Amazon CloudWatch 权限参考 - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon CloudWatch 权限参考

在设置访问控制和编写您可挂载到 IAM 身份的权限策略 (基于身份的策略) 时,可以使用下表作为参考。此表列出每个 CloudWatch API 操作以及您可授权执行该操作的相应操作。可在策略的 Action 字段中指定操作,在策略的 Resource 字段中指定通配符 (*) 作为资源值。

您可以在 CloudWatch 策略中使用 Amazon 范围的条件键来表达条件。有关 Amazon 范围的键的完整列表,请参阅 IAM 用户指南中的 Amazon 全局和 IAM 条件上下文键

注意

要指定操作,请在 API 操作名称之前使用 cloudwatch: 前缀。例如:cloudwatch:GetMetricDatacloudwatch:ListMetricscloudwatch:*(适用于所有 CloudWatch 操作)。

CloudWatch API 操作和必需的操作权限

CloudWatch API 操作 所需权限 (API 操作)

删除警报

cloudwatch:DeleteAlarms

要求删除警报。

DeleteDashboards

cloudwatch:DeleteDashboards

删除控制面板所必需。

DeleteMetricStream

cloudwatch:DeleteMetricStream

删除指标流所需。

DescribeAlarmHistory

cloudwatch:DescribeAlarmHistory

要求查看警报历史记录。要检索有关复合告警的信息,cloudwatch:DesribeAlarmHistory 权限必须具有 * 范围。如果您的 cloudwatch:DesribeAlarmHistory 权限的范围较窄,则无法返回有关复合告警的信息。

DescribeAlarms

cloudwatch:DescribeAlarms

检索有关告警的信息所需。

要检索有关复合告警的信息,cloudwatch:DescribeAlarms 权限必须具有 * 范围。如果您的 cloudwatch:DescribeAlarms 权限的范围较窄,则无法返回有关复合告警的信息。

DescribeAlarmsForMetric

cloudwatch:DescribeAlarmsForMetric

要求查看指标的警报。

DisableAlarmActions

cloudwatch:DisableAlarmActions

要求禁用警报操作。

EnableAlarmActions

cloudwatch:EnableAlarmActions

要求启用警报操作。

GetDashboard

cloudwatch:GetDashboard

若要显示有关现有控制面板的数据,则是必需的。

GetMetricData

cloudwatch:GetMetricData

在 CloudWatch 控制台中检索大量指标数据以及对该数据执行指标数学运算所需。

GetMetricStatistics

cloudwatch:GetMetricStatistics

在 CloudWatch 控制台的其他部分和控制面板小部件中查看图表所需。

GetMetricStream

cloudwatch:GetMetricStream

查看指标流信息所需。

GetMetricWidgetImage

cloudwatch:GetMetricWidgetImage

将一个或多个 CloudWatch 指标的图表快照作为位图图像检索所需。

ListDashboards

cloudwatch:ListDashboards

查看您的账户中 CloudWatch 控制面板的列表所需。

ListMetrics

cloudwatch:ListMetrics

在 CloudWatch 控制台和 CLI 中查看或搜索指标名称所需。要求在控制面板小部件上选择指标。

ListMetricStreams

cloudwatch:ListMetricStreams

查看或搜索账户中指标流列表所需。

PutCompositeAlarm

cloudwatch:PutCompositeAlarm

创建复合告警所需

要创建复合告警,cloudwatch:PutCompositeAlarm 权限必须具有 * 范围。如果您的 cloudwatch:PutCompositeAlarm 权限的范围较窄,则无法返回有关复合告警的信息。

