为 Amazon 设置权限 CloudWatch

使用 AWS Identity and Access Management (IAM) 创建一个能提供以下内容的角色 AWS Elemental MediaTailor 访问亚马逊 CloudWatch。您必须执行以下步骤才能为您的账户发布 CloudWatch 日志。 CloudWatch自动发布您账户的指标。

允许 MediaTailor 访问 CloudWatch

1. 打开IAM控制台，网址为https://console.aws.amazon.com/iam/。

2. 在IAM控制台的导航窗格中，选择角色，然后选择创建角色。

3. 选择另一个 AWS 账户角色类型。

4. 对于账户 ID，请输入您的 AWS 账号。

5. 选择 Require external ID (需要外部 ID) 并输入 Midas。此选项会在信任策略中自动添加一个条件，即仅当请求包含正确的 sts:ExternalID 时，该服务才代入该角色。

6. 选择下一步: 权限。

7. 添加指定此角色可完成的操作的权限策略。从以下选项中选择一项，然后选择 Next: Review (下一步: 审核)：

   • CloudWatchLogsFullAccess提供对 Amazon CloudWatch 日志的完全访问权限

   • CloudWatchFullAccess提供对 Amazon 的完全访问权限 CloudWatch

8. 对于角色名称，输入 MediaTailorLogger，然后选择创建角色。

9. 在 Roles (角色) 页面上，选择您刚刚创建的角色。

10. 要更新委托人，请编辑信任关系：

    1. 在角色的 Summary (摘要) 页上，选择 Trust relationship (信任关系) 选项卡。

    2. 选择编辑信任关系。

    3. 在策略文档中，将委托人更改为 MediaTailor服务。它应如下所示：

       "Principal": {
          "Service": "mediatailor.amazonaws.com"
       },

       整个策略的内容现在应如下所示：

       {
         "Version": "2012-10-17",
         "Statement": [
           {
             "Effect": "Allow",
             "Principal": {
               "Service": "mediatailor.amazonaws.com"
             },
             "Action": "sts:AssumeRole",
             "Condition": {
               "StringEquals": {
                 "sts:ExternalId": "Midas"
               }
             }
           }
         ]
       }

    4. 选择更新信任策略。