necesario para eliminar una alarma.

DeleteDashboards

cloudwatch:DeleteDashboards

Necesario para eliminar un panel.

DeleteMetricStream

cloudwatch:DeleteMetricStream

Necesario para eliminar un flujo métrico.

DescribeAlarmHistory

cloudwatch:DescribeAlarmHistory

Necesario para ver el historial de alarmas. Para recuperar información acerca de las alarmas compuestas, el permiso cloudwatch:DescribeAlarmHistory debe tener alcance *. No puede devolver información sobre las alarmas compuestas si el permiso cloudwatch:DescribeAlarmHistory tiene un alcance más limitado.

DescribeAlarms

cloudwatch:DescribeAlarms

Se necesita para recuperar información sobre las alarmas.

Para recuperar información acerca de las alarmas compuestas, el permiso cloudwatch:DescribeAlarms debe tener alcance *. No puede devolver información sobre las alarmas compuestas si el permiso cloudwatch:DescribeAlarms tiene un alcance más limitado.

DescribeAlarmsForMetric

cloudwatch:DescribeAlarmsForMetric

Necesario para ver alarmas para una métrica.

DisableAlarmActions

cloudwatch:DisableAlarmActions

Necesario para desactivar una acción de alarma.

EnableAlarmActions

cloudwatch:EnableAlarmActions

Necesario para habilitar una acción de alarma.

GetDashboard

cloudwatch:GetDashboard

Necesario para mostrar datos acerca de paneles existentes.

GetMetricData

cloudwatch:GetMetricData

Es necesario para graficar datos métricos en la consola de CloudWatch a fin de recuperar grandes lotes de datos métricos y realizar cálculos métricos en función de dichos datos.

GetMetricStatistics

cloudwatch:GetMetricStatistics

Es necesario para visualizar gráficos en otras partes de la consola de CloudWatch y en widgets de paneles.

GetMetricStream

cloudwatch:GetMetricStream

Es necesario para ver información acerca de un flujo métrico.

GetMetricWidgetImage

cloudwatch:GetMetricWidgetImage

Es necesario para recuperar un gráfico de instantáneas de una o varias métricas de CloudWatch como imagen de mapa de bits.

ListDashboards

cloudwatch:ListDashboards

Es necesario para visualizar la lista de paneles de CloudWatch en su cuenta.

ListMetrics

cloudwatch:ListMetrics

Es necesario para visualizar o buscar nombres de métricas dentro de la consola de CloudWatch y en la CLI. Necesario para seleccionar métricas en widgets de paneles.

ListMetricStreams

cloudwatch:ListMetricStreams

Es necesario para visualizar o buscar la lista de flujos métricos en la cuenta.

PutCompositeAlarm

cloudwatch:PutCompositeAlarm

Es necesario para crear una alarma compuesta

Para crear una alarma compuesta, el permiso cloudwatch:PutCompositeAlarm debe tener un alcance *. No puede devolver información sobre alarmas compuestas si el permiso cloudwatch:PutCompositeAlarm tiene un alcance más limitado.

PutDashboard

cloudwatch:PutDashboard

Necesario para crear un panel o actualizar un panel existente.

PutMetricAlarm

cloudwatch:PutMetricAlarm

Necesario para crear o actualizar una alarma.

PutMetricData

cloudwatch:PutMetricData

Necesario para crear métricas.

PutMetricStream

cloudwatch:PutMetricStream

Necesario para crear flujos métricos.

SetAlarmState

cloudwatch:SetAlarmState

Necesario para configurar manualmente el estado de una alarma.

StartMetricStreams

cloudwatch:StartMetricStreams

Necesario para comenzar el flujo de las métricas en un flujo métrico.

StopMetricStreams

cloudwatch:StopMetricStreams

Necesario para detener temporalmente el flujo de las métricas en un flujo métrico.

TagResource

cloudwatch:TagResource

Necesario para agregar o actualizar etiquetas en recursos de CloudWatch, como alarmas y reglas de Contributor Insights.

UntagResource

cloudwatch:UntagResource

Necesario para eliminar etiquetas de los recursos de CloudWatch.

