本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 適用於 Amazon CloudWatch 的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰能夠通過*身分驗證* (已登入) 並取得*授權* (具有許可) 來使用 CloudFront 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [
## 目標對象
](#security_iam_audience)
+ [
## 使用身分驗證
](#security_iam_authentication)
+ [
## 使用政策管理存取權
](#security_iam_access-manage)
+ [
# Amazon CloudWatch 如何與 IAM 搭配運作
](security_iam_service-with-iam.md)
+ [
# Amazon CloudWatch 的身分型政策範例
](security_iam_id-based-policy-examples.md)
+ [
# 對 Amazon CloudWatch 身分與存取進行疑難排解
](security_iam_troubleshoot.md)
+ [
# CloudWatch 儀表板許可更新
](dashboard-permissions-update.md)
+ [
# AWS CloudWatch 的 受管 (預先定義) 政策
](managed-policies-cloudwatch.md)
+ [
# 客戶管理政策範例
](customer-managed-policies-cw.md)
+ [
# 使用條件索引鍵來限制對 CloudWatch 的存取
](reference_policies_condition-keys.md)
+ [
# 對 CloudWatch 使用服務連結角色
](using-service-linked-roles.md)
+ [
# 對 CloudWatch RUM 使用服務連結角色
](using-service-linked-roles-RUM.md)
+ [
# 針對 CloudWatch Application Insights 使用服務連結角色
](CHAP_using-service-linked-roles-appinsights.md)
+ [
# AWS Amazon CloudWatch Application Insights 的 受管政策
](security-iam-awsmanpol-appinsights.md)
+ [
# Amazon CloudWatch 許可參考
](permissions-reference-cw.md)
## 目標對象
使用方式 AWS Identity and Access Management (IAM) 會根據您的角色而有所不同:
+ **服務使用者** — 若無法存取某些功能,請向管理員申請所需許可 (請參閱 [對 Amazon CloudWatch 身分與存取進行疑難排解](security_iam_troubleshoot.md))
+ **服務管理員** — 負責設定使用者存取權並提交相關許可請求 (請參閱 [Amazon CloudWatch 如何與 IAM 搭配運作](security_iam_service-with-iam.md))
+ **IAM 管理員** — 撰寫政策以管理存取控制 (請參閱 [Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md))
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分可完整存取所有 AWS 服務 和資源。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 聯合身分
最佳實務是要求人類使用者使用聯合身分提供者,以 AWS 服務 使用臨時憑證存取 。
*聯合身分*是您企業目錄、Web 身分提供者的使用者,或使用身分來源的 AWS 服務 憑證存取 Directory Service 。聯合身分會擔任角色,而該角色會提供臨時憑證。
若需集中化管理存取權限,建議使用 AWS IAM Identity Center。如需詳細資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS , 會評估這些政策。大多數政策會以 JSON 文件 AWS 的形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員會使用政策,透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
### 身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM *角色信任政策*與 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策中使用來自 IAM 的 AWS 受管政策。
### 其他政策類型
AWS 支援其他政策類型,可設定更多常見政策類型授予的最大許可:
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 決定是否在涉及多個政策類型時允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# Amazon CloudWatch 如何與 IAM 搭配運作
在您使用 IAM 管理 CloudWatch 的存取權之前,請了解有哪些 IAM 功能可以與 CloudWatch 搭配使用。
下表所列為您可以搭配 Amazon CloudWatch 使用的 IAM 功能。
| IAM 功能 | CloudWatch 支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies-cw) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies-cw) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions-cw) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources-cw) | 是 |
| [政策條件索引鍵 (服務特定)](#security_iam_service-with-iam-id-based-policies-conditionkeys-cw) | 是 |
| [ACL](#security_iam_service-with-iam-acls-cw) | 否 |
| [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags-cw) | 部分 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds-cw) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions-cw) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service-cw) | 是 |
| [服務連結角色](security_iam_service-with-iam-cwim.md#security_iam_service-with-iam-roles-service-linked) | 否 |
若要全面了解 CloudWatch 和其他 AWS 服務如何與大多數 IAM 功能搭配使用,請參閱《[AWS IAM 使用者指南》中的與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **
## CloudWatch 的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### CloudWatch 的身分型政策範例
若要檢視 CloudWatch 身分型政策的範例,請參閱「[Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md)」。
## CloudWatch 內的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
如需啟用跨帳戶存取權,您可以在其他帳戶內指定所有帳戶或 IAM 實體作為資源型政策的主體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## CloudWatch 的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要查看 CloudWatch 動作的清單,請參閱《服務授權參考**》中的「[Amazon CloudWatch 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)」。
