CloudWatch でのアイデンティティベースのポリシー (IAM ポリシー) の使用
このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチし、それによって CloudWatch リソースでオペレーションを実行するアクセス許可を付与する方法を示すアイデンティティベースのポリシーの例を示します。
初めに、CloudWatch リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックを確認することをお勧めします。詳細については、「アクセスコントロール」を参照してください。
このセクションでは、次のトピックを対象としています。
以下に示しているのは、アクセス権限ポリシーの例です。
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["cloudwatch:GetMetricData","cloudwatch:ListMetrics"], "Resource":"*", "Condition":{ "Bool":{ "aws:SecureTransport":"true" } } } ] }
このサンプルポリシーには、グループがリクエストに SSL を使用する場合のみ (cloudwatch:GetMetricData)、2 つの CloudWatch アクション (cloudwatch:ListMetrics および "aws:SecureTransport":"true") のグループにアクセス許可を付与する 1 つのステートメントがあります。ポリシーステートメント内のエレメントの詳細については、IAM ユーザーガイドの「ポリシー要素 (アクション、効果、プリンシパル) の指定」および「IAM ポリシーエレメントのリファレンス」を確認してください。
CloudWatch コンソールの使用に必要な許可
CloudWatch コンソールを使用して作業するユーザーの場合、そのユーザーは、他の AWS リソースをアカウントで記述できる、最小限の許可を持っている必要があります。CloudWatch コンソールでは次のサービスからのアクセス許可が必要になります。
-
Amazon EC2 Auto Scaling (日本語)
-
CloudTrail
-
CloudWatch
-
CloudWatch Events
-
[CloudWatch Logs]
-
Amazon EC2
-
OpenSearch Service
-
IAM
-
Kinesis
-
Lambda
-
Amazon S3
-
Amazon SNS
-
Amazon SQS
-
Amazon SWF
-
X-Ray (ServiceLens 機能を使用する場合)
これらの最小限必要なアクセス権限よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。CloudWatchReadOnlyAccess で説明されているとおり、ユーザーが CloudWatch コンソールを使用できること、および、AWSCloudWatch の マネージド (事前定義) ポリシー 管理ポリシーがユーザーにアタッチされていることを確認してください。
AWS CLI または CloudWatch API のみを呼び出すユーザーには、最小限のコンソール許可を付与する必要はありません。
CloudWatch コンソールを使用して作業するのに必要なフルセットのアクセス許可は以下に記載されています。
application-autoscaling:DescribeScalingPolicies
autoscaling:DescribeAutoScalingGroups
autoscaling:DescribePolicies
cloudtrail:DescribeTrails
cloudwatch:DeleteAlarms
cloudwatch:DescribeAlarmHistory
cloudwatch:DescribeAlarms
cloudwatch:GetMetricData
cloudwatch:GetMetricStatistics
cloudwatch:ListMetrics
cloudwatch:PutMetricAlarm
cloudwatch:PutMetricData
ec2:DescribeInstances
ec2:DescribeTags
ec2:DescribeVolumes
es:DescribeElasticsearchDomain
es:ListDomainNames
events:DeleteRule
events:DescribeRule
events:DisableRule
events:EnableRule
events:ListRules
events:PutRule
iam:AttachRolePolicy
iam:CreateRole
iam:GetPolicy
iam:GetPolicyVersion
iam:GetRole
iam:ListAttachedRolePolicies
iam:ListRoles
kinesis:DescribeStream
kinesis:ListStreams
lambda:AddPermission
lambda:CreateFunction
lambda:GetFunctionConfiguration
lambda:ListAliases
lambda:ListFunctions
lambda:ListVersionsByFunction
lambda:RemovePermission
logs:CancelExportTask
logs:CreateExportTask
logs:CreateLogGroup
logs:CreateLogStream
logs:DeleteLogGroup
logs:DeleteLogStream
logs:DeleteMetricFilter
logs:DeleteRetentionPolicy
logs:DeleteSubscriptionFilter
logs:DescribeExportTasks
logs:DescribeLogGroups
logs:DescribeLogStreams
logs:DescribeMetricFilters
logs:DescribeQueries
logs:DescribeSubscriptionFilters
logs:FilterLogEvents
logs:GetLogGroupFields
logs:GetLogRecord
logs:GetLogEvents
logs:GetQueryResults
