IAM: Transmettre un IAM rôle à un AWS service spécifique

Cet exemple montre comment créer une politique basée sur l'identité qui permet de transférer n'importe quel rôle IAM de service au service Amazon CloudWatch. Cette politique accorde les autorisations nécessaires pour effectuer cette action par programmation à partir du AWS API ou. AWS CLI Pour utiliser cette politique, remplacez italicized placeholder text dans l'exemple de politique avec vos propres informations. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).

Un rôle de service est un IAM rôle qui indique qu'un AWS service est le principal habilité à assumer ce rôle. Cela permet au service d'endosser le rôle et d'accéder aux ressources dans d'autres services en votre nom. Pour permettre CloudWatch à Amazon d'assumer le rôle que vous lui transmettez, vous devez spécifier le principal du cloudwatch.amazonaws.com service comme principal dans la politique de confiance de votre rôle. Le principal de service est défini par le service. Pour connaître le principal de service d'un service, consultez la documentation de ce service. Pour certains services, consultez AWS des services qui fonctionnent avec IAM et recherchez les services qui contiennent Oui dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service. Recherchez amazonaws.com pour afficher le principal de service.

Pour en savoir plus sur la transmission d'un rôle de service à un service, consultez Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}