CloudWatch 中的政策動作會在動作前使用以下前置詞:
```
cloudwatch
```
若要在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"cloudwatch:action1",
"cloudwatch:action2"
]
```
若要檢視 CloudWatch 身分型政策的範例,請參閱「[Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md)」。
## CloudWatch 的政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
若要查看 CloudWatch 資源類型及其 ARN 的清單,請參閱《服務授權參考**》中的「[Amazon CloudWatch 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies)」。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱「[Amazon CloudWatch 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)」。
若要檢視 CloudWatch 身分型政策的範例,請參閱「[Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md)」。
## CloudWatch 的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要查看 CloudWatch 條件索引鍵的清單,請參閱《服務授權參考**》中的「[Amazon CloudWatch 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys)」。若要了解您可以透過哪些動作和資源使用條件索引鍵,請參閱「[Amazon CloudWatch 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)」。
若要檢視 CloudWatch 身分型政策的範例,請參閱「[Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md)」。
## CloudWatch 中的 ACL
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## ABAC 搭配 CloudWatch
**支援 ABAC (政策中的標籤):**部分
屬性型存取控制 (ABAC) 是一種授權策略,根據稱為標籤的屬性定義許可權。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 在 CloudWatch 中使用臨時憑證
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時,會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## CloudWatch 的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## CloudWatch 的服務角色
**支援服務角色:**是
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
變更服務角色的許可有可能會中斷 CloudWatch 功能。只有在 CloudWatch 提供指引時,才能編輯服務角色。
# Amazon CloudWatch 的身分型政策範例
依預設,使用者和角色沒有建立或修改 CloudWatch 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 CloudWatch 所定義之動作和資源類型的詳細資訊,包括每種資源類型的 ARN 格式,請參閱《服務授權參考**》中「[Amazon CloudWatch 的動作、資源及條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html)」。
**Topics**
+ [
## 政策最佳實務
](#security_iam_service-with-iam-policy-best-practices)
+ [
## 使用 CloudWatch 主控台
](#security_iam_id-based-policy-examples-console)
## 政策最佳實務
身分型政策會判斷某人是否可以在您的帳戶中建立、存取或刪除 CloudWatch 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 CloudWatch 主控台
若要存取 Amazon CloudWatch 主控台,您必須擁有最低限度的許可集合。這些許可必須允許您列出和檢視 中 CloudWatch 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
為了確保使用者和角色仍然可以使用 CloudWatch 主控台,也請將 CloudWatch `ConsoleAccess`或`ReadOnly` AWS 受管政策連接到實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
### CloudWatch 主控台所需的許可
使用 CloudWatch 主控台所需的完整許可集合如下。這些許可會提供 CloudWatch 主控台的完整寫入和讀取存取權。
+ application-autoscaling:DescribeScalingPolicies
+ autoscaling:DescribeAutoScalingGroups
+ autoscaling:DescribePolicies
+ cloudtrail:DescribeTrails
+ cloudwatch:DeleteAlarms
+ cloudwatch:DescribeAlarmHistory
+ cloudwatch:DescribeAlarms
+ cloudwatch:GetMetricData
+ cloudwatch:GetMetricStatistics
+ cloudwatch:ListMetrics
+ cloudwatch:PutMetricAlarm
+ cloudwatch:PutMetricData
+ ec2:DescribeInstances
+ ec2:DescribeTags
+ ec2:DescribeVolumes
+ es:DescribeElasticsearchDomain
+ es:ListDomainNames
+ events:DeleteRule
+ events:DescribeRule
+ events:DisableRule
+ events:EnableRule
+ events:ListRules
+ events:PutRule
+ iam:AttachRolePolicy
+ iam:CreateRole
+ iam:GetPolicy
+ iam:GetPolicyVersion
+ iam:GetRole
+ iam:ListAttachedRolePolicies
+ iam:ListRoles
+ kinesis:DescribeStream
+ kinesis:ListStreams
+ lambda:AddPermission
+ lambda:CreateFunction
+ lambda:GetFunctionConfiguration
+ lambda:ListAliases
+ lambda:ListFunctions
+ lambda:ListVersionsByFunction
+ lambda:RemovePermission
+ logs:CancelExportTask
+ logs:CreateExportTask
+ logs:CreateLogGroup
+ logs:CreateLogStream
+ logs:DeleteLogGroup
+ logs:DeleteLogStream
+ logs:DeleteMetricFilter
+ logs:DeleteRetentionPolicy