logs:PutMetricFilter
logs:PutRetentionPolicy
logs:PutSubscriptionFilter
logs:StartQuery
logs:StopQuery
logs:TestMetricFilter
s3:CreateBucket
s3:ListBucket
sns:CreateTopic
sns:GetTopicAttributes
sns:ListSubscriptions
sns:ListTopics
sns:SetTopicAttributes
sns:Subscribe
sns:Unsubscribe
sqs:GetQueueAttributes
sqs:GetQueueUrl
sqs:ListQueues
sqs:SetQueueAttributes
swf:CreateAction
swf:DescribeAction
swf:ListActionTemplates
swf:RegisterAction
swf:RegisterDomain
swf:UpdateAction
さらに、ServiceLens でサービスマップを表示する場合は、AWSXrayReadOnlyAccess が必要です
AWSCloudWatch の マネージド (事前定義) ポリシー
AWS は、 によって作成され管理されるスタンドアロンの IAM ポリシーを提供することで、多くの一般的ユースケースに対応します。AWSこれらの AWS 管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、IAM ユーザーガイドの AWS管理ポリシーを参照してください。
アカウントのユーザーにアタッチ可能な以下の AWS マネージドポリシーは、CloudWatch に固有のものです。
IAM コンソールにサインインし、特定のポリシーを検索することで、これらのアクセス許可ポリシーを確認できます。
独自のカスタム IAM ポリシーを作成して、CloudWatch アクションとリソースのためのアクセス権限を許可することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。
トピック
- CloudWatchFullAccess
- CloudWatchReadOnlyAccess
- CloudWatchActionsEC2Access
- CloudWatchAutomaticDashboardsAccess
- CloudWatchAgentServerPolicy
- CloudWatchAgentAdminPolicy
- AWSCloudWatch クロスアカウントオブザーバビリティの AWS マネージド (事前定義) ポリシー
- CloudWatch Synthetics の AWS マネージド (事前定義された) ポリシー
- Amazon CloudWatch RUM の AWS マネージド (事前定義) ポリシー
- CloudWatch Evidently の AWS マネージド (事前定義) ポリシー
- AWS Systems Manager Incident Manager の AWS マネージドポリシー
CloudWatchFullAccess
CloudWatchFullAccess ポリシーによって、すべての CloudWatch および CloudWatch Logs アクションとリソースへのフルアクセスが許可されます。
これには、このポリシーを持つユーザーが CloudWatch アラームに関連付けられた Auto Scaling アクションを確認できるようにするための autoscaling:Describe* が含まれます。これには、このポリシーを持つユーザーが Amazon SNS トピックを取得して作成し、それらを CloudWatch アラームに関連付けることができるようにするための sns:* が含まれます。これには、このポリシーを持つユーザーが CloudWatch に関連付けられたサービスリンクロールに関する情報を表示できるようにするための IAM 許可が含まれます。これには、このポリシーを持つユーザーがコンソールを使用して、CloudWatch のクロスアカウントオブザーバビリティでソースアカウントから共有されたデータを表示できるようにするための oam:ListSinks および oam:ListAttachedLinks 許可が含まれます。
内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "autoscaling:Describe*", "cloudwatch:*", "logs:*", "sns:*", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRole", "oam:ListSinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*", "Condition": { "StringLike": { "iam:AWSServiceName": "events.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
CloudWatchReadOnlyAccess
CloudWatchReadOnlyAccess ポリシーは、CloudWatch への読み取り専用のアクセス権限を付与します。
これには、このポリシーを持つユーザーがコンソールを使用して CloudWatch Logs 情報を表示、および CloudWatch Logs Insights クエリを使用できるようにするための、いくつかの logs: 許可が含まれます。これには、このポリシーを持つユーザーが CloudWatch アラームに関連付けられた Auto Scaling アクションを確認できるようにするための autoscaling:Describe* が含まれます。これには、このポリシーを持つユーザーが CloudWatch アラームに関する通知を受け取る Amazon SNS トピックの情報を取得できるようにするための sns:Get* および sns:List* が含まれます。これには、このポリシーを持つユーザーがコンソールを使用して、CloudWatch のクロスアカウントオブザーバビリティでソースアカウントから共有されたデータを表示できるようにするための oam:ListSinks および oam:ListAttachedLinks 許可が含まれます。
