Amazon CloudWatch 权限参考

在设置访问控制和编写可附加到 IAM 身份的权限策略（基于身份的策略）时，可以使用下表作为参考。此表列出每个 CloudWatch API 操作及您可授予执行该操作的权限的对应操作。可在策略的 Action 字段中指定操作，在策略的 Resource 字段中指定通配符 (*) 作为资源值。

您可以在 CloudWatch 策略中使用 AWS 范围的条件键来表达条件。有关 AWS 范围内的键的完整列表，请参阅 IAM 用户指南 中的 AWS 全局和 IAM 条件上下文键。

注意

要指定操作，请在 API 操作名称之前使用 cloudwatch: 前缀。例如：cloudwatch:GetMetricStatistics、cloudwatch:ListMetrics 或 cloudwatch:*（针对所有 CloudWatch 操作）。

表

CloudWatch API 操作和必需的操作权限
CloudWatch API 操作	所需权限（API 操作）
删除警报	`cloudwatch:DeleteAlarms` 要求删除警报。
DeleteDashboards	`cloudwatch:DeleteDashboards` 删除控制面板所必需。
DescribeAlarmHistory	`cloudwatch:DescribeAlarmHistory` 要求查看警报历史记录。
DescribeAlarms	`cloudwatch:DescribeAlarms` 要求按名称检索警报信息。
DescribeAlarmsForMetric	`cloudwatch:DescribeAlarmsForMetric` 要求查看指标的警报。
DisableAlarmActions	`cloudwatch:DisableAlarmActions` 要求禁用警报操作。
EnableAlarmActions	`cloudwatch:EnableAlarmActions` 要求启用警报操作。
GetDashboard	`cloudwatch:GetDashboard` 若要显示有关现有控制面板的数据，则是必需的。
GetMetricData	`cloudwatch:GetMetricData` 是检索大量指标数据以及对该数据执行指标数学运算所必需的。
GetMetricStatistics	`cloudwatch:GetMetricStatistics` 在 CloudWatch 控制台的其他部分和控制面板小部件中查看图表所必需的。
GetMetricWidgetImage	`cloudwatch:GetMetricWidgetImage` 将一个或多个 CloudWatch 指标的图表快照作为位图图像检索所必需的。
ListDashboards	`cloudwatch:ListDashboards` 查看您的账户中 CloudWatch 控制面板的列表所必需的。
ListMetrics	`cloudwatch:ListMetrics` 要求在 CloudWatch 控制台和 CLI 中查看或搜索指标名称。要求在控制面板小部件上选择指标。
PutDashboard	`cloudwatch:PutDashboard` 创建控制面板或更新现有控制面板所必需。
PutMetricAlarm	`cloudwatch:PutMetricAlarm` 要求创建或更新警报。
PutMetricData	`cloudwatch:PutMetricData` 若要创建指标，则是必需的。
SetAlarmState	`cloudwatch:SetAlarmState` 要求手动设置警报的状态。

CloudWatch Events API 操作和必需的操作权限
CloudWatch Events API 操作	所需权限（API 操作）
DeleteRule	`events:DeleteRule` 删除规则所必需的。
DescribeRule	`events:DescribeRule` 列出有关规则的详细信息所必需的。
DisableRule	`events:DisableRule` 禁用规则所必需的。
EnableRule	`events:EnableRule` 启用规则所必需的。
ListRuleNamesByTarget	`events:ListRuleNamesByTarget` 列出与目标关联的规则所必需的。
ListRules	`events:ListRules` 列出您账户中的所有规则所必需的。
ListTargetsByRule	`events:ListTargetsByRule` 列出与规则关联的所有目标所必需的。
PutEvents	`events:PutEvents` 添加可匹配到规则的自定义活动所必需的。
PutRule	`events:PutRule` 创建或更新规则所必需的。
PutTargets	`events:PutTargets` 将目标添加到规则所必需的。
RemoveTargets	`events:RemoveTargets` 从规则中删除目标所必需的。
TestEventPattern	`events:TestEventPattern` 针对给定事件测试事件模式所必需的。