PutDashboard

cloudwatch:PutDashboard

创建控制面板或更新现有控制面板所必需。

PutMetricAlarm

cloudwatch:PutMetricAlarm

要求创建或更新警报。

PutMetricData

cloudwatch:PutMetricData

若要创建指标,则是必需的。

PutMetricStream

cloudwatch:PutMetricStream

创建指标流所需

SetAlarmState

cloudwatch:SetAlarmState

要求手动设置警报的状态。

StartMetricStreams

cloudwatch:StartMetricStreams

开启指标流中的指标流程所需。

StopMetricStreams

cloudwatch:StopMetricStreams

临时停止指标流中的指标流程所需。

TagResource

cloudwatch:TagResource

在 CloudWatch 资源(如告警和 Contributor Insights 规则)上添加或更新标签所需。

UntagResource

cloudwatch:UntagResource

从 CloudWatch 资源中移除标签所需。

CloudWatch Contributor Insights API 操作和所需的操作权限

重要

当您向用户授予 cloudwatch:PutInsightRule 权限时,默认情况下,该用户可以创建一个规则来评估 CloudWatch Logs 中的任何日志组。您可以添加 IAM 策略条件,以限制用户的这些权限,使其包含和排除特定的日志组。有关更多信息,请参阅使用条件键限制 Contributor Insights 用户对日志组的访问

CloudWatch Contributor Insights API 操作 所需权限 (API 操作)

DeleteInsightRules

cloudwatch:DeleteInsightRules

删除 Contributor Insights 规则所需。

DescribeInsightRules

cloudwatch:DescribeInsightRules

查看您账户中的 Contributor Insights 规则所需。

EnableInsightRules

cloudwatch:EnableInsightRules

启用 Contributor Insights 规则所需。

GetInsightRuleReport

cloudwatch:GetInsightRuleReport

检索 Contributor Insights 规则收集的时间序列数据和其他统计数据所需。

PutInsightRule

cloudwatch:PutInsightRule

创建 Contributor Insights 规则所需。请参阅此表开头的 Important(重要提示)信息。

CloudWatch Events API 操作和所需的操作权限

CloudWatch Events API 操作 所需权限 (API 操作)

DeleteRule

events:DeleteRule

删除规则所必需的。

DescribeRule

events:DescribeRule

列出有关规则的详细信息所必需的。

DisableRule

events:DisableRule

禁用规则所必需的。

EnableRule

events:EnableRule

启用规则所必需的。

ListRuleNamesByTarget

events:ListRuleNamesByTarget

列出与目标关联的规则所必需的。

ListRules

events:ListRules

列出您账户中的所有规则所必需的。

ListTargetsByRule

events:ListTargetsByRule

列出与规则关联的所有目标所必需的。

PutEvents

events:PutEvents

添加可匹配到规则的自定义活动所必需的。

PutRule

events:PutRule

创建或更新规则所必需的。

PutTargets

events:PutTargets

将目标添加到规则所必需的。

RemoveTargets

events:RemoveTargets

从规则中删除目标所必需的。

TestEventPattern

events:TestEventPattern

针对给定事件测试事件模式所必需的。

CloudWatch Logs API 操作和所需的操作权限

CloudWatch Logs API 操作 所需权限 (API 操作)

