Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran dan izin yang diperlukan untuk kenari CloudWatch
Baik pengguna yang membuat maupun yang mengelola canary, dan canary itu sendiri, harus memiliki izin tertentu.
# Peran dan izin yang diperlukan untuk pengguna yang mengelola kenari CloudWatch
Untuk melihat detail canary dan hasil operasi canary, Anda harus masuk sebagai pengguna dengan kebijakan `CloudWatchSyntheticsFullAccess` atau ` CloudWatchSyntheticsReadOnlyAccess` yang dilampirkan. Untuk membaca semua data Synthetics di konsol, Anda juga memerlukan kebijakan `AmazonS3ReadOnlyAccess` dan ` CloudWatchReadOnlyAccess`. Untuk melihat kode sumber yang digunakan oleh canary, Anda juga memerlukan kebijakan `AWSLambda_ReadOnlyAccess`.
Untuk membuat canary, Anda harus masuk sebagai pengguna yang memiliki kebijakan ` CloudWatchSyntheticsFullAccess` atau serangkaian izin serupa. Untuk membuat peran IAM untuk canary, Anda juga memerlukan pernyataan kebijakan selaras berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": [
"arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
"arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
]
}
]
}
```
------
**penting**
Memberikan izin `iam:CreateRole`, `iam:CreatePolicy`, dan ` iam:AttachRolePolicy` kepada pengguna akan memberikan kepada pengguna tersebut akses administratif penuh ke akun AWS Anda. Misalnya, pengguna dengan izin ini dapat membuat kebijakan yang memiliki izin penuh untuk semua sumber daya dan dapat melampirkan kebijakan tersebut ke peran apa pun. Berhati-hatilah dengan orang yang Anda berikan izin ini.
Untuk informasi tentang cara melampirkan kebijakan dan memberikan izin kepada pengguna, silakan lihat [Mengubah Izin untuk Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dan [Cara menyematkan kebijakan yang selaras bagi pengguna atau peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console).
# Peran dan izin yang diperlukan untuk canary
Setiap canary harus dikaitkan dengan peran IAM yang memiliki izin tertentu yang dilampirkan. Saat Anda membuat kenari menggunakan CloudWatch konsol, Anda dapat memilih CloudWatch Synthetics untuk membuat peran IAM untuk kenari. Jika Anda melakukannya, peran tersebut akan memiliki izin yang diperlukan.
Jika Anda ingin membuat peran IAM sendiri, atau membuat peran IAM yang dapat Anda gunakan saat menggunakan AWS CLI atau APIs untuk membuat kenari, peran tersebut harus berisi izin yang tercantum di bagian ini.
Semua peran IAM untuk canary harus menyertakan pernyataan kebijakan kepercayaan berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Selain itu, peran IAM canary membutuhkan salah satu pernyataan berikut.
**Kenari dasar yang tidak menggunakan AWS KMS atau membutuhkan akses VPC Amazon**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::path/to/your/s3/bucket/canary/results/folder"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::name/of/the/s3/bucket/that/contains/canary/results"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/cwsyn-canary_name-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"xray:PutTraceSegments"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "CloudWatchSynthetics"
}
}
}
]
}
```
------
**Canary yang digunakan AWS KMS untuk mengenkripsi artefak kenari tetapi tidak memerlukan akses VPC Amazon**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::path/to/your/S3/bucket/canary/results/folder"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::name/of/the/S3/bucket/that/contains/canary/results"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/cwsyn-canary_name-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"xray:PutTraceSegments"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "CloudWatchSynthetics"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS_key_id",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
**Canary yang tidak menggunakan AWS KMS tetapi membutuhkan akses VPC Amazon**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::path/to/your/S3/bucket/canary/results/folder"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::name/of/the/S3/bucket/that/contains/canary/results"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/cwsyn-canary_name-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"xray:PutTraceSegments"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "CloudWatchSynthetics"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"*"
]
}
]
}
```
------
**Canary yang digunakan AWS KMS untuk mengenkripsi artefak kenari dan juga membutuhkan akses VPC Amazon**
Jika Anda memperbarui canary non-VPC untuk mulai menggunakan VPC, Anda harus memperbarui peran canary tersebut untuk menyertakan izin antarmuka jaringan yang tercantum dalam kebijakan berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::path/to/your/S3/bucket/canary/results/folder"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::name/of/the/S3/bucket/that/contains/canary/results"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/cwsyn-canary_name-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"xray:PutTraceSegments"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "CloudWatchSynthetics"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS_key_id",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS kebijakan terkelola untuk CloudWatch Synthetics
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS terkelola, lihat [kebijakan AWSAWS terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) kebijakan terkelola di Panduan Pengguna IAM.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan kadang-kadang mengubah izin dalam kebijakan terkelola AWS . Jenis pembaruan ini memengaruhi semua identitas (pengguna, grup, dan peran) tempat kebijakan terlampir.
