适用于 Amazon CloudWatch Application Insights 的 Amazon 托管式策略 - Amazon CloudWatch
CloudWatchApplicationInsightsFullAccessCloudWatchApplicationInsightsReadOnlyAccessCloudwatchApplicationInsightsServiceLinkedRolePolicy策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon CloudWatch Application Insights 的 Amazon 托管式策略

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Service启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 托管式策略:CloudWatchApplicationInsightsFullAccess

您可以将 CloudWatchApplicationInsightsFullAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许完全访问 Application Insights 功能。

权限详细信息

此策略包含以下权限。

  • applicationinsights – 允许完全访问 Application Insights 功能。

  • iam – 允许 Application Insights 创建服务相关角色,AWSServiceRoleForApplicationInsights。这是必需的,以使 Application Insights 可用执行操作,例如分析客户的资源组、创建 CloudFormation 堆栈以创建有关指标的告警,以及在 EC2 实例上配置 CloudWatch 代理。有关更多信息,请参阅在 CloudWatch Application Insights 中使用服务相关角色

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "applicationinsights:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeVolumes",
        "rds:DescribeDBInstances",
        "rds:DescribeDBClusters",
        "sqs:ListQueues",
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetHealth",
        "autoscaling:DescribeAutoScalingGroups",
        "lambda:ListFunctions",
        "dynamodb:ListTables",
        "s3:ListAllMyBuckets",
        "sns:ListTopics",
        "states:ListStateMachines",
        "apigateway:GET",
        "ecs:ListClusters",
        "ecs:DescribeTaskDefinition",
        "ecs:ListServices",
        "ecs:ListTasks",
        "eks:ListClusters",
        "eks:ListNodegroups",
        "fsx:DescribeFileSystems",
        "logs:DescribeLogGroups",
        "elasticfilesystem:DescribeFileSystems"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/aws-service-role/application-insights.amazonaws.com/AWSServiceRoleForApplicationInsights"
      ],
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "application-insights.amazonaws.com"
        }
      }
    }
  ]
}

Amazon 托管式策略:CloudWatchApplicationInsightsReadOnlyAccess

您可以将 CloudWatchApplicationInsightsReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许只读访问所有 Application Insights 功能。

权限详细信息

此策略包含以下权限。

  • applicationinsights – 允许只读访问 Application Insights 功能。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "applicationinsights:Describe*",
                "applicationinsights:List*"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管式策略:CloudwatchApplicationInsightsServiceLinkedRolePolicy

您无法将 CloudwatchApplicationInsightsServiceLinkedRolePolicy 策略附加到 IAM 实体。此策略附加到一个与服务相关的角色,该角色允许 Application Insights 监控客户资源。有关更多信息,请参阅在 CloudWatch Application Insights 中使用服务相关角色

对 Amazon 托管式策略的 Application Insights 更新

查看有关对 Amazon 托管式策略的 Application Insights 更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Application Insights Document history(文档历史记录)页面上的 RSS 源。

更改 说明 日期

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 增加了列出 CloudFormation 堆栈的新权限。

Amazon CloudWatch Application Insights 需要这些权限来分析和监控嵌套在 CloudFormation 堆栈中的 Amazon 资源。

 2023 年 4 月 24 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了可获取 Amazon VPC 和 Route 53 资源列表的新权限。

Amazon CloudWatch Application Insights 需要这些权限,才能使用 Amazon CloudWatch 自动设置最佳实践网络监控。

 2023 年 1 月 23 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了可获取 SSM 命令调用结果的新权限。

Amazon CloudWatch Application Insights 需要这些权限,才能自动检测和监控 Amazon EC2 实例上运行的工作负载。

 2022 年 12 月 19 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了可描述 Amazon VPC 和 Route 53 资源的新权限。

Amazon CloudWatch Application Insights 需要这些权限,才能读取客户 Amazon VPC 和 Route 53 资源配置,并帮助客户使用 Amazon CloudWatch 自动设置最佳实践网络监控。

 2022 年 12 月 19 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了可描述 EFS 资源的新权限。

Amazon CloudWatch Application Insights 需要这些权限,才能读取 Amazon EFS 客户资源配置,并帮助客户使用 CloudWatch 自动设置 EFS 监控的最佳实践。

 2022 年 10 月 3 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了可描述 EFS 文件系统的新权限

Amazon CloudWatch Application Insights 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。

 2022 年 10 月 3 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了可检索 FSx 资源信息的新权限。

Amazon CloudWatch Application Insights 需要这些权限,才能检索有关底层 FSx 卷的充足信息以监控工作负载。

 2022 年 9 月 12 日

Amazon 托管式策略:CloudWatchApplicationInsightsFullAccess – 对现有策略的更新

Application Insights 添加了描述日志组的新权限。

Amazon CloudWatch Application Insights 需要此权限,以确保在创建新应用程序时,账户中具有监控日志组的正确权限。

 2022 年 1 月 24 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了创建和删除 CloudWatch Log 订阅筛选器的新权限。

Amazon CloudWatch Application Insights 需要这些权限才能创建订阅筛选器,以便于对已配置应用程序中的资源进行日志监控。

 2022 年 1 月 24 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了新的权限来描述 Elastic Load Balancer 的目标组和目标健康状况。

Amazon CloudWatch Application Insights 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。

 2021 年 11 月 4 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了在 Amazon EC2 实例上运行 AmazonCloudWatch-ManageAgent SSM 文档的新权限。

Amazon CloudWatch Application Insights 需要此权限才能清除由 Application Insights 创建的 CloudWatch 代理配置文件。

 2021 年 9 月 30 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了新的权限,以支持基于账户的应用程序监控载入并监控账户中所有受支持的资源。

Amazon CloudWatch Application Insights 需要这些权限才能查询、标记资源并为这些资源创建组。

Application Insights 添加了新的权限以支持对 SNS 主题的监控。

Amazon CloudWatch Application Insights 需要这些权限,才能收集 SNS 资源中的元数据以配置对 SNS 主题的监控。

 2021 年 9 月 15 日

Amazon 托管式策略:CloudWatchApplicationInsightsFullAccess – 对现有策略的更新

Application Insights 添加了描述和列出受支持资源的新权限。

Amazon CloudWatch Application Insights 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。

 2021 年 9 月 15 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了描述 FSx 资源的新权限。

Amazon CloudWatch Application Insights 需要这些权限才能读取客户 FSx 资源配置,并帮助客户使用 CloudWatch 自动设置最佳实践 FSx 监控。

 2021 年 8 月 31 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了描述和列出 ECS 和 EKS 服务资源的新权限。

Amazon CloudWatch Application Insights 需要此权限才能读取客户容器资源配置,并帮助客户使用 CloudWatch 自动设置最佳实践容器监控。

 2021 年 5 月 18 日

CloudwatchApplicationInsightsServiceLinkedRolePolicy – 对现有策略的更新

Application Insights 添加了新权限,允许 OpsCenter 使用对 opsitem 资源类型的资源的 ssm:AddTagsToResource 操作来为 OpsItems 贴标签。

OpsCenter 需要此权限。Amazon CloudWatch Application Insights 会创建 OpsItems,以便客户可以使用 Amazon SSM OpsCenter 解决问题。

 2021 年 4 月 13 日

Athena 开启了跟踪更改

Athena 为其 Amazon 托管式策略开启了跟踪更改。

 2021 年 4 月 13 日