Evidently を使用するための IAM ポリシー - Amazon CloudWatch

Evidently を使用するための IAM ポリシー

CloudWatch Evidently を完全に管理するには、以下のアクセス許可を持つ IAM ユーザーまたはロールとしてサインインする必要があります。

  • AmazonCloudWatchEvidentlyFullAccess ポリシー

  • ResourceGroupsandTagEditorReadOnlyAccess ポリシー

さらに、Amazon S3 または CloudWatch Logs に評価イベントを保存するプロジェクトを作成するには、次のアクセス許可が必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:DescribeResourcePolicies",
                "logs:PutResourcePolicy"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

CloudWatch RUM 統合のための追加のアクセス許可

さらに、Amazon CloudWatch RUM と統合し、CloudWatch RUM メトリクスをモニターリングに使用する Evidently 起動または実験を管理する場合は、AmazonCloudWatchRUMFullAccess ポリシーが必要です。IAM ロールを作成して CloudWatch RUM ウェブクライアントに CloudWatch RUM にデータを送信するアクセス許可を付与するには、次のアクセス許可が必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*",
                "arn:aws:iam::*:policy/service-role/CloudWatchRUMEvidentlyPolicy-*"
            ]
        }
    ]
}

Evidently への読み取り専用アクセス許可

Evidently データを表示する必要があるが、Evidently リソースを作成する必要がない他のユーザーには、AmazonCloudWatchEvidentlyReadOnlyAccess ポリシーを付与できます。