Amazon CloudWatch の許可リファレンス - Amazon CloudWatch

Amazon CloudWatch の許可リファレンス

アクセスコントロール をセットアップし、IAM アイデンティティ (アイデンティティベースのポリシー) にアタッチできるアクセス権限ポリシーを作成する際、以下の表をリファレンスとして使用できます。この表には、各 CloudWatch API オペレーション、およびその実行のためのアクセス権限を付与できる対応するアクションを示しています。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソース値としてワイルドカード文字 (*) を指定します。

CloudWatch ポリシーで AWS 全体の条件キーを使用して、条件を表現できます。AWS 全体を対象とするすべてのキーのリストについては、IAM ユーザーガイドAWS グローバルキーと IAM 条件コンテキストキーを参照してください。

注記

アクションを指定するには、API オペレーション名の前に cloudwatch: プレフィックスを使用します。例えば、cloudwatch:GetMetricDatacloudwatch:ListMetrics、または cloudwatch:* (すべての CloudWatch アクションの場合)。

CloudWatch API オペレーションおよびアクションに必要な許可

CloudWatch API オペレーション 必要なアクセス許可 (API アクション)

DeleteAlarms

cloudwatch:DeleteAlarms

アラームを削除するのに必要です。

DeleteDashboards

cloudwatch:DeleteDashboards

ダッシュボードを削除するために必要です。

DeleteMetricStream

cloudwatch:DeleteMetricStream

メトリクスストリームを削除するために必要です。

DescribeAlarmHistory

cloudwatch:DescribeAlarmHistory

アラーム履歴を表示するのに必要です。

DescribeAlarms

cloudwatch:DescribeAlarms

アラーム情報を名前で検索するのに必要です。

DescribeAlarmsForMetric

cloudwatch:DescribeAlarmsForMetric

メトリクスのアラームを表示するのに必要です。

DisableAlarmActions

cloudwatch:DisableAlarmActions

アラームアクションを無効にするのに必要です。

EnableAlarmActions

cloudwatch:EnableAlarmActions

アラームアクションを有効にするのに必要です。

GetDashboard

cloudwatch:GetDashboard

既存のダッシュボードに関するデータを表示するのに必要です。

GetMetricData

cloudwatch:GetMetricData

CloudWatch コンソールでメトリクスデータをグラフ化し、大規模なメトリクスデータのバッチを取得し、そのデータで Metric Math を実行するために必要です。

GetMetricStatistics

cloudwatch:GetMetricStatistics

CloudWatch コンソールの他の部分やダッシュボードウィジェットにあるグラフを見るのに必要です。

GetMetricStream

cloudwatch:GetMetricStream

メトリクスストリームに関する情報を表示するために必要です。

GetMetricWidgetImage

cloudwatch:GetMetricWidgetImage

1 つ以上の CloudWatch メトリクスのスナップショットグラフをビットマップイメージとして取得するために必要です。

ListDashboards

cloudwatch:ListDashboards

アカウントで CloudWatch ダッシュボードのリストを表示するのに必要です。

ListMetrics

cloudwatch:ListMetrics

CloudWatch コンソール内または CLI のメトリクス名を表示または検索するのに必要です。ダッシュボードウィジェットでメトリクスを選択するために必要です。