CloudWatchReadOnlyAccess ポリシーの内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:Describe*", "logs:TestMetricFilter", "logs:FilterLogEvents", "sns:Get*", "sns:List*", "oam:ListSinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
CloudWatchActionsEC2Access
CloudWatchActionsEC2Access ポリシーは、Amazon EC2 メタデータに加えて CloudWatch アラームとメトリクスに対し、読み取り専用のアクセス許可を付与します。また、EC2 インスタンス用の API アクションに停止、終了、再起動のためのアクセス権限を付与します。
CloudWatchActionsEC2Access ポリシーの内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Describe*", "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*" } ] }
CloudWatchAutomaticDashboardsAccess
CloudWatch-CrossAccountAccess 管理ポリシーは、CloudWatch-CrossAccountSharingRole IAM ロールにより使用されます。このロールとポリシーを使用することで、クロスアカウントダッシュボードのユーザーが、ダッシュボードを共有している各アカウントにおいて、自動ダッシュボードを表示できるようになります。
次に、CloudWatchAutomaticDashboardsAccess の内容を示します。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:GetDistribution", "cloudfront:ListDistributions", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListServices", "elasticache:DescribeCacheClusters", "elasticbeanstalk:DescribeEnvironments", "elasticfilesystem:DescribeFileSystems", "elasticloadbalancing:DescribeLoadBalancers", "kinesis:DescribeStream", "kinesis:ListStreams", "lambda:GetFunction", "lambda:ListFunctions", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "resource-groups:ListGroupResources", "resource-groups:ListGroups", "route53:GetHealthCheck", "route53:ListHealthChecks", "s3:ListAllMyBuckets", "s3:ListBucket", "sns:ListTopics", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ListQueues", "synthetics:DescribeCanariesLastRun", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "apigateway:GET" ], "Effect": "Allow", "Resource": [ "arn:aws:apigateway:*::/restapis*" ] } ]
CloudWatchAgentServerPolicy
CloudWatchAgentServerPolicy ポリシーは、Amazon EC2 インスタンスにアタッチされた IAM ロールで使用でき、CloudWatch エージェントがインスタンスから情報を読み取り、CloudWatch に書き込むことを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeVolumes", "ec2:DescribeTags", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
CloudWatchAgentAdminPolicy
CloudWatchAgentAdminPolicy ポリシーは、Amazon EC2 インスタンスにアタッチされた IAM ロールで使用できます。このポリシーにより、CloudWatch エージェントはインスタンスから情報を読み取って CloudWatch に書き込み、パラメータストアに情報を書き込むことができます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ec2:DescribeTags", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:PutParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-*" } ] }
IAM コンソールにサインインし、特定のポリシーを検索することで、これらのアクセス許可ポリシーを確認できます。
独自のカスタム IAM ポリシーを作成して、CloudWatch アクションとリソースのためのアクセス権限を許可することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。
AWSCloudWatch クロスアカウントオブザーバビリティの AWS マネージド (事前定義) ポリシー
このセクションのポリシーは、CloudWatch クロスアカウントオブザーバビリティに関連する許可を付与します。詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。
CloudWatchCrossAccountSharingConfiguration
CloudWatchCrossAccountSharingConfiguration ポリシーは、アカウント間で CloudWatch リソースを共有するための Observability Access Manager リンクを作成、管理、および表示するためのアクセス権を付与します。詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
