Amazon CloudWatch 权限参考 - Amazon CloudWatch
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Amazon CloudWatch 权限参考

在设置 访问控制 和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用下表作为参考。此表列出每个 CloudWatch API 操作及您可授予执行该操作的权限的对应操作。可在策略的 Action 字段中指定操作,在策略的 Resource 字段中指定通配符 (*) 作为资源值。

您可以在 CloudWatch 策略中使用 AWS 范围的条件键来表达条件。有关 AWS 范围的键的完整列表,请参阅 AWSIAM 中的 全局和 IAM 用户指南 条件上下文键

注意

要指定操作,请在 API 操作名称之前使用 cloudwatch: 前缀。例如:。cloudwatch:GetMetricStatisticscloudwatch:ListMetrics,或 cloudwatch:* (对于所有 CloudWatch 操作)。

CloudWatch API 操作和必需的操作权限

CloudWatch API 操作 所需权限(API 操作)

删除警报

cloudwatch:DeleteAlarms

要求删除警报。

DeleteDashboards

cloudwatch:DeleteDashboards

删除控制面板所必需。

DescribeAlarmHistory

cloudwatch:DescribeAlarmHistory

要求查看警报历史记录。

DescribeAlarms

cloudwatch:DescribeAlarms

要求按名称检索警报信息。

DescribeAlarmsForMetric

cloudwatch:DescribeAlarmsForMetric

要求查看指标的警报。

DisableAlarmActions

cloudwatch:DisableAlarmActions

要求禁用警报操作。

EnableAlarmActions

cloudwatch:EnableAlarmActions

要求启用警报操作。

GetDashboard

cloudwatch:GetDashboard

若要显示有关现有控制面板的数据,则是必需的。

GetMetricData

cloudwatch:GetMetricData

是检索大量指标数据以及对该数据执行指标数学运算所必需的。

GetMetricStatistics

cloudwatch:GetMetricStatistics

在 CloudWatch 控制台的其他部分和控制面板小部件中查看图表所必需的。

GetMetricWidgetImage

cloudwatch:GetMetricWidgetImage

将一个或多个 CloudWatch 指标的图表快照作为位图图像检索所必需的。

ListDashboards

cloudwatch:ListDashboards

查看您的账户中 CloudWatch 控制面板的列表所必需的。

ListMetrics

cloudwatch:ListMetrics

要求在 CloudWatch 控制台和 CLI 中查看或搜索指标名称。要求在控制面板小部件上选择指标。

PutDashboard

cloudwatch:PutDashboard

创建控制面板或更新现有控制面板所必需。

PutMetricAlarm

cloudwatch:PutMetricAlarm

要求创建或更新警报。

PutMetricData

cloudwatch:PutMetricData

若要创建指标,则是必需的。

SetAlarmState

cloudwatch:SetAlarmState

要求手动设置警报的状态。

CloudWatch 贡献者洞察API操作和操作的必要权限

重要

当您授予用户 cloudwatch:PutInsightRulecloudwatch:GetInsightRuleReport 权限,用户可以创建评估任何日志组 CloudWatch Logs 然后查看结果。结果可以包含这些日志组的贡献者数据。确保仅向应该能够查看此数据的用户授予这些权限。

CloudWatch 贡献者洞察API操作 所需权限(API 操作)

DeleteInsightRules

cloudwatch:DeleteInsightRules

需要删除贡献者洞察规则。

DescribeInsightRules

cloudwatch:DescribeInsightRules

需要在您的帐户中查看贡献者洞察规则。

EnableInsightRules

cloudwatch:EnableInsightRules

需要启用贡献者洞察规则。

GetInsighTrulereport

cloudwatch:GetInsightRuleReport

需要按照贡献者洞察规则检索时间序列数据和其他统计数据收集。

PutInsightRule

cloudwatch:PutInsightRule

需要创建贡献者洞察规则。

CloudWatch Events API 操作和必需的操作权限

CloudWatch Events API 操作 所需权限(API 操作)

DeleteRule

events:DeleteRule

删除规则所必需的。

DescribeRule

events:DescribeRule

列出有关规则的详细信息所必需的。

DisableRule

events:DisableRule

禁用规则所必需的。

EnableRule

events:EnableRule

启用规则所必需的。

ListRuleNamesByTarget

events:ListRuleNamesByTarget

列出与目标关联的规则所必需的。

ListRules

events:ListRules

列出您账户中的所有规则所必需的。

ListTargetsByRule

events:ListTargetsByRule

列出与规则关联的所有目标所必需的。

PutEvents

events:PutEvents

添加可匹配到规则的自定义活动所必需的。

PutRule

events:PutRule

创建或更新规则所必需的。

PutTargets

events:PutTargets

将目标添加到规则所必需的。

RemoveTargets

events:RemoveTargets

从规则中删除目标所必需的。

TestEventPattern

events:TestEventPattern

针对给定事件测试事件模式所必需的。

CloudWatch Logs API 操作和必需的操作权限

CloudWatch Logs API 操作 所需权限(API 操作)

