# 网络监测仪的 AWS 托管策略
<a name="CloudWatch-IM-permissions"></a>

AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住，AWS 托管式策略可能不会为您的特定使用案例授予最低权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限，则更新会影响该策略所附加到的所有主体身份（用户、组和角色）。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时，AWS 最有可能更新 AWS 托管式策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 托管策略：CloudWatchInternetMonitorServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchInternetMonitorServiceRolePolicy"></a>

此策略附加到名为 **AWSServiceRoleForInternetMonitor** 的服务相关角色，以允许网络监测仪访问您账户中的资源，例如 Amazon Virtual Private Cloud 资源或网络负载均衡器，以便您可以在创建监测仪时选择这些资源。有关更多信息，请参阅 [Internet Monitor 的服务相关角色](using-service-linked-roles-CWIM.md)。

## AWS 托管策略：CloudWatchInternetMonitorReadOnlyAccess
<a name="security-iam-awsmanpol-CloudWatchInternetMonitorReadOnlyAccess"></a>

您可以将 `CloudWatchInternetMonitorReadOnlyAccess` 附加到 IAM 实体。此策略将授予对只读操作的访问权限，以便使用网络监测仪中的监测仪和数据。将此策略附加到仅需要访问只读操作的 IAM 用户和其他主体。

特别是此策略的范围包括 `internetmonitor:`，从而确保用户能够使用只读网络监测仪操作和资源。它包含检索 CloudWatch 指标相关信息的一些 `cloudwatch:` 策略。它包含管理日志查询的一些 `logs:` 策略。

要查看此策略的权限，请参阅《AWS Managed Policy Reference》**中的 [CloudWatchInternetMonitorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchInternetMonitorReadOnlyAccess.html)。

## AWS 托管式策略：CloudWatchInternetMonitorFullAccess
<a name="security-iam-awsmanpol-CloudWatchInternetMonitorFullAccess"></a>

您可以将 `CloudWatchInternetMonitorFullAccess` 附加到 IAM 实体。此策略将授予对[网络监测仪操作](https://docs.aws.amazon.com/internet-monitor/latest/api/API_Operations.html)的完全访问权限，以便与网络监测仪配合使用。将此策略附加到需要网络监测仪操作的完全访问权限的 IAM 用户和其他主体。

特别是此策略的范围包括 `internetmonitor:`，从而确保用户能够使用网络监测仪操作和资源。它包含检索 CloudWatch 警报和指标相关信息的一些 `cloudwatch:` 策略。它包含管理日志查询的一些 `logs:` 策略。其中包括某些 `ec2:`、`cloudfront:`、`elasticloadbalancing:` 和 `workspaces:` 策略，以便使用您添加到监测仪的资源，从而确保网络监测仪能够创建应用程序的流量概况。它包含管理 IAM 角色的一些 `iam:` 策略。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [CloudWatchInternetMonitorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchInternetMonitorFullAccess.html)。

## 网络监测仪的 AWS 托管式策略更新
<a name="security-iam-awsmanpol-updates-cwim-manpol"></a>

要详细了解从此服务开始跟踪这些更改以来网络监测仪的 AWS 托管式策略更新，请参阅 [CloudWatch 的 AWS 托管式策略更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需获得 CloudWatch 中托管策略更改的自动提示，请订阅 [CloudWatch 历史记录](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)页面上的 RSS 源。