CloudWatch でのアイデンティティベースのポリシー (IAM ポリシー) の使用 - Amazon CloudWatch

CloudWatch でのアイデンティティベースのポリシー (IAM ポリシー) の使用

このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチし、それによって CloudWatch リソースでオペレーションを実行するアクセス許可を付与する方法を示すアイデンティティベースのポリシーの例を示します。

重要

初めに、CloudWatch リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックを確認することをお勧めします。詳細については、「アクセスコントロール」を参照してください。

このセクションでは、次のトピックを対象としています。

以下に示しているのは、アクセス権限ポリシーの例です。

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["cloudwatch:GetMetricData","cloudwatch:ListMetrics"], "Resource":"*", "Condition":{ "Bool":{ "aws:SecureTransport":"true" } } } ] }

このサンプルポリシーには、グループがリクエストに SSL を使用する場合のみ (cloudwatch:GetMetricData)、2 つの CloudWatch アクション (cloudwatch:ListMetrics および "aws:SecureTransport":"true") のグループにアクセス許可を付与する 1 つのステートメントがあります。ポリシーステートメント内のエレメントの詳細については、IAM ユーザーガイドの「ポリシー要素 (アクション、効果、プリンシパル) の指定」および「IAM ポリシーエレメントのリファレンス」を確認してください。

CloudWatch コンソールの使用に必要な許可

CloudWatch コンソールを使用して作業するユーザーの場合、そのユーザーは、他の AWS リソースをアカウントで記述できる、最小限の許可を持っている必要があります。CloudWatch コンソールでは次のサービスからのアクセス許可が必要になります。

  • Amazon EC2 Auto Scaling (日本語)

  • CloudTrail

  • CloudWatch

  • CloudWatch Events

  • [CloudWatch Logs]

  • Amazon EC2

  • OpenSearch Service

  • IAM

  • Kinesis

  • Lambda

  • Amazon S3

  • Amazon SNS

  • Amazon SQS

  • Amazon SWF 

  • X-Ray (ServiceLens 機能を使用する場合)

これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。CloudWatchReadOnlyAccess で説明されているとおり、ユーザーが CloudWatch コンソールを使用できること、および、AWSCloudWatch の マネージド (事前定義) ポリシー 管理ポリシーがユーザーにアタッチされていることを確認してください。

