CloudWatch の Canary に必要なロールとアクセス許可 - Amazon CloudWatch

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

CloudWatch の Canary に必要なロールとアクセス許可

Canary の詳細と Canary の実行結果を表示するには、CloudWatchSyntheticsFullAccess または CloudWatchSyntheticsReadOnlyAccess をアタッチした IAM ユーザーとしてサインインする必要があります。コンソールですべての Synthetics データを読み取るには、AmazonS3ReadOnlyAccess ポリシーと CloudWatchReadOnlyAccess ポリシーも必要です。Canary で使用しているソースコードを表示するには、AWSLambdaReadOnlyAccess ポリシーも必要です。

Canary を作成するには、CloudWatchSyntheticsFullAccess ポリシーまたは同様のアクセス許可セットを持つ IAM ユーザーとしてサインインする必要があります。Canary の IAM ロールを作成するには、次のインラインポリシーステートメントも必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }
重要

ユーザーに、iam:CreateRoleiam:CreatePolicy、および iam:AttachRolePolicy アクセス許可を付与すると、そのユーザーには、AWS アカウントへの完全な管理アクセス許可が与えられます。たとえば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。

ポリシーのアタッチとユーザーへのアクセス許可の付与については、「IAM ユーザーのアクセス許可の変更」および「ユーザーまたはロールのインラインポリシーを埋め込むには」を参照してください。

CloudWatch Synthetics の AWS 管理ポリシー

ユーザー、グループ、ロールにアクセス権限を追加するには、自分でポリシーを作成するよりも、AWS 管理ポリシーを使用する方が簡単です。必要なアクセス権限のみをチームに提供する IAM カスタマー管理ポリシーの作成には、時間と専門知識が必要です。すぐに使用を開始するために、AWS 管理ポリシーを使用できます。これらのポリシーは、一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS 管理ポリシー」をご参照ください。

AWS のサービスは、AWS 管理ポリシーを維持および更新します。AWS 管理ポリシーのアクセス権限を変更することはできません。サービスによって、AWS 管理ポリシーのアクセス権限が変更されることがあります。この種類の更新プログラムは、ポリシーがアタッチされているすべての ID (ユーザー、グループ、ロール) に影響します。

AWS 管理ポリシーへの CloudWatch Synthetics の更新

このサービスがこれらの変更の追跡を開始してからの、CloudWatch Synthetics の AWS 管理ポリシーの更新の詳細を表示します。このページの変更に関する自動通知については、[CloudWatch ドキュメントの履歴] ページの RSS フィードを購読してください。

変更 説明 日付

CloudWatchSyntheticsFullAccess から削除された冗長アクション

s3:PutBucketEncryption および lambda:GetLayerVersionByArn アクションがポリシー内の他のアクセス権限と冗長であるため、CloudWatch Synthetics は、CloudWatchSyntheticsFullAccess ポリシーからこれらのアクションを削除しました。削除されたアクションはアクセス権限を提供しなかったため、ポリシーによって付与されたアクセス権限に差分変更はありません。

2021 年 3 月 12 日

CloudWatch Synthetics が変更の追跡を開始しました

CloudWatch Synthetics は、AWS 管理ポリシーの変更の追跡を開始しました。

2021 年 3 月 10 日

CloudWatchSyntheticsFullAccess

CloudWatchSyntheticsFullAccess ポリシーの内容は次のとおりです。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "synthetics:*" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource":[ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect":"Allow", "Action":[ "iam:ListRoles", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:GetObject", "s3:ListBucket" ], "Resource":"arn:aws:s3:::cw-syn-*" }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersion" ], "Resource":"arn:aws:s3:::aws-synthetics-library-*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition":{ "StringEquals":{ "iam:PassedToService":[ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect":"Allow", "Action":[ "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect":"Allow", "Action":[ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource":[ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect":"Allow", "Action":[ "cloudwatch:DescribeAlarms" ], "Resource":[ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect":"Allow", "Action":[ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration" ], "Resource":[ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect":"Allow", "Action":[ "lambda:GetLayerVersion", "lambda:PublishLayerVersion" ], "Resource":[ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "sns:ListTopics" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource":[ "arn:*:sns:*:*:Synthetics-*" ] } ] }

CloudWatchSyntheticsReadOnlyAccess

CloudWatchSyntheticsReadOnlyAccess ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*" ], "Resource": "*" } ] }