Funções e permissões necessárias para usuários que gerenciam canaries do CloudWatch - Amazon CloudWatch

Funções e permissões necessárias para usuários que gerenciam canaries do CloudWatch

Para visualizar detalhes do canário e os resultados de execuções do canário, é necessário estar conectado como um usuário do que tenha as políticas CloudWatchSyntheticsFullAccess ou CloudWatchSyntheticsReadOnlyAccess anexadas. Para ler todos os dados do Synthetics no console, você também precisa das políticas AmazonS3ReadOnlyAccess e CloudWatchReadOnlyAccess. Para visualizar o código-fonte usado pelos canaries, também é necessária a política AWSLambda_ReadOnlyAccess.

Para criar canários, é necessário estar conectado como um usuário que tenha a política CloudWatchSyntheticsFullAccess ou um conjunto semelhante de permissões. Para criar funções do IAM para os canaries, também é necessária a seguinte instrução de política em linha:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
                "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
            ]
        }
    ]
}
Importante

Conceder a um usuário as permissões iam:CreateRole, iam:CreatePolicy e iam:AttachRolePolicy concede a esse usuário acesso administrativo total à conta da AWS. Por exemplo, um usuário com essas permissões pode criar uma política com permissões totais para todos os recursos e associar essa política a qualquer função. Seja muito cuidadoso a quem você concede essas permissões.

Para obter informações sobre como anexar políticas e conceder permissões a usuários, consulte Alterar permissões para um usuário do IAM e Incorporar uma política em linha para um usuário ou para uma função.