ListMetricStreams

cloudwatch:ListMetricStreams

アカウント内のメトリクスストリームのリストを、表示または検索するために必要です。

PutDashboard

cloudwatch:PutDashboard

ダッシュボードを作成または既存のダッシュボードを更新するのに必要です。

PutMetricAlarm

cloudwatch:PutMetricAlarm

アラームを作成または更新するのに必要です。

PutMetricData

cloudwatch:PutMetricData

メトリクスを作成するために必要です。

PutMetricStream

cloudwatch:PutMetricStream

メトリクスストリームを作成するために必要です。

SetAlarmState

cloudwatch:SetAlarmState

手動でアラームの状態を設定するのに必要です。

StartMetricStreams

cloudwatch:StartMetricStreams

メトリクスストリームでメトリクスのフローを開始するために必要です。

StopMetricStreams

cloudwatch:StopMetricStreams

メトリクスストリーム内のメトリクスのフローを、一時的に停止するために必要です。

TagResource

cloudwatch:TagResource

アラームや Contributor Insights ルールなど、CloudWatch リソースのタグを追加または更新するために必要です。

UntagResource

cloudwatch:UntagResource

CloudWatch リソースからタグを削除するために必要です。

CloudWatch Contributor Insights API オペレーションとアクションに必要な許可

重要

ユーザーに cloudwatch:PutInsightRule アクセス許可を付与すると、デフォルトでは、そのユーザーは CloudWatch Logs 内の任意のロググループを評価するルールを作成できます。特定のロググループを含める、および除外するユーザーのアクセス許可を制限する IAM ポリシー条件を追加できます。詳細については、「」を参照してくださいContributor Insights のユーザーのロググループへのアクセスを制限するための条件キーの使用

CloudWatch Contributor Insights API オペレーション 必要なアクセス許可 (API アクション)

DeleteInsightRules

cloudwatch:DeleteInsightRules

Contributor Insights ルールを削除するために必要です。

DescribeInsightRules

cloudwatch:DescribeInsightRules

アカウントの Contributor Insights ルールを表示するために必要です。

EnableInsightRules

cloudwatch:EnableInsightRules

Contributor Insights ルールを有効にするために必要です。

GetInsightRuleReport

cloudwatch:GetInsightRuleReport

Contributor Insights ルールによって収集された時系列データおよびその他の統計情報を取得するために必要です。

PutInsightRule

cloudwatch:PutInsightRule

Contributor Insights ルールを作成するために必要です。このテーブルの冒頭にある「重要」の注記を参照してください。

CloudWatch Events API オペレーションおよびアクションに必要な許可

CloudWatch Events API オペレーション 必要なアクセス許可 (API アクション)

DeleteRule

events:DeleteRule

ルールを削除するのに必要です。

DescribeRule

events:DescribeRule

ルールについての詳細を一覧表示するのに必要です。

DisableRule

events:DisableRule

ルールを無効にするのに必要です。

EnableRule

events:EnableRule

ルールを有効にするのに必要です。

ListRuleNamesByTarget

events:ListRuleNamesByTarget

ターゲットと関連付けられるルールを一覧表示するために必要です。

ListRules

events:ListRules

アカウントの全グループを一覧表示するために必要です。

ListTargetsByRule

events:ListTargetsByRule

ルールと関連付けられるすべてのターゲットを一覧表示するために必要です。

PutEvents

events:PutEvents

ルールと一致するカスタムイベントを追加するために必要です。

PutRule

events:PutRule

ルールを作成または更新するために必要です。

PutTargets

events:PutTargets

ルールにターゲットを追加するために必要です。

RemoveTargets

events:RemoveTargets

ターゲットをルールから削除するために必要です。

TestEventPattern

events:TestEventPattern

特定のイベントに対してイベントパターンをテストするために必要です。

CloudWatch Logs API オペレーションおよびアクションに必要な許可

CloudWatch Logs API のオペレーション 必要なアクセス許可 (API アクション)