OAMFullAccess
OAMFullAccess ポリシーは、CloudWatch クロスアカウントオブザーバビリティ用に使用される Observability Access Manager のシンクとリンクを作成、管理、および表示するためのアクセス権を付与します。
OAMFullAccess ポリシーだけでは、リンク間でのオブザーバビリティデータの共有は許可されません。CloudWatch メトリクスを共有するためのリンクを作成するには、CloudWatchFullAccess または CloudWatchCrossAccountSharingConfiguration も必要になります。CloudWatch Logs ロググループを共有するためのリンクを作成するには、CloudWatchLogsFullAccess または CloudWatchLogsCrossAccountSharingConfiguration も必要になります。X-Ray トレースを共有するためのリンクを作成するには、AWSXRayFullAccess または AWSXRayCrossAccountSharingConfiguration も必要になります。
詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:*" ], "Resource": "*" } ] }
OAMReadOnlyAccess
OAMReadOnlyAccess ポリシーは、CloudWatch クロスアカウントオブザーバビリティ用に使用される Observability Access Manager リソースへの読み取り専用アクセス権を付与します。詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "oam:Get*", "oam:List*" ], "Resource": "*" } ] }
CloudWatch Synthetics の AWS マネージド (事前定義された) ポリシー
CloudWatchSyntheticsFullAccess および CloudWatchSyntheticsReadOnlyAccess AWS マネージドポリシーは、CloudWatch Synthetics を管理または使用するユーザーに割り当てることができます。次の追加ポリシーも関連します。
AmazonS3ReadOnlyAccess および CloudWatchReadOnlyAccess – これらは、CloudWatch コンソールですべての Synthetics データを読み取ることができるようにするために必要です。
[AWSLambdaReadOnlyAccess] – Canary で使用されているソースコードを表示できるようにします。
-
[CloudWatchSyntheticsFullAccess] で、Canary を作成できるようになります。さらに、Canary 用に作成された新しい IAM ロールを持つ Canary の作成と削除には、次のインラインポリシーステートメントも必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:AttachRolePolicy", "iam:DetachRolePolicy", ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }重要 ユーザーに
iam:CreateRole、iam:DeleteRole、iam:CreatePolicy、iam:DeletePolicy、iam:AttachRolePolicy、およびiam:DetachRolePolicyのアクセス許可を付与すると、arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*およびarn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*に一致する ARN を持つロールおよびポリシーを作成、アタッチ、および削除する完全な管理アクセス権がそのユーザーに付与されます。例えば、これらのアクセス許可を持つユーザーは、すべてのリソースに対する完全なアクセス許可を持つポリシーを作成し、そのポリシーを上記の ARN パターンに一致する任意のロールにアタッチできます。これらのアクセス許可を付与するユーザーには十分注意してください。ポリシーのアタッチとユーザーへのアクセス許可の付与については、「IAM ユーザーのアクセス許可の変更」および「ユーザーまたはロールのインラインポリシーを埋め込むには」を参照してください。
CloudWatchSyntheticsFullAccess
CloudWatchSyntheticsFullAccess ポリシーの内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::cw-syn-results-*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "s3:ListAllMyBuckets", "xray:GetTraceSummaries", "xray:BatchGetTraces", "apigateway:GET" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::cw-syn-*" }, { "Effect": "Allow", "Action": [ "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::aws-synthetics-library-*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "synthetics.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:AddPermission", "lambda:PublishVersion", "lambda:UpdateFunctionCode", "lambda:UpdateFunctionConfiguration", "lambda:GetFunctionConfiguration", "lambda:DeleteFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:cwsyn-*" ] }, { "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:PublishLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": [ "arn:aws:lambda:*:*:layer:cwsyn-*", "arn:aws:lambda:*:*:layer:Synthetics:*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Synthetics-*" ] }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }
CloudWatchSyntheticsReadOnlyAccess
CloudWatchSyntheticsReadOnlyAccess ポリシーの内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "synthetics:Describe*", "synthetics:Get*", "synthetics:List*", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }
Amazon CloudWatch RUM の AWS マネージド (事前定義) ポリシー
AmazonCloudWatchRUMFullAccess および AmazonCloudWatchRUMReadOnlyAccess AWS マネージドポリシーは、CloudWatch RUM を管理または使用するユーザーに割り当てることができます。
AmazonCloudWatchRUMFullAccess
AmazonCloudWatchRUMFullAccess ポリシーの内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/rum.amazonaws.com/AWSServiceRoleForRealUserMonitoring" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/RUM-Monitor*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "cognito-identity.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "arn:aws:cloudwatch:*:*:alarm:*" }, { "Effect": "Allow", "Action": [ "cognito-identity:CreateIdentityPool", "cognito-identity:ListIdentityPools", "cognito-identity:DescribeIdentityPool", "cognito-identity:GetIdentityPoolRoles", "cognito-identity:SetIdentityPoolRoles" ], "Resource": "arn:aws:cognito-identity:*:*:identitypool/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:*RUMService*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group::log-stream:*" }, { "Effect": "Allow", "Action": [ "synthetics:describeCanaries", "synthetics:describeCanariesLastRun" ], "Resource": "arn:aws:synthetics:*:*:canary:*" } ] }
AmazonCloudWatchRUMReadOnlyAccess
AmazonCloudWatchRUMReadOnlyAccess ポリシーの内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rum:GetAppMonitor", "rum:GetAppMonitorData", "rum:ListAppMonitors", "rum:ListRumMetricsDestinations", "rum:BatchGetRumMetricDefinitions" ], "Resource": "*" } ] }
AmazonCloudWatchRUMServiceRolePolicy
AmazonCloudWatchRUMServiceRolePolicy は IAM エンティティにアタッチできません。このポリシーは、モニターリングデータを他の関連する AWS のサービスに CloudWatch RUM が公開することを許可する、サービスにリンクされたロールにアタッチされます。サービスにリンクされたこのロールの詳細については、「CloudWatch RUM のサービスにリンクされたロールの使用」を参照してください。
AmazonCloudWatchRUMServiceRolePolicy の詳細な内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } } } ] }
CloudWatch Evidently の AWS マネージド (事前定義) ポリシー
CloudWatchEvidentlyFullAccess および CloudWatchEvidentlyReadOnlyAccess AWS マネージドポリシーは、CloudWatch Evidently を管理または使用するユーザーに割り当てることができます。
CloudWatchEvidentlyFullAccess
CloudWatchEvidentlyFullAccess ポリシーの内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "cloudwatch:TagResource", "cloudwatch:UnTagResource" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:Evidently-Alarm-*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:Subscribe", "sns:ListSubscriptionsByTopic" ], "Resource": [ "arn:*:sns:*:*:Evidently-*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] } ] }