AWS CLI または CloudWatch API のみを呼び出すユーザーには、最小限のコンソール許可を付与する必要はありません。

CloudWatch コンソールを使用して作業するのに必要なフルセットのアクセス許可は以下に記載されています。

  • application-autoscaling:DescribeScalingPolicies

  • autoscaling:DescribeAutoScalingGroups

  • autoscaling:DescribePolicies

  • cloudtrail:DescribeTrails

  • cloudwatch:DeleteAlarms

  • cloudwatch:DescribeAlarmHistory

  • cloudwatch:DescribeAlarms

  • cloudwatch:GetMetricData

  • cloudwatch:GetMetricStatistics

  • cloudwatch:ListMetrics

  • cloudwatch:PutMetricAlarm

  • cloudwatch:PutMetricData

  • ec2:DescribeInstances

  • ec2:DescribeTags

  • ec2:DescribeVolumes

  • es:DescribeElasticsearchDomain

  • es:ListDomainNames

  • events:DeleteRule

  • events:DescribeRule

  • events:DisableRule

  • events:EnableRule

  • events:ListRules

  • events:PutRule

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • kinesis:DescribeStream

  • kinesis:ListStreams

  • lambda:AddPermission

  • lambda:CreateFunction

  • lambda:GetFunctionConfiguration

  • lambda:ListAliases

  • lambda:ListFunctions

  • lambda:ListVersionsByFunction

  • lambda:RemovePermission

  • logs:CancelExportTask

  • logs:CreateExportTask

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DeleteLogGroup

  • logs:DeleteLogStream

  • logs:DeleteMetricFilter

  • logs:DeleteRetentionPolicy

  • logs:DeleteSubscriptionFilter

  • logs:DescribeExportTasks

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeMetricFilters

  • logs:DescribeQueries

  • logs:DescribeSubscriptionFilters

  • logs:FilterLogEvents

  • logs:GetLogGroupFields

  • logs:GetLogRecord

  • logs:GetLogEvents

  • logs:GetQueryResults

  • logs:PutMetricFilter

  • logs:PutRetentionPolicy

  • logs:PutSubscriptionFilter

  • logs:StartQuery

  • logs:StopQuery

  • logs:TestMetricFilter

  • s3:CreateBucket

  • s3:ListBucket

  • sns:CreateTopic

  • sns:GetTopicAttributes

  • sns:ListSubscriptions

  • sns:ListTopics

  • sns:SetTopicAttributes

  • sns:Subscribe

  • sns:Unsubscribe

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:ListQueues

  • sqs:SetQueueAttributes

  • swf:CreateAction

  • swf:DescribeAction

  • swf:ListActionTemplates

  • swf:RegisterAction

  • swf:RegisterDomain

  • swf:UpdateAction

さらに、ServiceLens でサービスマップを表示する場合は、AWSXrayReadOnlyAccess が必要です

AWSCloudWatch の マネージド (事前定義) ポリシー

AWS は、 によって作成され管理されるスタンドアロンの IAM ポリシーを提供することで、多くの一般的ユースケースに対応します。AWSこれらの AWS 管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、IAM ユーザーガイドAWS管理ポリシーを参照してください。

アカウントのユーザーにアタッチ可能な以下の AWS マネージドポリシーは、CloudWatch に固有のものです。

注記

IAM コンソールにサインインし、特定のポリシーを検索することで、これらのアクセス許可ポリシーを確認できます。

独自のカスタム IAM ポリシーを作成して、CloudWatch アクションとリソースのためのアクセス権限を許可することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。

CloudWatchFullAccess

CloudWatchFullAccess ポリシーは、すべての CloudWatch アクションとリソースへの完全なアクセスを許可します。内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:*", "logs:*", "sns:*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } } ] }

CloudWatchActionsEC2Access

CloudWatchActionsEC2Access ポリシーは、Amazon EC2 メタデータに加えて CloudWatch アラームとメトリクスに対し、読み取り専用のアクセス許可を付与します。また、EC2 インスタンス用の API アクションに停止、終了、再起動のためのアクセス権限を付与します。

CloudWatchActionsEC2Access ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Describe*", "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*" } ] }

CloudWatchReadOnlyAccess

CloudWatchReadOnlyAccess ポリシーは、CloudWatch への読み取り専用のアクセス権限を付与します。

CloudWatchReadOnlyAccess ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:Describe*", "logs:TestMetricFilter", "logs:FilterLogEvents", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }

CloudWatchAutomaticDashboardsAccess

CloudWatch-CrossAccountAccess 管理ポリシーは、CloudWatch-CrossAccountSharingRole IAM ロールにより使用されます。このロールとポリシーを使用することで、クロスアカウントダッシュボードのユーザーが、ダッシュボードを共有している各アカウントにおいて、自動ダッシュボードを表示できるようになります。

次に、CloudWatchAutomaticDashboardsAccess の内容を示します。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListServices", "elasticache:DescribeCacheClusters", "elasticbeanstalk:DescribeEnvironments", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunction", "lambda:ListFunctions", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "route53:GetHealthCheck", "route53:ListHealthChecks", "s3:ListAllMyBuckets", "s3:ListBucket", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ListQueues", "synthetics:DescribeCanariesLastRun", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "apigateway:GET" ], "Effect": "Allow", "Resource": [ "arn:aws:apigateway:*::/restapis*" ] } ]

CloudWatchAgentServerPolicy

CloudWatchAgentServerPolicy ポリシーは、Amazon EC2 インスタンスにアタッチされた IAM ロールで使用でき、CloudWatch エージェントがインスタンスから情報を読み取り、CloudWatch に書き込むことを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeVolumes", "ec2:DescribeTags", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }

CloudWatchAgentAdminPolicy

CloudWatchAgentAdminPolicy ポリシーは、Amazon EC2 インスタンスにアタッチされた IAM ロールで使用できます。このポリシーにより、CloudWatch エージェントはインスタンスから情報を読み取って CloudWatch に書き込み、パラメータストアに情報を書き込むことができます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeTags", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:PutParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
注記

IAM コンソールにサインインし、特定のポリシーを検索することで、これらのアクセス許可ポリシーを確認できます。

独自のカスタム IAM ポリシーを作成して、CloudWatch アクションとリソースのためのアクセス権限を許可することもできます。これらのカスタムポリシーは、それらのアクセス権限が必要な IAM ユーザーまたはグループにアタッチできます。

AWSCloudWatch Synthetics での マネージド (事前定義) ポリシー

CloudWatchSyntheticsFullAccess および CloudWatchSyntheticsReadOnlyAccess AWS マネージドポリシーは、CloudWatch Synthetics を管理または使用するユーザーに割り当てることができます。次の追加ポリシーも関連します。

  • AmazonS3ReadOnlyAccess および CloudWatchReadOnlyAccess – これらは、CloudWatch コンソールですべての Synthetics データを読み取ることができるようにするために必要です。

  • [AWSLambdaReadOnlyAccess] – Canary で使用されているソースコードを表示できるようにします。

  • [CloudWatchSyntheticsFullAccess] で、Canary を作成できるようになります。さらに、Canary 用に作成された新しい IAM ロールを持つ Canary の作成と削除には、次のインラインポリシーステートメントも必要です。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:AttachRolePolicy", "iam:DetachRolePolicy", ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }
    重要

    ユーザーに iam:CreateRoleiam:DeleteRoleiam:CreatePolicyiam:DeletePolicyiam:AttachRolePolicy、および iam:DetachRolePolicy のアクセス許可を付与すると、arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole* および arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy* に一致する ARN を持つロールおよびポリシーを作成、アタッチ、および削除する完全な管理アクセス権がそのユーザーに付与されます。例えば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを上記の ARN パターンに一致する任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。

    ポリシーのアタッチとユーザーへのアクセス許可の付与については、「IAM ユーザーのアクセス許可の変更」および「ユーザーまたはロールのインラインポリシーを埋め込むには」を参照してください。

CloudWatchSyntheticsFullAccess

CloudWatchSyntheticsFullAccess ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "s3:ListAllMyBuckets", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::cw-syn-*" }, { "Effect": "Allow", "Action": [ "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::aws-synthetics-library-*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration", "lambda:DeleteFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }

CloudWatchSyntheticsReadOnlyAccess

CloudWatchSyntheticsReadOnlyAccess ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }

Amazon CloudWatch RUM の AWS マネージド (事前定義) ポリシー

AmazonCloudWatchRUMFullAccess および AmazonCloudWatchRUMReadOnlyAccess AWS マネージドポリシーは、CloudWatch RUM を管理または使用するユーザーに割り当てることができます。

AmazonCloudWatchRUMFullAccess

AmazonCloudWatchRUMFullAccess ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/RUM-Monitor*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "cognito-identity.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "cognito-identity:CreateIdentityPool", "cognito-identity:ListIdentityPools", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:SetIdentityPoolRoles" ], "Resource": "arn:aws:cognito-identity:*:*:identitypool/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:*RUMService*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanaries", "synthetics:describeCanariesLastRun" ], "Resource": "arn:aws:synthetics:*:*:canary:*" } ] }

AmazonCloudWatchRUMReadOnlyAccess

AmazonCloudWatchRUMReadOnlyAccess ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors" ], "Resource": "*" } ] }

AmazonCloudWatchRUMServiceRolePolicy

AmazonCloudWatchRUMServiceRolePolicy は IAM エンティティにアタッチできません。このポリシーは、モニタリングデータを他の関連する AWS のサービスに CloudWatch RUM が公開することを許可する、サービスにリンクされたロールにアタッチされます。サービスにリンクされたこのロールの詳細については、「CloudWatch RUM のサービスにリンクされたロールの使用」を参照してください。