CancelExportTask

logs:CancelExportTask

要求取消待处理或正在运行的导出任务。

CreateExportTask

logs:CreateExportTask

将数据从日志组导出到 Amazon S3 存储桶所需。

CreateLogGroup

logs:CreateLogGroup

要求创建新的日志组。

CreateLogStream

logs:CreateLogStream

要求在日志组中创建新的日志流。

DeleteDestination

logs:DeleteDestination

要求删除日志目标并对其禁用所有订阅筛选器。

DeleteLogGroup

logs:DeleteLogGroup

要求删除日志组和所有关联的存档日志事件。

DeleteLogStream

logs:DeleteLogStream

要求删除日志流和所有关联的存档日志事件。

DeleteMetricFilter

logs:DeleteMetricFilter

要求删除与日志组关联的指标筛选器。

DeleteQueryDefinition

logs:DeleteQueryDefinition

删除 CloudWatch Logs Insights 中保存的查询定义所需。

DeleteResourcePolicy

logs:DeleteResourcePolicy

删除 CloudWatch Logs 资源策略所需。

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

要求删除日志组的保留策略。

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

要求删除与日志组关联的订阅筛选器。

DescribeDestinations

logs:DescribeDestinations

要求查看与账户关联的所有目标。

DescribeExportTasks

logs:DescribeExportTasks

要求查看与账户关联的所有导出任务。

DescribeLogGroups

logs:DescribeLogGroups

要求查看与账户关联的所有日志组。

DescribeLogStreams

logs:DescribeLogStreams

要求查看与日志组关联的所有日志流。

DescribeMetricFilters

logs:DescribeMetricFilters

要求查看与日志组关联的所有指标。

DescribeQueryDefinitions

logs:DescribeQueryDefinitions

查看 CloudWatch Logs Insights 中保存的查询定义列表所需。

DescribeQueries

logs:DescribeQueries

查看已计划、正在执行或最近已执行的 CloudWatch Logs Insights 查询列表所需。

DescribeResourcePolicies

logs:DescribeResourcePolicies

查看 CloudWatch Logs 资源策略列表所需。

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

要求查看与日志组关联的所有订阅筛选器。

FilterLogEvents

logs:FilterLogEvents

要求按照日志组筛选器模式对日志事件进行排序。

GetLogEvents

logs:GetLogEvents

要求从日志流中检索日志事件。

GetLogGroupFields

logs:GetLogGroupFields

检索日志组中日志事件内包含的字段列表所必需的。

GetLogRecord

logs:GetLogRecord

从单个日志事件中检索详细信息所必需的。

GetQueryResults

logs:GetQueryResults

检索 CloudWatch Logs Insights 查询的结果所需。

ListTagsLogGroup

logs:ListTagsLogGroup

要求列出与日志组关联的标签。

PutDestination

logs:PutDestination

创建或更新目标日志流(例如,Kinesis 流)所需。

PutDestinationPolicy

logs:PutDestinationPolicy

要求创建或更新与现有日志目标关联的访问策略。

PutLogEvents

logs:PutLogEvents

要求将一批日志事件上传到日志流。

PutMetricFilter

logs:PutMetricFilter

要求创建或更新指标筛选器并将其与日志组关联。

PutQueryDefinition

logs:PutQueryDefinition

在 CloudWatch Logs Insights 中保存查询所需。

PutResourcePolicy

logs:PutResourcePolicy

创建 CloudWatch Logs 资源策略所需。

PutRetentionPolicy

logs:PutRetentionPolicy

要求设置日志组中的日志事件的保存 (保留) 天数。

PutSubscriptionFilter

logs:PutSubscriptionFilter

要求创建或更新订阅筛选器并将其与日志组关联。

StartQuery

logs:StartQuery

启动 CloudWatch Logs Insights 查询所需。

StopQuery

logs:StopQuery

停止正在执行的 CloudWatch Logs Insights 查询所需。

TagLogGroup

logs:TagLogGroup

要求添加或更新日志组标签。

TestMetricFilter

logs:TestMetricFilter

要求针对日志事件消息采样测试筛选器模式。

Amazon EC2 API 操作和所需的操作权限

Amazon EC2 API 操作 所需权限 (API 操作)

DescribeInstanceStatus

ec2:DescribeInstanceStatus

查看 EC2 实例状态详细信息所必需的。

DescribeInstances

ec2:DescribeInstances

查看 EC2 实例详细信息所必需的。

RebootInstances

ec2:RebootInstances

重启 EC2 实例所必需的。

StopInstances

ec2:StopInstances

停止 EC2 实例所必需的。

TerminateInstances

ec2:TerminateInstances

终止 EC2 实例所必需的。

Amazon EC2 Auto Scaling API 操作和所需的操作权限

Amazon EC2 Auto Scaling API 操作 所需权限 (API 操作)

扩展

autoscaling:Scaling

扩展 Auto Scaling 组所需。

Trigger (触发器)

autoscaling:Trigger

触发 Auto Scaling 操作所需。