View a markdown version of this page

管理 CloudWatch 金丝雀的用户的必需角色和权限 - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理 CloudWatch 金丝雀的用户的必需角色和权限

若要查看 Canary 详细信息和 Canary 运行的结果,您必须以附加了 CloudWatchSyntheticsFullAccess CloudWatchSyntheticsReadOnlyAccess 策略的用户身份登录。要在控制台中读取所有 Synthetics 数据,您还需要 AmazonS3ReadOnlyAccess CloudWatchReadOnlyAccess 策略。要查看金丝雀使用的源代码,您还需要 AWSLambda_ReadOnlyAccess 策略。

要创建 Canary ,您必须以具有 CloudWatchSyntheticsFullAccess 策略或类似权限集的用户身份登录。要为金丝雀创建 IAM 角色,您还需要以下内联策略语句:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
                "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
            ]
        }
    ]
}
重要

通过向用户授予 iam:CreateRoleiam:CreatePolicy iam:AttachRolePolicy 权限,用户将获得对 Amazon 账户的完全管理访问权限。例如,具有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到任何角色。请谨慎地为相关人员授予这些权限。

有关附加策略和向用户授予权限的信息,请参阅更改 IAM 用户的权限为用户或角色嵌入内联策略