管理 CloudWatch 金丝雀的用户的必需角色和权限
若要查看 Canary 详细信息和 Canary 运行的结果,您必须以附加了 CloudWatchSyntheticsFullAccess
或 CloudWatchSyntheticsReadOnlyAccess
策略的用户身份登录。要在控制台中读取所有 Synthetics 数据,您还需要 AmazonS3ReadOnlyAccess
和 CloudWatchReadOnlyAccess
策略。要查看金丝雀使用的源代码,您还需要 AWSLambda_ReadOnlyAccess
策略。
要创建 Canary ,您必须以具有 CloudWatchSyntheticsFullAccess
策略或类似权限集的用户身份登录。要为金丝雀创建 IAM 角色,您还需要以下内联策略语句:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*", "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*" ] } ] }
重要
通过向用户授予 iam:CreateRole
、iam:CreatePolicy
和 iam:AttachRolePolicy
权限,用户将获得对 Amazon 账户的完全管理访问权限。例如,具有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到任何角色。请谨慎地为相关人员授予这些权限。
有关附加策略和向用户授予权限的信息,请参阅更改 IAM 用户的权限和为用户或角色嵌入内联策略。