本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon CloudWatch 权限参考
在设置 访问控制 和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用下表作为参考。此表列出每个 CloudWatch API 操作及您可授予执行该操作的权限的对应操作。可在策略的
Action 字段中指定操作,在策略的 Resource 字段中指定通配符 (*) 作为资源值。
您可以在 CloudWatch 策略中使用 AWS 范围的条件键来表达条件。有关 AWS 范围的键的完整列表,请参阅 AWSIAM 中的 全局和 IAM 用户指南 条件上下文键。
要指定操作,请在 API 操作名称之前使用 cloudwatch: 前缀。例如cloudwatch:GetMetricStatistics:、 cloudwatch:ListMetrics或 cloudwatch:* (针对所有 CloudWatch 操作)。
主题
CloudWatch API 操作和所需的操作权限
| CloudWatch API 操作 | 所需权限(API 操作) |
|---|---|
|
要求删除警报。 |
|
|
删除控制面板所必需。 |
|
|
删除指标流所必需的。 |
|
|
要求查看警报历史记录。 |
|
|
要求按名称检索警报信息。 |
|
|
要求查看指标的警报。 |
|
|
要求禁用警报操作。 |
|
|
要求启用警报操作。 |
|
|
若要显示有关现有控制面板的数据,则是必需的。 |
|
|
是检索大量指标数据以及对该数据执行指标数学运算所必需的。 |
|
|
在 CloudWatch 控制台的其他部分和控制面板小部件中查看图表所必需的。 |
|
|
查看指标流信息所必需的。 |
|
|
将一个或多个 CloudWatch 指标的图表快照作为位图图像检索所必需的。 |
|
|
查看您的账户中 CloudWatch 控制面板的列表所必需的。 |
|
|
要求在 CloudWatch 控制台和 CLI 中查看或搜索指标名称。要求在控制面板小部件上选择指标。 |
|
|
查看或搜索账户中的指标流列表所必需的。 |
|
|
创建控制面板或更新现有控制面板所必需。 |
|
|
要求创建或更新警报。 |
|
|
若要创建指标,则是必需的。 |
|
|
创建指标流所必需的。 |
|
|
要求手动设置警报的状态。 |
|
|
启动指标流中的指标流所必需的。 |
|
|
暂时停止指标流中的指标流所必需的。 |
|
|
在 CloudWatch 资源(如 警报和 Contributor Insights 规则)上添加或更新标签所必需的。 |
|
|
从 CloudWatch 资源中删除标签所必需的。 |
CloudWatch Contributor Insights API 操作和必需的操作权限
当您向用户授予 cloudwatch:PutInsightRule 权限时,默认情况下,该用户可以创建规则来评估 中的任何日志组CloudWatch Logs。您可以添加IAM策略条件,限制用户包含和排除特定日志组的这些权限。有关更多信息,请参阅使用条件键限制 Contributor Insights 用户对日志组的访问权限。
| CloudWatch Contributor Insights API 操作 | 所需权限(API 操作) |
|---|---|
|
删除 Contributor Insights 规则所必需的。 |
|
|
查看您的账户中的 Contributor Insights 规则所必需的。 |
|
|
启用 Contributor Insights 规则所必需的。 |
|
|
检索 Contributor Insights 规则收集的时间序列数据和其他统计数据所必需的。 |
|
|
创建 Contributor Insights 规则所必需的。请参阅此表开头的重要说明。 |
CloudWatch Events API 操作和所需的操作权限
| CloudWatch Events API 操作 | 所需权限(API 操作) |
|---|---|
|
删除规则所必需的。 |
|
|