CancelExportTask

logs:CancelExportTask

保留中または実行中のエクスポートタスクをキャンセルするのに必要です。

CreateExportTask

logs:CreateExportTask

ロググループから Amazon S3バケットにデータをエクスポートするのに必要です。

CreateLogGroup

logs:CreateLogGroup

新しいロググループを作成するのに必要です。

CreateLogStream

logs:CreateLogStream

ロググループに新しいログストリームを作成するのに必要です。

DeleteDestination

logs:DeleteDestination

ログ宛先を削除したり、サブスクリプションのフィルタを無効化するのに必要です。

DeleteLogGroup

logs:DeleteLogGroup

ロググループや関連したアーカイブログイベントを削除するのに必要です。

DeleteLogStream

logs:DeleteLogStream

ログストリームや関連したアーカイブログイベントを削除するのに必要です。

DeleteMetricFilter

logs:DeleteMetricFilter

ロググループに関連したメトリクスフィルタを削除するのに必要です。

DeleteQueryDefinition

logs:DeleteQueryDefinition

CloudWatch Logs Insights で保存されたクエリ定義を削除するのに必要です。

DeleteResourcePolicy

logs:DeleteResourcePolicy

CloudWatch Logs リソースポリシーを削除するために必要です。

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

ロググループの保持ポリシーを削除するのに必要です。

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

ロググループに関連したサブスクリプションのフィルタを削除するのに必要です。

DescribeDestinations

logs:DescribeDestinations

アカウントに関連したすべての送信先を表示するのに必要です。

DescribeExportTasks

logs:DescribeExportTasks

アカウントに関連したすべてのエクスポートタスクを表示するのに必要です。

DescribeLogGroups

logs:DescribeLogGroups

アカウントに関連したすべてのロググループを表示するのに必要です。

DescribeLogStreams

logs:DescribeLogStreams

ロググループに関連したすべてのログストリームを表示するのに必要です。

DescribeMetricFilters

logs:DescribeMetricFilters

ロググループに関連したすべてのメトリクスを表示するのに必要です。

DescribeQueryDefinitions

logs:DescribeQueryDefinitions

CloudWatch Logs Insights で保存されたクエリ定義のリストを表示するために必要です。

DescribeQueries

logs:DescribeQueries

スケジュールされた、実行された、または最近実行された CloudWatch Logs Insights クエリのリストを表示するために必要です。

DescribeResourcePolicies

logs:DescribeResourcePolicies

CloudWatch Logs リソースポリシーのリストを表示するために必要です。

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

ロググループに関連したすべてのサブスクリプションフィルタを表示するのに必要です。

FilterLogEvents

logs:FilterLogEvents

ロググループのフィルタパターンでログイベントをソートするのに必要です。

GetLogEvents

logs:GetLogEvents

ログストリームからログイベントを取得するのに必要です。

GetLogGroupFields

logs:GetLogGroupFields

ロググループのログイベントに含まれるフィールドのリストを取得するために必要です。

GetLogRecord

logs:GetLogRecord

1 つのログイベントから詳細を取得するために必要です。

GetQueryResults

logs:GetQueryResults

CloudWatch Logs Insights クエリの結果を取得するために必要です。

ListTagsLogGroup

logs:ListTagsLogGroup

ロググループに関連したタグをリストするのに必要です。

PutDestination

logs:PutDestination

宛先ログストリーム (Kinesis ストリームなど) の作成や更新に必要です。

PutDestinationPolicy

logs:PutDestinationPolicy

既存のログ宛先に関連するアクセスポリシーの作成や更新に必要です。

PutLogEvents

logs:PutLogEvents

一連のログイベントをログストリームに更新するのに必要です。

PutMetricFilter

logs:PutMetricFilter

メトリクスフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。

PutQueryDefinition

logs:PutQueryDefinition

CloudWatch Logs Insights にクエリを保存するために必要です。

PutResourcePolicy

logs:PutResourcePolicy

CloudWatch Logs リソースポリシーを作成するために必要です。

PutRetentionPolicy

logs:PutRetentionPolicy

ロググループでログイベント (保持) を維持する日数を設定するのに必要です。

PutSubscriptionFilter

logs:PutSubscriptionFilter

サブスクリプションフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。

StartQuery

logs:StartQuery

CloudWatch Logs Insights クエリを開始するために必要です。

StopQuery

logs:StopQuery

進行中の CloudWatch Logs Insights クエリを停止するために必要です。

TagLogGroup

logs:TagLogGroup

ロググループのタグを追加または更新するのに必要です。

TestMetricFilter

logs:TestMetricFilter

ログイベントメッセージのサンプリングに対してフィルタパターンをテストするのに必要です。

Amazon EC2 API オペレーションおよびアクションで必要な許可

Amazon EC2 API オペレーション 必要なアクセス許可 (API アクション)

DescribeInstanceStatus

ec2:DescribeInstanceStatus

EC2 インスタンスの状態の詳細を表示するのに必要です。

DescribeInstances

ec2:DescribeInstances

EC2 インスタンスの詳細を表示するのに必要です。

RebootInstances

ec2:RebootInstances

EC2 インスタンスを再起動するために必要です。

StopInstances

ec2:StopInstances

EC2 インスタンスを停止するのに必要です。

TerminateInstances

ec2:TerminateInstances

EC2 インスタンスを削除するのに必要です。

Amazon EC2 Auto Scaling API オペレーションとアクションに必要な許可

Amazon EC2 Auto Scaling API オペレーション 必要なアクセス許可 (API アクション)

スケーリング

autoscaling:Scaling

Auto Scaling グループをスケーリングするために必要です。

Trigger

autoscaling:Trigger

Auto Scaling アクションをトリガーするために必要です。