Operaciones de la API de CloudWatch Contributor Insights y permisos necesarios para realizar acciones

importante

Cuando le concede el permiso cloudwatch:PutInsightRule a un usuario, de forma predeterminada, ese usuario puede crear una regla que evalúe cualquier grupo de registros en CloudWatch Logs. Puede agregar condiciones de políticas de IAM que limiten estos permisos para que un usuario incluya y excluya grupos de registros específicos. Para obtener más información, consulte Uso de claves de condición para limitar el acceso de los usuarios de Contributor Insights a los grupos de registro .

Operaciones de la API de CloudWatch Contributor Insights Permisos necesarios (acciones de API)

DeleteInsightRules

cloudwatch:DeleteInsightRules

Necesario para eliminar reglas de Contributor Insights.

DescribeInsightRules

cloudwatch:DescribeInsightRules

Necesario para visualizar las reglas de Contributor Insights en la cuenta.

EnableInsightRules

cloudwatch:EnableInsightRules

Necesario para habilitar las reglas de Contributor Insights.

GetInsightRuleReport

cloudwatch:GetInsightRuleReport

Necesario para recuperar datos de series temporales y otras estadísticas que recopilan las reglas de Contributor Insights.

PutInsightRule

cloudwatch:PutInsightRule

Necesario para crear reglas de Contributor Insights. Consulte la nota Importante ubicada al principio de esta tabla.

Operaciones de la API de CloudWatch Events y permisos necesarios para realizar acciones

Operaciones de la API de CloudWatch Events Permisos necesarios (acciones de API)

DeleteRule

events:DeleteRule

Necesario para eliminar una regla.

DescribeRule

events:DescribeRule

Necesario para mostrar detalles acerca de una regla.

DisableRule

events:DisableRule

Necesario para deshabilitar una regla.

EnableRule

events:EnableRule

Necesario para habilitar una regla.

ListRuleNamesByTarget

events:ListRuleNamesByTarget

Necesario para enumerar reglas asociadas a un destino.

ListRules

events:ListRules

Necesario para enumerar todas las reglas de su cuenta.

ListTargetsByRule

events:ListTargetsByRule

Necesario para enumerar todos los destinos asociados a una regla.

PutEvents

events:PutEvents

Necesario para agregar eventos personalizados que se pueden asignar a reglas.

PutRule

events:PutRule

Necesario para crear o actualizar una regla.

PutTargets

events:PutTargets

Necesario para añadir destinos a una regla.

RemoveTargets

events:RemoveTargets

Necesario para eliminar un destino de una regla.

TestEventPattern

events:TestEventPattern

Necesario para probar un patrón de evento con respecto a un evento dado.

Operaciones de la API de CloudWatch Logs y permisos necesarios para realizar acciones

Operaciones de la API de CloudWatch Logs Permisos necesarios (acciones de API)

CancelExportTask

logs:CancelExportTask

Necesario para cancelar una tarea de exportación en ejecución o pendiente.

CreateExportTask

logs:CreateExportTask

Necesario para exportar datos desde un grupo de registros a un bucket de Amazon S3.

CreateLogGroup

logs:CreateLogGroup

Necesario para crear un nuevo grupo de registros.

CreateLogStream

logs:CreateLogStream

Necesario para crear un nuevo flujo de registros en un grupo de registros.

DeleteDestination

logs:DeleteDestination

Necesario para eliminar un destino de registro y deshabilita los filtros de suscripción al mismo.

DeleteLogGroup

logs:DeleteLogGroup

Necesario para eliminar un grupo de registros y todos los eventos de registro asociados.

DeleteLogStream

logs:DeleteLogStream

Necesario para eliminar un flujo de registros y todos los eventos de registro asociados.

DeleteMetricFilter

logs:DeleteMetricFilter

Necesario para eliminar un filtro de métricas asociado con un grupo de registros.

DeleteQueryDefinition

logs:DeleteQueryDefinition

Necesario para eliminar una definición de consulta guardada en CloudWatch Logs Insights.

DeleteResourcePolicy

logs:DeleteResourcePolicy

Necesario para eliminar una política de recursos de CloudWatch Logs.

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

Necesario para eliminar la política de retención de un grupo de registros.

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

Necesario para eliminar el filtro de suscripción asociado a un grupo de registros.

DescribeDestinations

logs:DescribeDestinations

Necesario para ver todos los destinos asociados a la cuenta.

DescribeExportTasks

logs:DescribeExportTasks

Necesario para ver todas las tareas de exportación asociadas a la cuenta.