CloudWatchEvidentlyReadOnlyAccess
CloudWatchEvidentlyReadOnlyAccess ポリシーの内容は次のとおりです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "evidently:GetExperiment", "evidently:GetFeature", "evidently:GetLaunch", "evidently:GetProject", "evidently:GetSegment", "evidently:ListExperiments", "evidently:ListFeatures", "evidently:ListLaunches", "evidently:ListProjects", "evidently:ListSegments", "evidently:ListSegmentReferencs" ], "Resource": "*" } ] }
AWS Systems Manager Incident Manager の AWS マネージドポリシー
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy ポリシーは、サービスにリンクされたロールにアッタッチされ、CloudWatch がお客様に代わって AWS Systems Manager Incident Manager でインシデントを開始できるようにします。詳細については、「CloudWatch アラーム Systems Manager Incident Manager アクションのサービスにリンクされたロールの許可」を参照してください。
このポリシーには、以下のアクセス許可があります。
ssm-incidents:StartIncident
お客様が管理するポリシーの例
このセクションでは、さまざまな CloudWatch アクションのアクセス権限を付与するユーザーポリシー例を示しています。これらのポリシーは、CloudWatch API、AWS SDK、または AWS CLI を使用しているときに機能します。
例
例 1: ユーザーに CloudWatch への完全アクセスを許可する
CloudWatch へのフルアクセスをユーザーに付与するには、カスタマー管理ポリシーを作成する代わりに、CloudWatchFullAccess 管理ポリシーをユーザーに付与できます。CloudWatchFullAccess の内容を CloudWatchFullAccess に示します。
例 2: CloudWatch への読み取り専用アクセスを許可する
次のポリシーにより、ユーザーは CloudWatch への読み取り専用アクセスを行え、Amazon EC2 Auto Scaling アクション、CloudWatch メトリクス、CloudWatch Logs データ、アラーム関連の Amazon SNS データを表示できます。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "autoscaling:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "logs:Get*", "logs:Describe*", "sns:Get*", "sns:List*" ], "Effect": "Allow", "Resource": "*" } ] }
例 3: Amazon EC2 インスタンスを停止または終了する
以下のポリシーは、CloudWatch アラームアクションにより EC2 インスタンスの停止または終了を許可します。下の例では、GetMetricData、ListMetrics、DescribeAlarms アクションはオプションです。これらのアクションを含めて、インスタンスが正常に停止または終了したことを確認することをお勧めします。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:DescribeAlarms" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
CloudWatch の AWS マネージドポリシーへの更新
CloudWatch の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を入手するには、CloudWatch ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
CloudWatch が、CloudWatch メトリクスを共有する CloudWatch クロスアカウントオブザーバビリティのリンクを管理できるようにする新しいポリシーを追加しました。 詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。 |
2022 年 11 月 27 日 | |
|
OAMFullAccess – 新しいポリシー |
CloudWatch が、CloudWatch クロスアカウントオブザーバビリティのリンクとシンクを完全に管理できるようにする新しいポリシーを追加しました。 詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。 |
2022 年 11 月 27 日 |
|
OAMReadOnlyAccess – 新しいポリシー |
CloudWatch が、CloudWatch クロスアカウントオブザーバビリティのリンクとシンクに関する情報を表示できるようにする新しいポリシーを追加しました。 詳細については、「CloudWatch のクロスアカウントオブザーバビリティ」を参照してください。 |
2022 年 11 月 27 日 |
|
CloudWatchFullAccess – 既存のポリシーに対する更新 |
CloudWatch が、CloudWatchFullAccess に対する許可を追加しました。 このポリシーを持つユーザーがコンソールを使用して、CloudWatch のクロスアカウントオブザーバビリティでソースアカウントから共有されたデータを表示できるようにするための |
2022 年 11 月 27 日 |
|
CloudWatchReadOnlyAccess – 既存のポリシーに対する更新 |
