适用于 Amazon CloudWatch 网络监测仪的 Identity and Access Management - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon CloudWatch 网络监测仪的 Identity and Access Management

Amazon Identity and Access Management(IAM)是一项 Amazon 服务,可帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制可以通过身份验证(登录)和授权(具有权限)使用 CloudWatch 网络监测仪资源的人员。IAM 是一项可以免费使用的 Amazon 服务。利用 IAM 的功能,可在不共享您的安全凭证的情况下允许其他用户、服务和应用程序完全使用或受限使用您的 Amazon 资源。

默认情况下,IAM 用户没有创建、查看或修改 Amazon 资源的权限。要允许 IAM 用户访问资源(例如全球网络)并执行任务,您必须:

  • 创建授予用户使用所需特定资源和 API 操作的权限的 IAM 策略

  • 将策略附加到 IAM 用户或用户所属的组

在将策略附加到一个用户或一组用户时,它会授权或拒绝用户对指定资源执行指定任务。

条件键

Condition 元素(或条件块)中,您可以指定语句生效的条件。条件元素为可选元素。您可以构建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的 IAM JSON 策略元素:条件运算符

如果您在一个语句中指定多个 Condition 元素,或在单个 Condition 元素中指定多个键,则 Amazon 使用逻辑 AND 运算评估它们。如果您为单个条件键指定多个值,则 Amazon 使用逻辑 OR 运算来评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时,您也可以使用占位符变量。例如,只有在使用 IAM 用户名标记 IAM 用户时,您才能为其授予访问资源的权限。

您可以将标签附加到 CloudWatch 网络监测仪资源或将请求中的标签传递到 Cloud WAN。要基于标签控制访问,您需要使用 aws:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 条件键在策略的条件元素中提供标签信息。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的 IAM JSON 策略元素:条件

要查看所有 Amazon 全局条件键,请参阅《Amazon Identity and Access Management 用户指南》中的 Amazon 全局条件上下文密钥

标记核心网络资源

标签是您或 Amazon 分配给 Amazon 资源的元数据标签。每个标签均包含一个键和一个值。对于您分配的标签,需要定义键和值。例如,您可以将键定义为 purpose,将一个资源的值定义为 test。标签可帮助您:

  • 标识和整理您的 Amazon 资源。许多 Amazon 服务支持标记,因此,您可以将同一标签分配给来不同服务的资源,以指示这些资源是相关的。

  • 控制对 Amazon 资源的访问。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的 使用标签控制对 Amazon 资源的访问

删除服务相关角色

如果您不再需要使用 CloudWatch 网络监测仪,我们建议您删除 AWSServiceRoleForNetworkMonitor 角色。

您只有在删除网络监测仪后,才能删除服务相关角色。有关删除网络监测仪的信息,请参阅 Delete a network monitor

您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色

删除 AWSServiceRoleForNetworkMonitor 后,CloudWatch 网络监测仪将在创建新的监测仪时再次创建角色。