### CloudWatch Synthetics memperbarui kebijakan terkelola AWS
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk CloudWatch Synthetics sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat CloudWatch dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| Tindakan berlebihan dihapus dari **CloudWatchSyntheticsFullAccess** | CloudWatch Synthetics menghapus ` lambda:GetLayerVersionByArn` tindakan `s3:PutBucketEncryption` dan tindakan dari ** CloudWatchSyntheticsFullAccess**kebijakan karena tindakan tersebut berlebihan dengan izin lain dalam kebijakan. Tindakan yang dihapus tidak memberikan izin apa pun, dan tidak ada perubahan bersih untuk izin yang diberikan oleh kebijakan tersebut. | 12 Maret 2021 |
| CloudWatch Synthetics mulai melacak perubahan | CloudWatch Synthetics mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 10 Maret 2021 |
**CloudWatchSyntheticsFullAccess**
Berikut adalah isi dari kebijakan `CloudWatchSyntheticsFullAccess`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"synthetics:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::cw-syn-results-*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"s3:ListAllMyBuckets",
"xray:GetTraceSummaries",
"xray:BatchGetTraces",
"apigateway:GET"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::cw-syn-*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::aws-synthetics-library-*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"synthetics.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListAttachedRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:Synthetics-*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:GetLogRecord",
"logs:DescribeLogStreams",
"logs:StartQuery",
"logs:GetLogEvents",
"logs:FilterLogEvents",
"logs:GetLogGroupFields"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/lambda/cwsyn-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:AddPermission",
"lambda:PublishVersion",
"lambda:UpdateFunctionCode",
"lambda:UpdateFunctionConfiguration",
"lambda:GetFunctionConfiguration",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:ListTags",
"lambda:TagResource",
"lambda:UntagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:cwsyn-*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:GetLayerVersion",
"lambda:PublishLayerVersion",
"lambda:DeleteLayerVersion"
],
"Resource": [
"arn:aws:lambda:*:*:layer:cwsyn-*",
"arn:aws:lambda:*:*:layer:Synthetics:*",
"arn:aws:lambda:*:*:layer:Synthetics_Selenium:*",
"arn:aws:lambda:*:*:layer:AWS-CW-Synthetics*:*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:Subscribe",
"sns:ListSubscriptionsByTopic"
],
"Resource": [
"arn:*:sns:*:*:Synthetics-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
**CloudWatchSyntheticsReadOnlyAccess**
Berikut adalah isi dari kebijakan `CloudWatchSyntheticsReadOnlyAccess`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"synthetics:Describe*",
"synthetics:Get*",
"synthetics:List*"
],
"Resource": "*"
}
]
}
```
------
# Membatasi pengguna untuk melihat canary tertentu
Anda dapat membatasi kemampuan pengguna untuk melihat informasi tentang canary, sehingga mereka hanya dapat melihat informasi tentang canary yang Anda tentukan. Untuk melakukan ini, gunakan kebijakan IAM dengan pernyataan ` Condition` yang mirip dengan berikut ini, dan lampirkan kebijakan ini ke pengguna atau peran IAM.
Contoh berikut membatasi pengguna untuk hanya melihat informasi tentang ` name-of-allowed-canary-1` dan `name-of-allowed-canary-2`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "synthetics:DescribeCanaries",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"synthetics:Names": [
"name-of-allowed-canary-1",
"name-of-allowed-canary-2"
]
}
}
}
]
}
```
------
CloudWatch Synthetics mendukung daftar sebanyak lima item dalam array. `synthetics:Names`
Anda juga dapat membuat kebijakan yang menggunakan \$1** sebagai wildcard dalam nama canary yang diizinkan, seperti pada contoh berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "synthetics:DescribeCanaries",
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"synthetics:Names": [
"my-team-canary-*"
]
}
}
}
]
}
```
------
Setiap pengguna yang masuk dengan salah satu kebijakan terlampir ini tidak dapat menggunakan CloudWatch konsol untuk melihat informasi kenari apa pun. Mereka dapat melihat informasi kenari hanya untuk kenari yang disahkan oleh kebijakan dan hanya dengan menggunakan [DescribeCanaries](https://docs.aws.amazon.com/AmazonSynthetics/latest/APIReference/API_DescribeCanaries.html)API atau perintah [AWS CLI deskripsi-kenari](https://docs.aws.amazon.com/cli/latest/reference/synthetics/describe-canaries.html).