CloudWatch が、CloudWatchReadOnlyAccess に対する許可を追加しました。 このポリシーを持つユーザーがコンソールを使用して、CloudWatch のクロスアカウントオブザーバビリティでソースアカウントから共有されたデータを表示できるようにするための |
2022 年 11 月 27 日 |
AmazonCloudWatchRUMReadOnlyAccess – ポリシーを更新 |
CloudWatch で AmazonCloudWatchRUMReadOnlyAccess ポリシーにアクセス許可が追加されました。 CloudWatch RUM が拡張メトリクスを CloudWatch と Evidently に送信できるように、 |
2022 年 10 月 27 日 |
AmazonCloudWatchRUMServiceRolePolicy – 既存のポリシーへの更新 |
CloudWatch RUM で AmazonCloudWatchRUMServiceRolePolicy へのアクセス許可が追加されました。 CloudWatch RUM が拡張メトリクスを CloudWatch に送信できるように、 |
2022 年 10 月 26 日 |
|
CloudWatchEvidentlyReadOnlyAccess — 既存のポリシーへの更新 |
CloudWatch Evidently が、CloudWatchEvidentlyReadOnlyAccess にアクセス許可を追加しました。 このポリシーを持つユーザーが、作成された Evidently のオーディエンスセグメントを表示できるように |
2022 年 8 月 12 日 |
|
CloudWatchSyntheticsFullAccess – 既存のポリシーを更新 |
CloudWatch Synthetics が、CloudWatchSyntheticsFullAccess にアクセス許可を追加しました。 Canary が削除されたときに CloudWatch Synthetics が関連リソースを削除できるように、 |
2022 年 5 月 6 日 |
|
AmazonCloudWatchRUMFullAccess – 新しいポリシー |
CloudWatch に CloudWatch RUM の完全な管理を有効にする新しいポリシーが追加されました。 CloudWatch RUM を使用すると、ウェブアプリケーションの実際のユーザーモニターリングを実行できます。詳細については、「CloudWatch RUM を使用する」を参照してください。 |
2021 年 11 月 29 日 |
|
AmazonCloudWatchRUMReadOnlyAccess – 新しいポリシー |
CloudWatch に CloudWatch RUM への読み取り専用のアクセス権限を有効にする新しいポリシーが追加されました。 CloudWatch RUM を使用すると、ウェブアプリケーションの実際のユーザーモニターリングを実行できます。詳細については、「CloudWatch RUM を使用する」を参照してください。 |
2021 年 11 月 29 日 |
|
CloudWatchEvidentlyFullAccess – 新しいポリシー |
CloudWatch に CloudWatch Evidently の完全な管理を有効にする新しいポリシーが追加されました。 CloudWatch Evidently では、ウェブアプリケーションの A/B 実験を実行し、徐々にロールアウトすることができます。詳細については、「CloudWatch Evidently での起動と A/B 実験を実行する」を参照してください。 |
2021 年 11 月 29 日 |
|
CloudWatchEvidentlyReadOnlyAccess – 新しいポリシー |
CloudWatch に CloudWatch Evidently への読み取り専用のアクセスを有効にする新しいポリシーが追加されました。 CloudWatch Evidently では、ウェブアプリケーションの A/B 実験を実行し、徐々にロールアウトすることができます。詳細については、「CloudWatch Evidently での起動と A/B 実験を実行する」を参照してください。 |
2021 年 11 月 29 日 |
|
AWSServiceRoleForCloudWatchRUM – 新しい管理ポリシー |
CloudWatch にサービスにリンクされた新しいロールのポリシーが追加されて、CloudWatch RUM がモニターリングデータを他の関連する AWS のサービスに公開できるようになりました。 |
2021 年 11 月 29 日 |
|
CloudWatchSyntheticsFullAccess – 既存のポリシーを更新 |
CloudWatch Synthetics で CloudWatchSyntheticsFullAccess へのアクセス許可が追加され、また、1 つのアクセス許可の範囲も変更されました。
|
2021 年 9 月 29 日 |
|
CloudWatchSyntheticsFullAccess – 既存のポリシーを更新 |
CloudWatch Synthetics が、CloudWatchSyntheticsFullAccess に許可を追加しました。 このポリシーを持つユーザーが Canary のランタイムバージョンを変更できるように、 |
2021 年 7 月 20 日 |
|
AWSCloudWatchAlarms_ActionSSMIncidentsServiceRolePolicy – 新しい管理ポリシー |
CloudWatch は、AWS Systems Manager Incident Manager でインシデントを作成できるように、新しい IAM マネージドポリシーを追加しました。 |
2021 年 5 月 10 日 |
CloudWatchAutomaticDashboardsAccess – 既存のポリシーに対する更新 |
CloudWatch が、CloudWatchAutomaticDashboardsAccess 管理ポリシーにアクセス権限を追加しました。クロスアカウントダッシュボードユーザーが、CloudWatch Synthetics Canary 実行の詳細を表示するための |
2021 年 4 月 20 日 |
|
CloudWatch が変更の追跡を開始しました |
CloudWatch が、AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 4 月 14 日 |