CloudWatch Evidently の AWS マネージド (事前定義) ポリシー

CloudWatchEvidentlyFullAccess および CloudWatchEvidentlyReadOnlyAccess AWS マネージドポリシーは、CloudWatch Evidently を管理または使用するユーザーに割り当てることができます。

CloudWatchEvidentlyFullAccess

CloudWatchEvidentlyFullAccess ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:TagResource", "cloudwatch:UnTagResource" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Evidently-*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] } ] }

CloudWatchEvidentlyReadOnlyAccess

CloudWatchEvidentlyReadOnlyAccess ポリシーの内容は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:GetSegment", "evidently:ListExperiments", "evidently:ListFeatures", "evidently:ListLaunches", "evidently:ListProjects", "evidently:ListSegments", "evidently:ListSegmentReferencs" ], "Resource": "*" } ] }

AWS Systems Manager Incident Manager の AWS マネージドポリシー

AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy ポリシーは、サービスにリンクされたロールにアッタッチされ、CloudWatch がお客様に代わって AWS Systems Manager Incident Manager でインシデントを開始できるようにします。詳細については、「CloudWatch アラーム Systems Manager Incident Manager アクションのサービスにリンクされたロールの許可」を参照してください。

このポリシーには、以下のアクセス許可があります。

  • ssm-incidents:StartIncident

お客様が管理するポリシーの例

このセクションでは、さまざまな CloudWatch アクションのアクセス権限を付与するユーザーポリシー例を示しています。これらのポリシーは、CloudWatch API、AWS SDK、または AWS CLI を使用しているときに機能します。

例 1: ユーザーに CloudWatch への完全アクセスを許可する

CloudWatch へのフルアクセスをユーザーに付与するには、カスタマー管理ポリシーを作成する代わりに、CloudWatchFullAccess 管理ポリシーをユーザーに付与できます。CloudWatchFullAccess の内容を CloudWatchFullAccess に示します。

例 2: CloudWatch への読み取り専用アクセスを許可する

次のポリシーにより、ユーザーは CloudWatch への読み取り専用アクセスを行え、Amazon EC2 Auto Scaling アクション、CloudWatch メトリクス、CloudWatch Logs データ、アラーム関連の Amazon SNS データを表示できます。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:Describe*", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }

例 3: Amazon EC2 インスタンスを停止または終了する

以下のポリシーは、CloudWatch アラームアクションにより EC2 インスタンスの停止または終了を許可します。下の例では、GetMetricData、ListMetrics、DescribeAlarms アクションはオプションです。これらのアクションを含めて、インスタンスが正常に停止または終了したことを確認することをお勧めします。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:DescribeAlarms" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

CloudWatch の AWS マネージドポリシーへの更新

CloudWatch の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を入手するには、CloudWatch ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

変更 説明 日付

CloudWatchEvidentlyReadOnlyAccess — 既存のポリシーへの更新

CloudWatch Evidently が、CloudWatchEvidentlyReadOnlyAccess にアクセス許可を追加しました。

このポリシーを持つユーザーが、作成された Evidently のオーディエンスセグメントを表示できるように evidently:GetSegmentevidently:ListSegments、および evidently:ListSegmentReferences のアクセス許可が追加されました。

2022 年 8 月 12 日

CloudWatchSyntheticsFullAccess – 既存のポリシーを更新

CloudWatch Synthetics が、CloudWatchSyntheticsFullAccess にアクセス許可を追加しました。

Canary が削除されたときに CloudWatch Synthetics が関連リソースを削除できるように、lambda:DeleteFunction および lambda:DeleteLayerVersion アクセス許可が追加されました。Canary の IAM ロールにアタッチされているポリシーを顧客が表示できるように iam:ListAttachedRolePolicies が追加されました。

