Amazon CloudWatch Internet Monitor の AWS マネージドポリシー - Amazon CloudWatch
CloudWatchInternetMonitorServiceRolePolicyEvidently への読み取り専用アクセス許可CloudWatchInternetMonitorFullAccessポリシーの更新

Amazon CloudWatch Internet Monitor の AWS マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWSのすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AWS マネージドポリシー: CloudWatchInternetMonitorServiceRolePolicy

このポリシーは、AWSServiceRoleForInternetMonitor という名前のサービスリンクロールにアタッチされます。このロールにより、Internet Monitor は Amazon Virtual Private Cloud リソースや Network Load Balancer などのアカウント内リソースにアクセスできるようになるため、モニター作成時にそれらのリソースを選択できます。詳細については、「Amazon CloudWatch Internet Monitor のサービスリンクロール」を参照してください。

Amazon CloudWatch Internet Monitor の読み取り専用アクセス許可

Amazon CloudWatch Internet Monitor でモニタとデータを操作できるように読み取り専用アクションにアクセスするには、以下のアクセス許可が付与されたユーザーまたはロールとしてサインインする必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "internetmonitor:Get*",
                "internetmonitor:List*",
                "internetmonitor:StartQuery",
                "internetmonitor:StopQuery",
                "logs:DescribeLogGroups",
                "logs:GetQueryResults",
                "logs:StartQuery",
                "logs:StopQuery"
                ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: CloudWatchInternetMonitorFullAccess

IAM エンティティに CloudWatchInternetMonitorFullAccess をアタッチできます。このポリシーは、Amazon CloudWatch Internet Monitor を操作するための「Actions for Internet Monitor」へのフルアクセスを許可します。これを、Internet Monitor のアクションへのフルアクセスを必要とする IAM ユーザーとその他のプリンシパルにアタッチします。

具体的には、このポリシーの範囲には、ユーザーが Internet Monitor アクションとリソースを使用できるように internetmonitor: が含まれます。これには、CloudWatch アラームとメトリクスに関する情報を取得するためのいくつかの cloudwatch: ポリシーが含まれています。これには、ログクエリを管理するためのいくつかの logs: ポリシーが含まれています。これには、Internet Monitor がアプリケーションのトラフィックプロファイルを作成できるように、モニターに追加するリソースを操作するための ec2:cloudfront:elasticloadbalancing:、および workspaces: のポリシーが含まれています。これには、IAM ロールを管理するためのいくつかの iam: ポリシーが含まれています。

このポリシーに対する許可を確認するには、「AWS マネージドポリシーリファレンス」の「CloudWatchInternetMonitorFullAccess」を参照してください。

AWS マネージドポリシーに対する Internet Monitor の更新

このサービスがこれらの変更の追跡を開始した以降の Internet Monitor の AWS マネージドポリシーの更新に関する詳細を表示するには、「CloudWatch updates to AWS managed policies」を参照してください。CloudWatch のマネージドポリシーの変更に関する自動通知を入手するには、CloudWatch ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。