CloudWatch API オペレーションおよびアクションに必要な許可 CloudWatch Contributor Insights API オペレーションとアクションに必要な許可 CloudWatch Events API オペレーションおよびアクションに必要な許可 CloudWatch Logs API オペレーションおよびアクションに必要な許可 Amazon EC2 API オペレーションおよびアクションで必要な許可 Amazon EC2 Auto Scaling API オペレーションとアクションに必要な許可

Amazon CloudWatch の許可リファレンス

次の表は、各 CloudWatch API オペレーションや、そのアクションを実行するためにアクセス許可を付与できる関連アクションを示しています。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソース値としてワイルドカード文字 (*) を指定します。

CloudWatch ポリシーで AWS 全体の条件キーを使用して、条件を表現できます。AWS 全体を対象とするすべてのキーのリストについては、IAM ユーザーガイドの AWS グローバルキーと IAM 条件コンテキストキーを参照してください。

注記

アクションを指定するには、API オペレーション名の前に cloudwatch: プレフィックスを使用します。例えば、cloudwatch:GetMetricData、cloudwatch:ListMetrics、または cloudwatch:* (すべての CloudWatch アクションの場合)。

トピック

CloudWatch API オペレーションおよびアクションに必要な許可
CloudWatch Contributor Insights API オペレーションとアクションに必要な許可
CloudWatch Events API オペレーションおよびアクションに必要な許可
CloudWatch Logs API オペレーションおよびアクションに必要な許可
Amazon EC2 API オペレーションおよびアクションで必要な許可
Amazon EC2 Auto Scaling API オペレーションとアクションに必要な許可

CloudWatch API オペレーションおよびアクションに必要な許可

CloudWatch API オペレーション	必要なアクセス許可 (API アクション)
DeleteAlarms	`cloudwatch:DeleteAlarms` アラームを削除するのに必要です。
DeleteDashboards	`cloudwatch:DeleteDashboards` ダッシュボードを削除するために必要です。
DeleteMetricStream	`cloudwatch:DeleteMetricStream` メトリクスストリームを削除するために必要です。
DescribeAlarmHistory	`cloudwatch:DescribeAlarmHistory` アラーム履歴を表示するのに必要です。複合アラームに関する情報を取得するには、`cloudwatch:DescribeAlarmHistory` のアクセス許可に `*` の範囲が必要です。`cloudwatch:DescribeAlarmHistory` のアクセス許可の範囲が狭い場合、複合アラームに関する情報を返すことはできません。
DescribeAlarms	`cloudwatch:DescribeAlarms` アラームに関する情報を取得するために必要です。複合アラームに関する情報を取得するには、`cloudwatch:DescribeAlarms` のアクセス許可に `*` の範囲が必要です。`cloudwatch:DescribeAlarms` のアクセス許可の範囲が狭い場合、複合アラームに関する情報を返すことはできません。
DescribeAlarmsForMetric	`cloudwatch:DescribeAlarmsForMetric` メトリクスのアラームを表示するのに必要です。
DisableAlarmActions	`cloudwatch:DisableAlarmActions` アラームアクションを無効にするのに必要です。
EnableAlarmActions	`cloudwatch:EnableAlarmActions` アラームアクションを有効にするのに必要です。
GetDashboard	`cloudwatch:GetDashboard` 既存のダッシュボードに関するデータを表示するのに必要です。
GetMetricData	`cloudwatch:GetMetricData` CloudWatch コンソールでメトリクスデータをグラフ化し、大規模なメトリクスデータのバッチを取得してそのデータで Metric Math を実行するために必要となるものです。
GetMetricStatistics	`cloudwatch:GetMetricStatistics` CloudWatch コンソールの他の部分やダッシュボードウィジェットにあるグラフを見るのに必要です。
GetMetricStream	`cloudwatch:GetMetricStream` メトリクスストリームに関する情報を表示するために必要です。
GetMetricWidgetImage	`cloudwatch:GetMetricWidgetImage` 1 つ以上の CloudWatch メトリクスのスナップショットグラフをビットマップイメージとして取得するために必要です。
ListDashboards	`cloudwatch:ListDashboards` アカウントで CloudWatch ダッシュボードのリストを表示するのに必要です。
ListMetrics	`cloudwatch:ListMetrics` CloudWatch コンソール内または CLI のメトリクス名を表示または検索するのに必要です。ダッシュボードウィジェットでメトリクスを選択するために必要です。
ListMetricStreams	`cloudwatch:ListMetricStreams` アカウント内のメトリクスストリームのリストを、表示または検索するために必要です。
PutCompositeAlarm	`cloudwatch:PutCompositeAlarm` 複合アラームを作成するために必要です。複合アラームを作成するには、`cloudwatch:PutCompositeAlarm` のアクセス許可に `*` の範囲が必要です。`cloudwatch:PutCompositeAlarm` のアクセス許可の範囲が狭い場合、複合アラームに関する情報を返すことはできません。
PutDashboard	`cloudwatch:PutDashboard` ダッシュボードを作成または既存のダッシュボードを更新するのに必要です。
PutMetricAlarm	`cloudwatch:PutMetricAlarm` アラームを作成または更新するのに必要です。
PutMetricData	`cloudwatch:PutMetricData` メトリクスを作成するために必要です。
PutMetricStream	`cloudwatch:PutMetricStream` メトリクスストリームを作成するために必要です。
SetAlarmState	`cloudwatch:SetAlarmState` 手動でアラームの状態を設定するのに必要です。
StartMetricStreams	`cloudwatch:StartMetricStreams` メトリクスストリームでメトリクスのフローを開始するために必要です。
StopMetricStreams	`cloudwatch:StopMetricStreams` メトリクスストリーム内のメトリクスのフローを、一時的に停止するために必要です。
TagResource	`cloudwatch:TagResource` アラームや Contributor Insights ルールなど、CloudWatch リソースのタグを追加または更新するために必要です。
UntagResource	`cloudwatch:UntagResource` CloudWatch リソースからタグを削除するために必要です。

