Políticas do IAM para usar o Evidently
Para gerenciar totalmente o CloudWatch Evidently, você deve estar conectado como um usuário ou função do IAM que tenha as seguintes permissões:
A política AmazonCloudWatchEvidentlyFullAccess
A política ResourceGroupsandTagEditorReadOnlyAccess
Além disso, para poder criar um projeto que armazene eventos de avaliação no Amazon S3 ou no CloudWatch Logs, você precisa das seguintes permissões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": [ "*" ] } ] }
Permissões adicionais para integração com o CloudWatch RUM
Além disso, se você pretende gerenciar lançamentos ou experimentos Evidently que se integram ao Amazon CloudWatch RUM e usar métricas de RUM do CloudWatch para monitoramento, você precisa da política AmazonCloudWatchRUMFullAccess. Para criar uma função do IAM para dar ao cliente da Web CloudWatch RUM permissão para enviar dados ao CloudWatch RUM, você precisa das seguintes permissões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchRUMEvidentlyRole-*", "arn:aws:iam::*:policy/service-role/CloudWatchRUMEvidentlyPolicy-*" ] } ] }
Para dar permissão somente leitura para acesso ao Evidently
Para outros usuários que precisam visualizar dados do Evidently, mas não precisam criar recursos do Evidently, você pode conceder a política AmazonCloudWatchEvidentlyReadOnlyAccess.