管理 CloudWatch 金丝雀的用户的必需角色和权限 - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理 CloudWatch 金丝雀的用户的必需角色和权限

若要查看 Canary 详细信息和 Canary 运行的结果,您必须以附加了 CloudWatchSyntheticsFullAccessCloudWatchSyntheticsReadOnlyAccess 策略的用户身份登录。要在控制台中读取所有 Synthetics 数据,您还需要 AmazonS3ReadOnlyAccessCloudWatchReadOnlyAccess 策略。要查看金丝雀使用的源代码,您还需要 AWSLambda_ReadOnlyAccess 策略。

要创建 Canary ,您必须以具有 CloudWatchSyntheticsFullAccess 策略或类似权限集的用户身份登录。要为金丝雀创建 IAM 角色,您还需要以下内联策略语句:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
                "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
            ]
        }
    ]
}
重要

通过向用户授予 iam:CreateRoleiam:CreatePolicyiam:AttachRolePolicy 权限,用户将获得对 Amazon 账户的完全管理访问权限。例如,具有这些权限的用户可以创建一个对所有资源具有完全权限的策略,并将该策略附加到任何角色。请谨慎地为相关人员授予这些权限。

有关附加策略和向用户授予权限的信息,请参阅更改 IAM 用户的权限为用户或角色嵌入内联策略