CloudWatch Contributor Insights API オペレーションとアクションに必要な許可

重要

ユーザーに cloudwatch:PutInsightRule アクセス許可を付与すると、デフォルトでは、そのユーザーは CloudWatch Logs 内の任意のロググループを評価するルールを作成できます。特定のロググループを含める、および除外するユーザーのアクセス許可を制限する IAM ポリシー条件を追加できます。詳細については、「Contributor Insights のユーザーのロググループへのアクセスを制限するための条件キーの使用」を参照してください。

CloudWatch Contributor Insights API オペレーション	必要なアクセス許可 (API アクション)
DeleteInsightRules	`cloudwatch:DeleteInsightRules` Contributor Insights ルールを削除するために必要です。
DescribeInsightRules	`cloudwatch:DescribeInsightRules` アカウントの Contributor Insights ルールを表示するために必要です。
EnableInsightRules	`cloudwatch:EnableInsightRules` Contributor Insights ルールを有効にするために必要です。
GetInsightRuleReport	`cloudwatch:GetInsightRuleReport` Contributor Insights ルールによって収集された時系列データおよびその他の統計情報を取得するために必要です。
PutInsightRule	`cloudwatch:PutInsightRule` Contributor Insights ルールを作成するために必要です。このテーブルの冒頭にある「重要」の注記を参照してください。

CloudWatch Events API オペレーションおよびアクションに必要な許可

CloudWatch Events API オペレーション	必要なアクセス許可 (API アクション)
DeleteRule	`events:DeleteRule` ルールを削除するのに必要です。
DescribeRule	`events:DescribeRule` ルールについての詳細を一覧表示するのに必要です。
DisableRule	`events:DisableRule` ルールを無効にするのに必要です。
EnableRule	`events:EnableRule` ルールを有効にするのに必要です。
ListRuleNamesByTarget	`events:ListRuleNamesByTarget` ターゲットと関連付けられるルールを一覧表示するために必要です。
ListRules	`events:ListRules` アカウントの全グループを一覧表示するために必要です。
ListTargetsByRule	`events:ListTargetsByRule` ルールと関連付けられるすべてのターゲットを一覧表示するために必要です。
PutEvents	`events:PutEvents` ルールと一致するカスタムイベントを追加するために必要です。
PutRule	`events:PutRule` ルールを作成または更新するために必要です。
PutTargets	`events:PutTargets` ルールにターゲットを追加するために必要です。
RemoveTargets	`events:RemoveTargets` ターゲットをルールから削除するために必要です。
TestEventPattern	`events:TestEventPattern` 特定のイベントに対してイベントパターンをテストするために必要です。