列出有关规则的详细信息所必需的。 |
|
|
禁用规则所必需的。 |
|
|
启用规则所必需的。 |
|
|
列出与目标关联的规则所必需的。 |
|
|
列出您账户中的所有规则所必需的。 |
|
|
列出与规则关联的所有目标所必需的。 |
|
|
添加可匹配到规则的自定义活动所必需的。 |
|
|
创建或更新规则所必需的。 |
|
|
将目标添加到规则所必需的。 |
|
|
从规则中删除目标所必需的。 |
|
|
针对给定事件测试事件模式所必需的。 |
CloudWatch Logs API 操作和所需的操作权限
| CloudWatch Logs API 操作 | 所需权限(API 操作) |
|---|---|
|
要求取消待处理或正在运行的导出任务。 |
|
|
要求将数据从日志组导出到 Amazon S3 存储桶。 |
|
|
要求创建新的日志组。 |
|
|
要求在日志组中创建新的日志流。 |
|
|
要求删除日志目标并对其禁用所有订阅筛选器。 |
|
|
要求删除日志组和所有关联的存档日志事件。 |
|
|
要求删除日志流和所有关联的存档日志事件。 |
|
|
要求删除与日志组关联的指标筛选器。 |
|
|
删除 CloudWatch Logs Insights 中保存的查询定义所必需的。 |
|
|
要求删除 CloudWatch Logs 资源策略。 |
|
|
要求删除日志组的保留策略。 |
|
|
要求删除与日志组关联的订阅筛选器。 |
|
|
要求查看与账户关联的所有目标。 |
|
|
要求查看与账户关联的所有导出任务。 |
|
|
要求查看与账户关联的所有日志组。 |
|
|
要求查看与日志组关联的所有日志流。 |
|
|
要求查看与日志组关联的所有指标。 |
|
|
查看 CloudWatch Logs Insights 中保存的查询定义列表所必需的。 |
|
|
查看已计划、正在执行或最近已执行的 CloudWatch Logs Insights 查询列表所必需的。 |
|
|
要求查看 CloudWatch Logs 资源策略列表。 |
|
|
要求查看与日志组关联的所有订阅筛选器。 |
|
|
要求按照日志组筛选器模式对日志事件进行排序。 |
|
|
要求从日志流中检索日志事件。 |
|
|
检索日志组中日志事件内包含的字段列表所必需的。 |
|
|
从单个日志事件中检索详细信息所必需的。 |
|
|
检索 CloudWatch Logs Insights 查询的结果所必需的。 |
|
|
要求列出与日志组关联的标签。 |
|
|
要求创建或更新目标日志流(例如,Kinesis 流)。 |
|
|
要求创建或更新与现有日志目标关联的访问策略。 |
|
|
要求将一批日志事件上传到日志流。 |
|
|
要求创建或更新指标筛选器并将其与日志组关联。 |
|
|
在 CloudWatch Logs Insights 中保存查询所必需的。 |
|
|
要求创建 CloudWatch Logs 资源策略。 |
|
|
要求设置日志组中的日志事件的保存 (保留) 天数。 |
|
|
要求创建或更新订阅筛选器并将其与日志组关联。 |
|
|
启动 CloudWatch Logs Insights 查询所必需的。 |
|
|
停止正在进行的 CloudWatch Logs Insights 查询所必需的。 |
|
|
要求添加或更新日志组标签。 |
|
|
要求针对日志事件消息采样测试筛选器模式。 |
Amazon EC2 API 操作和所需的操作权限
| Amazon EC2 API 操作 | 所需权限(API 操作) |
|---|---|
|
查看 EC2 实例状态详细信息所必需的。 |
|
|
查看 EC2 实例详细信息所必需的。 |
|
|
重启 EC2 实例所必需的。 |
|
|
停止 EC2 实例所必需的。 |
|
|
终止 EC2 实例所必需的。 |
Amazon EC2 Auto Scaling API 操作和所需的操作权限
| Amazon EC2 Auto Scaling API 操作 | 所需权限(API 操作) |
|---|---|
|
扩展 |
要求扩展 Auto Scaling 组。 |
|
Trigger |
要求触发 Auto Scaling 操作。 |