CloudWatch Logs API 操作和必需的操作权限
CloudWatch Logs API 操作	所需权限（API 操作）
CancelExportTask	`logs:CancelExportTask` 要求取消待处理或正在运行的导出任务。
CreateExportTask	`logs:CreateExportTask` 要求将数据从日志组导出到 Amazon S3 存储桶。
CreateLogGroup	`logs:CreateLogGroup` 要求创建新的日志组。
CreateLogStream	`logs:CreateLogStream` 要求在日志组中创建新的日志流。
DeleteDestination	`logs:DeleteDestination` 要求删除日志目标并对其禁用所有订阅筛选器。
DeleteLogGroup	`logs:DeleteLogGroup` 要求删除日志组和所有关联的存档日志事件。
DeleteLogStream	`logs:DeleteLogStream` 要求删除日志流和所有关联的存档日志事件。
DeleteMetricFilter	`logs:DeleteMetricFilter` 要求删除与日志组关联的指标筛选器。
DeleteRetentionPolicy	`logs:DeleteRetentionPolicy` 要求删除日志组的保留策略。
DeleteSubscriptionFilter	`logs:DeleteSubscriptionFilter` 要求删除与日志组关联的订阅筛选器。
DescribeDestinations	`logs:DescribeDestinations` 要求查看与账户关联的所有目标。
DescribeExportTasks	`logs:DescribeExportTasks` 要求查看与账户关联的所有导出任务。
DescribeLogGroups	`logs:DescribeLogGroups` 要求查看与账户关联的所有日志组。
DescribeLogStreams	`logs:DescribeLogStreams` 要求查看与日志组关联的所有日志流。
DescribeMetricFilters	`logs:DescribeMetricFilters` 要求查看与日志组关联的所有指标。
DescribeSubscriptionFilters	`logs:DescribeSubscriptionFilters` 要求查看与日志组关联的所有订阅筛选器。
FilterLogEvents	`logs:FilterLogEvents` 要求按照日志组筛选器模式对日志事件进行排序。
GetLogEvents	`logs:GetLogEvents` 要求从日志流中检索日志事件。
ListTagsLogGroup	`logs:ListTagsLogGroup` 要求列出与日志组关联的标签。
PutDestination	`logs:PutDestination` 创建或更新目标日志流（例如，Kinesis 流）时需要。
PutDestinationPolicy	`logs:PutDestinationPolicy` 要求创建或更新与现有日志目标关联的访问策略。
PutLogEvents	`logs:PutLogEvents` 要求将一批日志事件上传到日志流。
PutMetricFilter	`logs:PutMetricFilter` 要求创建或更新指标筛选器并将其与日志组关联。
PutRetentionPolicy	`logs:PutRetentionPolicy` 要求设置日志组中的日志事件的保存 (保留) 天数。
PutSubscriptionFilter	`logs:PutSubscriptionFilter` 要求创建或更新订阅筛选器并将其与日志组关联。
TestMetricFilter	`logs:TestMetricFilter` 要求针对日志事件消息采样测试筛选器模式。

Amazon EC2 API 操作和必需的操作权限
Amazon EC2 API 操作	所需权限（API 操作）
DescribeInstanceStatus	`ec2:DescribeInstanceStatus` 查看 EC2 实例状态详细信息所必需的。
DescribeInstances	`ec2:DescribeInstances` 查看 EC2 实例详细信息所必需的。
RebootInstances	`ec2:RebootInstances` 重启 EC2 实例所必需的。
StopInstances	`ec2:StopInstances` 停止 EC2 实例所必需的。
TerminateInstances	`ec2:TerminateInstances` 终止 EC2 实例所必需的。

Amazon EC2 Auto Scaling API 操作和必需的操作权限
Amazon EC2 Auto Scaling API 操作	所需权限（API 操作）
Scaling	`autoscaling:Scaling` 要求扩展 Auto Scaling 组。
Trigger	`autoscaling:Trigger` 要求触发 Auto Scaling 操作。

Amazon EC2 Auto Scaling API 操作和必需的操作权限

Amazon EC2 Auto Scaling API 操作所需权限（API 操作）

Scaling

autoscaling:Scaling

要求扩展 Auto Scaling 组。

Trigger

autoscaling:Trigger

要求触发 Auto Scaling 操作。

Javascript 在您的浏览器中被禁用或不可用。

要使用 AWS 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

在 Application Insights 中使用服务相关角色

合规性验证