CloudWatch Logs API オペレーションおよびアクションに必要な許可

CloudWatch Logs API のオペレーション	必要なアクセス許可 (API アクション)
CancelExportTask	`logs:CancelExportTask` 保留中または実行中のエクスポートタスクをキャンセルするのに必要です。
CreateExportTask	`logs:CreateExportTask` ロググループから Amazon S3バケットにデータをエクスポートするのに必要です。
CreateLogGroup	`logs:CreateLogGroup` 新しいロググループを作成するのに必要です。
CreateLogStream	`logs:CreateLogStream` ロググループに新しいログストリームを作成するのに必要です。
DeleteDestination	`logs:DeleteDestination` ログ宛先を削除したり、サブスクリプションのフィルタを無効化するのに必要です。
DeleteLogGroup	`logs:DeleteLogGroup` ロググループや関連したアーカイブログイベントを削除するのに必要です。
DeleteLogStream	`logs:DeleteLogStream` ログストリームや関連したアーカイブログイベントを削除するのに必要です。
DeleteMetricFilter	`logs:DeleteMetricFilter` ロググループに関連したメトリクスフィルタを削除するのに必要です。
DeleteQueryDefinition	`logs:DeleteQueryDefinition` CloudWatch Logs Insights で保存されたクエリ定義を削除するのに必要です。
DeleteResourcePolicy	`logs:DeleteResourcePolicy` CloudWatch Logs リソースポリシーを削除するために必要です。
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` ロググループの保持ポリシーを削除するのに必要です。
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` ロググループに関連したサブスクリプションのフィルタを削除するのに必要です。
DescribeDestinations	`logs:DescribeDestinations` アカウントに関連したすべての送信先を表示するのに必要です。
DescribeExportTasks	`logs:DescribeExportTasks` アカウントに関連したすべてのエクスポートタスクを表示するのに必要です。
DescribeLogGroups	`logs:DescribeLogGroups` アカウントに関連したすべてのロググループを表示するのに必要です。
DescribeLogStreams	`logs:DescribeLogStreams` ロググループに関連したすべてのログストリームを表示するのに必要です。
DescribeMetricFilters	`logs:DescribeMetricFilters` ロググループに関連したすべてのメトリクスを表示するのに必要です。
DescribeQueryDefinitions	`logs:DescribeQueryDefinitions` CloudWatch Logs Insights で保存されたクエリ定義のリストを表示するために必要です。
DescribeQueries	`logs:DescribeQueries` スケジュールされた、実行された、または最近実行された CloudWatch Logs Insights クエリのリストを表示するために必要です。
DescribeResourcePolicies	`logs:DescribeResourcePolicies` CloudWatch Logs リソースポリシーのリストを表示するために必要です。
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` ロググループに関連したすべてのサブスクリプションフィルタを表示するのに必要です。
FilterLogEvents	`logs:FilterLogEvents` ロググループのフィルタパターンでログイベントをソートするのに必要です。
GetLogEvents	`logs:GetLogEvents` ログストリームからログイベントを取得するのに必要です。
GetLogGroupFields	`logs:GetLogGroupFields` ロググループのログイベントに含まれるフィールドのリストを取得するために必要です。
GetLogRecord	`logs:GetLogRecord` 1 つのログイベントから詳細を取得するために必要です。
GetQueryResults	`logs:GetQueryResults` CloudWatch Logs Insights クエリの結果を取得するために必要です。
ListTagsLogGroup	`logs:ListTagsLogGroup` ロググループに関連したタグをリストするのに必要です。
PutDestination	`logs:PutDestination` 宛先ログストリーム (Kinesis ストリームなど) の作成や更新に必要です。
PutDestinationPolicy	`logs:PutDestinationPolicy` 既存のログ宛先に関連するアクセスポリシーの作成や更新に必要です。
PutLogEvents	`logs:PutLogEvents` 一連のログイベントをログストリームに更新するのに必要です。
PutMetricFilter	`logs:PutMetricFilter` メトリクスフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。
PutQueryDefinition	`logs:PutQueryDefinition` CloudWatch Logs Insights にクエリを保存するために必要です。
PutResourcePolicy	`logs:PutResourcePolicy` CloudWatch Logs リソースポリシーを作成するために必要です。
PutRetentionPolicy	`logs:PutRetentionPolicy` ロググループでログイベント (保持) を維持する日数を設定するのに必要です。
PutSubscriptionFilter	`logs:PutSubscriptionFilter` サブスクリプションフィルタの作成や更新、またはそれをロググループに関連付けるのに必要です。
StartQuery	`logs:StartQuery` CloudWatch Logs Insights クエリを開始するために必要です。
StopQuery	`logs:StopQuery` 進行中の CloudWatch Logs Insights クエリを停止するために必要です。
TagLogGroup	`logs:TagLogGroup` ロググループのタグを追加または更新するのに必要です。
TestMetricFilter	`logs:TestMetricFilter` ログイベントメッセージのサンプリングに対してフィルタパターンをテストするのに必要です。

Amazon EC2 API オペレーションおよびアクションで必要な許可

Amazon EC2 API オペレーション	必要なアクセス許可 (API アクション)
DescribeInstanceStatus	`ec2:DescribeInstanceStatus` EC2 インスタンスの状態の詳細を表示するのに必要です。
DescribeInstances	`ec2:DescribeInstances` EC2 インスタンスの詳細を表示するのに必要です。
RebootInstances	`ec2:RebootInstances` EC2 インスタンスを再起動するために必要です。
StopInstances	`ec2:StopInstances` EC2 インスタンスを停止するのに必要です。
TerminateInstances	`ec2:TerminateInstances` EC2 インスタンスを削除するのに必要です。

Amazon EC2 Auto Scaling API オペレーションとアクションに必要な許可

Amazon EC2 Auto Scaling API オペレーション必要なアクセス許可 (API アクション)

Amazon EC2 Auto Scaling API オペレーション	必要なアクセス許可 (API アクション)
スケーリング	`autoscaling:Scaling` Auto Scaling グループをスケーリングするために必要です。
Trigger	`autoscaling:Trigger` Auto Scaling アクションをトリガーするために必要です。

スケーリング

autoscaling:Scaling

Auto Scaling グループをスケーリングするために必要です。

Trigger

autoscaling:Trigger

Auto Scaling アクションをトリガーするために必要です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Application Insights の AWS マネージドポリシー

コンプライアンス検証