DescribeLogGroups

logs:DescribeLogGroups

Necesario para ver todos los grupos de registro asociados a la cuenta.

DescribeLogStreams

logs:DescribeLogStreams

Necesario para ver todos los flujos de registro asociados a un grupo de registros.

DescribeMetricFilters

logs:DescribeMetricFilters

Necesario para ver todas las métricas asociadas a un grupo de registros.

DescribeQueryDefinitions

logs:DescribeQueryDefinitions

Necesario para ver la lista de definiciones de consulta guardadas en CloudWatch Logs Insights.

DescribeQueries

logs:DescribeQueries

Necesario para ver la lista de consultas de CloudWatch Logs Insights programadas, en proceso de ejecución o ejecutadas recientemente.

DescribeResourcePolicies

logs:DescribeResourcePolicies

Necesario para ver una lista de políticas de recursos de CloudWatch Logs.

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

Necesario para ver todos los filtros de suscripción asociados con un grupo de registros.

FilterLogEvents

logs:FilterLogEvents

Necesario para ordenar los eventos de registros por patrón de filtro de grupo de registros.

GetLogEvents

logs:GetLogEvents

Necesario para recuperar eventos de registro de un flujo de registros.

GetLogGroupFields

logs:GetLogGroupFields

Necesario para recuperar la lista de campos que se incluyen en los eventos de registro de un grupo de registros.

GetLogRecord

logs:GetLogRecord

Necesario para recuperar los detalles de un único evento de registro.

GetQueryResults

logs:GetQueryResults

Necesario para recuperar los resultados de las consultas de CloudWatch Logs Insights.

ListTagsLogGroup

logs:ListTagsLogGroup

Necesario para ver las etiquetas asociadas a un grupo de registros.

PutDestination

logs:PutDestination

Necesario para crear o actualizar un flujo de registros de destino (como, por ejemplo, un flujo de Kinesis).

PutDestinationPolicy

logs:PutDestinationPolicy

Necesario para crear o actualizar una política de acceso asociada a un destino de registro existente.

PutLogEvents

logs:PutLogEvents

Necesario para cargar un lote de eventos de registro en un flujo de registros.

PutMetricFilter

logs:PutMetricFilter

Necesario para crear o actualizar un filtro de métricas y asociarlo a un grupo de registros.

PutQueryDefinition

logs:PutQueryDefinition

Necesario para guardar una consulta en CloudWatch Logs Insights.

PutResourcePolicy

logs:PutResourcePolicy

Necesario para crear una política de recursos de CloudWatch Logs.

PutRetentionPolicy

logs:PutRetentionPolicy

Necesario para establecer el número de días que conservar los eventos de registro (retención) en un grupo de registros.

PutSubscriptionFilter

logs:PutSubscriptionFilter

Necesario para crear o actualizar un filtro de suscripción y asociarlo a un grupo de registros.

StartQuery

logs:StartQuery

Necesario para comenzar consultas de CloudWatch Logs Insights

StopQuery

logs:StopQuery

Necesario para detener una consulta en curso de CloudWatch Logs Insights.

TagLogGroup

logs:TagLogGroup

Necesario para añadir o actualizar etiquetas de grupo de registro.

TestMetricFilter

logs:TestMetricFilter

Necesario para probar un patrón de filtro frente a una muestra de mensajes de evento de registro.

Operaciones de la API de Amazon EC2 y permisos necesarios para realizar acciones

Operaciones de la API de Amazon EC2 Permisos necesarios (acciones de API)

DescribeInstanceStatus

ec2:DescribeInstanceStatus

Necesario para ver los detalles de estado de instancia EC2.

DescribeInstances

ec2:DescribeInstances

Necesario para ver los detalles de instancia EC2.

RebootInstances

ec2:RebootInstances

Necesario para reiniciar una instancia EC2.

StopInstances

ec2:StopInstances

Necesario para parar una instancia EC2.

TerminateInstances

ec2:TerminateInstances

Necesario para terminar una instancia EC2.

Operaciones de la API de Amazon EC2 Auto Scaling y permisos necesarios para realizar acciones

Operaciones de la API de Amazon EC2 Auto Scaling Permisos necesarios (acciones de API)

Escalado

autoscaling:Scaling

Necesario para escalar un grupo de Auto Scaling.

Desencadenador

autoscaling:Trigger

Necesario para activar una acción de Auto Scaling.