CancelExportTask

logs:CancelExportTask

要求取消待处理或正在运行的导出任务。

CreateExportTask

logs:CreateExportTask

要求将数据从日志组导出到 Amazon S3 存储桶。

CreateLogGroup

logs:CreateLogGroup

要求创建新的日志组。

CreateLogStream

logs:CreateLogStream

要求在日志组中创建新的日志流。

DeleteDestination

logs:DeleteDestination

要求删除日志目标并对其禁用所有订阅筛选器。

DeleteLogGroup

logs:DeleteLogGroup

要求删除日志组和所有关联的存档日志事件。

DeleteLogStream

logs:DeleteLogStream

要求删除日志流和所有关联的存档日志事件。

DeleteMetricFilter

logs:DeleteMetricFilter

要求删除与日志组关联的指标筛选器。

DeleteQueryDefinition

logs:DeleteQueryDefinition

删除 CloudWatch Logs Insights 中保存的查询定义所必需的。

DeleteResourcePolicy

logs:DeleteResourcePolicy

要求删除 CloudWatch Logs 资源策略。

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

要求删除日志组的保留策略。

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

要求删除与日志组关联的订阅筛选器。

DescribeDestinations

logs:DescribeDestinations

要求查看与账户关联的所有目标。

DescribeExportTasks

logs:DescribeExportTasks

要求查看与账户关联的所有导出任务。

DescribeLogGroups

logs:DescribeLogGroups

要求查看与账户关联的所有日志组。

DescribeLogStreams

logs:DescribeLogStreams

要求查看与日志组关联的所有日志流。

DescribeMetricFilters

logs:DescribeMetricFilters

要求查看与日志组关联的所有指标。

DescribeQueryDefinitions

logs:DescribeQueryDefinitions

查看 CloudWatch Logs Insights 中保存的查询定义列表所必需的。

DescribeQueries

logs:DescribeQueries

查看已计划、正在执行或最近已执行的 CloudWatch Logs Insights 查询列表所必需的。

DescribeResourcePolicies

logs:DescribeResourcePolicies

要求查看 CloudWatch Logs 资源策略列表。

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

要求查看与日志组关联的所有订阅筛选器。

FilterLogEvents

logs:FilterLogEvents

要求按照日志组筛选器模式对日志事件进行排序。

GetLogEvents

logs:GetLogEvents

要求从日志流中检索日志事件。

GetLogGroupFields

logs:GetLogGroupFields

检索日志组中日志事件内包含的字段列表所必需的。

GetLogRecord

logs:GetLogRecord

从单个日志事件中检索详细信息所必需的。

GetQueryResults

logs:GetQueryResults

检索 CloudWatch Logs Insights 查询的结果所必需的。

ListTagsLogGroup

logs:ListTagsLogGroup

要求列出与日志组关联的标签。

PutDestination

logs:PutDestination

要求创建或更新目标日志流(例如,Kinesis 流)。

PutDestinationPolicy

logs:PutDestinationPolicy

要求创建或更新与现有日志目标关联的访问策略。

PutLogEvents

logs:PutLogEvents

要求将一批日志事件上传到日志流。

PutMetricFilter

logs:PutMetricFilter

要求创建或更新指标筛选器并将其与日志组关联。

PutQueryDefinition

logs:PutQueryDefinition

在 CloudWatch Logs Insights 中保存查询所必需的。

PutResourcePolicy

logs:PutResourcePolicy

要求创建 CloudWatch Logs 资源策略。

PutRetentionPolicy

logs:PutRetentionPolicy

要求设置日志组中的日志事件的保存 (保留) 天数。

PutSubscriptionFilter

logs:PutSubscriptionFilter

要求创建或更新订阅筛选器并将其与日志组关联。

StartQuery

logs:StartQuery

启动 CloudWatch Logs Insights 查询所必需的。

StopQuery

logs:StopQuery

停止正在进行的 CloudWatch Logs Insights 查询所必需的。

TagLogGroup

logs:TagLogGroup

要求添加或更新日志组标签。

TestMetricFilter

logs:TestMetricFilter

要求针对日志事件消息采样测试筛选器模式。

Amazon EC2 API 操作和必需的操作权限

Amazon EC2 API 操作 所需权限(API 操作)

DescribeInstanceStatus

ec2:DescribeInstanceStatus

查看 EC2 实例状态详细信息所必需的。

DescribeInstances

ec2:DescribeInstances

查看 EC2 实例详细信息所必需的。

RebootInstances

ec2:RebootInstances

重启 EC2 实例所必需的。

StopInstances

ec2:StopInstances

停止 EC2 实例所必需的。

TerminateInstances

ec2:TerminateInstances

终止 EC2 实例所必需的。

Amazon EC2 Auto Scaling API 操作和必需的操作权限

Amazon EC2 Auto Scaling API 操作 所需权限(API 操作)

Scaling

autoscaling:Scaling

要求扩展 Auto Scaling 组。

触发器

autoscaling:Trigger

要求触发 Auto Scaling 操作。