2022 年 5 月 6 日

AmazonCloudWatchRUMFullAccess – 新しいポリシー

CloudWatch に CloudWatch RUM の完全な管理を有効にする新しいポリシーが追加されました。

CloudWatch RUM を使用すると、ウェブアプリケーションの実際のユーザーモニタリングを実行できます。詳細については、「CloudWatch RUM を使用する」を参照してください。

2021 年 11 月 29 日

AmazonCloudWatchRUMReadOnlyAccess – 新しいポリシー

CloudWatch に CloudWatch RUM への読み取り専用のアクセス権限を有効にする新しいポリシーが追加されました。

CloudWatch RUM を使用すると、ウェブアプリケーションの実際のユーザーモニタリングを実行できます。詳細については、「CloudWatch RUM を使用する」を参照してください。

2021 年 11 月 29 日

CloudWatchEvidentlyFullAccess – 新しいポリシー

CloudWatch に CloudWatch Evidently の完全な管理を有効にする新しいポリシーが追加されました。

CloudWatch Evidently では、ウェブアプリケーションの A/B 実験を実行し、徐々にロールアウトすることができます。詳細については、「CloudWatch Evidently での起動と A/B 実験を実行する」を参照してください。

2021 年 11 月 29 日

CloudWatchEvidentlyReadOnlyAccess – 新しいポリシー

CloudWatch に CloudWatch Evidently への読み取り専用のアクセスを有効にする新しいポリシーが追加されました。

CloudWatch Evidently では、ウェブアプリケーションの A/B 実験を実行し、徐々にロールアウトすることができます。詳細については、「CloudWatch Evidently での起動と A/B 実験を実行する」を参照してください。

2021 年 11 月 29 日

AWSServiceRoleForCloudWatchRUM – 新しい管理ポリシー

CloudWatch にサービスにリンクされた新しいロールのポリシーが追加されて、CloudWatch RUM がモニタリングデータを他の関連する AWS のサービスに公開できるようになりました。

2021 年 11 月 29 日

CloudWatchSyntheticsFullAccess – 既存のポリシーを更新

CloudWatch Synthetics で CloudWatchSyntheticsFullAccess へのアクセス許可が追加され、また、1 つのアクセス許可の範囲も変更されました。

kms:ListAliases アクセス許可が追加され、canary アーティファクトの暗号化に使用できる AWS KMS キーのリストをユーザーが表示できるようになりました。kms:DescribeKey アクセス許可が追加され、canary アーティファクトの暗号化に使用できるキーの詳細をユーザーが表示できるようになりました。そして、ユーザーが canary アーティファクトを復号化できるようにする kms:Decrypt アクセス許可が追加されました。この復号化機能は、Amazon S3 バケット内のリソースでの使用に制限されています。

s3:GetBucketLocation アクセス許可の Resource 範囲が * から arn:aws:s3:::* に変更されました。

2021 年 9 月 29 日

CloudWatchSyntheticsFullAccess – 既存のポリシーを更新

CloudWatch Synthetics が、CloudWatchSyntheticsFullAccess に許可を追加しました。

このポリシーを持つユーザーが Canary のランタイムバージョンを変更できるように、lambda:UpdateFunctionCode 許可が追加されました。

2021 年 7 月 20 日

AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy – 新しい管理ポリシー

CloudWatch は、AWS Systems Manager Incident Manager でインシデントを作成できるように、新しい IAM マネージドポリシーを追加しました。

2021 年 5 月 10 日

CloudWatchAutomaticDashboardsAccess – 既存のポリシーに対する更新

CloudWatch が、CloudWatchAutomaticDashboardsAccess 管理ポリシーにアクセス権限を追加しました。クロスアカウントダッシュボードユーザーが、CloudWatch Synthetics Canary 実行の詳細を表示するための synthetics:DescribeCanariesLastRun アクセス許可が、このポリシーに追加されました。

2021 年 4 月 20 日

CloudWatch が変更の追跡を開始しました

CloudWatch が、AWS マネージドポリシーの変更の追跡を開始しました。

2021 年 4 月 14 日