Amazon适用于 Amazon CloudWatch Application Insights 的 托管式策略 - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon适用于 Amazon CloudWatch Application Insights 的 托管式策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管式策略更简单。创建仅为团队提供所需权限的 IAM 客户托管式策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管式策略

Amazon Web Services 负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess Amazon 托管式策略提供对许多 Amazon Web Services 和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon 托管式策略:CloudWatchApplicationInsightsFullAccess

您可以将 CloudWatchApplicationInsightsFullAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许完全访问 Application Insights 功能。

权限详细信息

此策略包含以下权限。

  • applicationinsights – 允许完全访问 Application Insights 功能。

  • iam – 允许 Application Insights 创建服务相关角色,AWSServiceRoleForApplicationInsights。这是必需的,以使 Application Insights 可用执行操作,例如分析客户的资源组、创建 CloudFormation 堆栈以创建有关指标的告警,以及在 EC2 实例上配置 CloudWatch 代理。有关更多信息,请参阅 在 CloudWatch Application Insights 中使用服务相关角色

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "applicationinsights:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "sqs:ListQueues", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "autoscaling:DescribeAutoScalingGroups", "lambda:ListFunctions", "dynamodb:ListTables", "s3:ListAllMyBuckets", "sns:ListTopics", "states:ListStateMachines", "apigateway:GET", "ecs:ListClusters", "ecs:DescribeTaskDefinition", "ecs:ListServices", "ecs:ListTasks", "eks:ListClusters", "eks:ListNodegroups", "fsx:DescribeFileSystems", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/application-insights.amazonaws.com/AWSServiceRoleForApplicationInsights" ], "Condition": { "StringEquals": { "iam:AWSServiceName": "application-insights.amazonaws.com" } } } ] }

Amazon 托管式策略:CloudWatchApplicationInsightsReadOnlyAccess

您可以将 CloudWatchApplicationInsightsReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许只读访问所有 Application Insights 功能。

权限详细信息

此策略包含以下权限。

  • applicationinsights – 允许只读访问 Application Insights 功能。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "applicationinsights:Describe*", "applicationinsights:List*" ], "Resource": "*" } ] }

Amazon 托管式策略:CloudwatchApplicationInsightsServiceLinkedRolePolicy

您无法将 CloudwatchApplicationInsightsServiceLinkedRolePolicy 策略附加到 IAM 实体。此策略附加到一个与服务相关的角色,该角色允许 Application Insights 监控客户资源。有关更多信息,请参阅 在 CloudWatch Application Insights 中使用服务相关角色

对 Amazon 托管式策略的 Application Insights 更新

查看有关对 Amazon 托管式策略的 Application Insights 更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Application Insights Document history(文档历史记录)页面上的 RSS 源。

更改 描述 日期

CloudWatchApplicationInsightsFullAccess – 现有策略的更新

Application Insights 添加了描述日志组的新权限。

Amazon CloudWatch Application Insights 需要此权限,以确保在创建新应用程序时,账户中具有监控日志组的正确权限。

2022 年 1 月 24 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了创建和删除 CloudWatch Log 订阅筛选器的新权限。

Amazon CloudWatch Application Insights 需要这些权限才能创建订阅筛选器,以便于对已配置应用程序中的资源进行日志监控。

2022 年 1 月 24 日

CloudWatchApplicationInsightsFullAccess – 现有策略的更新

Application Insights 添加了新的权限来描述 Elastic Load Balancer 的目标组和目标健康状况。

Amazon CloudWatch Application Insights 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。

2021 年 11 月 4 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了在 Amazon EC2 实例上运行 AmazonCloudWatch-ManageAgent SSM 文档的新权限。

Amazon CloudWatch Application Insights 需要此权限才能清除由 Application Insights 创建的 CloudWatch 代理配置文件。

2021 年 9 月 30 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了新的权限,以支持基于账户的应用程序监控载入并监控账户中所有受支持的资源。

Amazon CloudWatch Application Insights 需要这些权限才能查询、标记资源并为这些资源创建组。

Application Insights 添加了新的权限以支持对 SNS 主题的监控。

Amazon CloudWatch Application Insights 需要这些权限,才能收集 SNS 资源中的元数据以配置对 SNS 主题的监控。

2021 年 9 月 15 日

CloudWatchApplicationInsightsFullAccess – 现有策略的更新

Application Insights 添加了描述和列出受支持资源的新权限。

Amazon CloudWatch Application Insights 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。

2021 年 9 月 15 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了描述 FSx 资源的新权限。

Amazon CloudWatch Application Insights 需要这些权限才能读取客户 FSx 资源配置,并帮助客户使用 CloudWatch 自动设置最佳实践 FSx 监控。

2021 年 8 月 31 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了描述和列出 ECS 和 EKS 服务资源的新权限。

Amazon CloudWatch Application Insights 需要此权限才能读取客户容器资源配置,并帮助客户使用 CloudWatch 自动设置最佳实践容器监控。

2021 年 5 月 18 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了新权限,允许 OpsCenter 使用对 opsitem 资源类型的资源的 ssm:AddTagsToResource 操作来为 OpsItems 贴标签。

OpsCenter 需要此权限。Amazon CloudWatch Application Insights 会创建 OpsItems,以便客户可以使用 Amazon SSM OpsCenter 解决问题。

2021 年 4 月 13 日

Athena 开启了跟踪更改

Athena 为其 Amazon 托管式策略开启了跟踪更改。

2021 年 4 月 13 日