+ logs:DeleteSubscriptionFilter
+ logs:DescribeExportTasks
+ logs:DescribeLogGroups
+ logs:DescribeLogStreams
+ logs:DescribeMetricFilters
+ logs:DescribeQueries
+ logs:DescribeSubscriptionFilters
+ logs:FilterLogEvents
+ logs:GetLogGroupFields
+ logs:GetLogRecord
+ logs:GetLogEvents
+ logs:GetQueryResults
+ logs:PutMetricFilter
+ logs:PutRetentionPolicy
+ logs:PutSubscriptionFilter
+ logs:StartQuery
+ logs:StopQuery
+ logs:TestMetricFilter
+ s3:CreateBucket
+ s3:ListBucket
+ sns:CreateTopic
+ sns:GetTopicAttributes
+ sns:ListSubscriptions
+ sns:ListTopics
+ sns:SetTopicAttributes
+ sns:Subscribe
+ sns:Unsubscribe
+ sqs:GetQueueAttributes
+ sqs:GetQueueUrl
+ sqs:ListQueues
+ sqs:SetQueueAttributes
+ swf:CreateAction
+ swf:DescribeAction
+ swf:ListActionTemplates
+ swf:RegisterAction
+ swf:RegisterDomain
+ swf:UpdateAction
此外,要查看 X-Ray 追蹤地圖,您需要 `AWSXrayReadOnlyAccess`
# 對 Amazon CloudWatch 身分與存取進行疑難排解
請使用以下資訊來協助您診斷和修正使用 CloudWatch 和 IAM 時發生的常見問題。
**Topics**
+ [
## 我未獲授權,不得在 CloudWatch 中執行動作
](#security_iam_troubleshoot-no-permissions)
+ [
## 我未獲得執行 iam:PassRole 的授權
](#security_iam_troubleshoot-passrole)
+ [
## 我想要允許 以外的人員 AWS 帳戶 存取我的 CloudWatch 資源
](#security_iam_troubleshoot-cross-account-access)
## 我未獲授權,不得在 CloudWatch 中執行動作
如果您收到錯誤,告知您未獲授權執行動作,您的政策必須更新,允許您執行動作。
下列範例錯誤會在`mateojackson` IAM 使用者嘗試使用主控台檢視一個虛構 `my-example-widget` 資源的詳細資訊,但卻無虛構 `cloudwatch:GetWidget` 許可時發生。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudwatch:GetWidget on resource: my-example-widget
```
在此情況下,必須更新 `mateojackson` 使用者的政策,允許使用 `cloudwatch:GetWidget` 動作存取 `my-example-widget` 資源。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您無權執行 `iam:PassRole` 動作,則必須更新您的政策,以便您將角色傳遞至 CloudWatch。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 `marymajor` 的 IAM 使用者嘗試使用主控台在 CloudWatch 中執行動作時,就發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我想要允許 以外的人員 AWS 帳戶 存取我的 CloudWatch 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 CloudWatch 是否支援這些功能,請參閱「[Amazon CloudWatch 如何與 IAM 搭配運作](security_iam_service-with-iam.md)」。
+ 若要了解如何在您擁有 AWS 帳戶 的 資源之間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 中提供存取權給](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM* 使用者。
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《*IAM 使用者指南*》中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# CloudWatch 儀表板許可更新
2018 年 5 月 1 日, AWS 變更了存取 CloudWatch 儀表板所需的許可。CloudWatch 主控台中的儀表板存取現在需要在 2017 年引進的許可,以支援儀表板 API 操作:
+ **cloudwatch:GetDashboard**
+ **cloudwatch:ListDashboards**
+ **cloudwatch:PutDashboard**
+ **cloudwatch:DeleteDashboards**
若要存取 CloudWatch 儀表板,您需要以下其中一個項目:
+ 此 **AdministratorAccess** 政策。
+ **CloudWatchFullAccess** 政策。
+ 自訂政策,其中包含一或多個特定許可:
+ `cloudwatch:GetDashboard` 和 `cloudwatch:ListDashboards` 能夠檢視儀表板
+ `cloudwatch:PutDashboard` 能夠建立或修改儀表板
+ `cloudwatch:DeleteDashboards` 能夠刪除儀表板
如需有關使用政策變更 IAM 使用者許可的詳細資訊,請參閱「[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)」。
如需 CloudWatch 許可的詳細資訊,請參閱 [Amazon CloudWatch 許可參考](permissions-reference-cw.md)。
如需儀表板 API 操作的詳細資訊,請參閱《Amazon CloudWatch API 參考》中的 [PutDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutDashboard.html)。
# AWS CloudWatch 的 受管 (預先定義) 政策
AWS 提供由 建立和管理的獨立 IAM 政策,以解決許多常見的使用案例 AWS。這些 AWS 受管政策會授予常見使用案例的必要許可,讓您不必調查需要哪些許可。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
下列 AWS 受管政策是 CloudWatch 特有的,您可以連接到您帳戶中的使用者。
**Topics**
+ [
## AWS 受管政策的 CloudWatch 更新
](#security-iam-awsmanpol-updates)
+ [
## CloudWatchFullAccessV2
](#managed-policies-cloudwatch-CloudWatchFullAccessV2)
+ [
## CloudWatchFullAccess
](#managed-policies-cloudwatch-CloudWatchFullAccess)
+ [
## CloudWatchReadOnlyAccess
](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess)
+ [
## CloudWatchActionsEC2Access
](#managed-policies-cloudwatch-CloudWatchActionsEC2Access)
+ [
## CloudWatch-CrossAccountAccess
](#managed-policies-cloudwatch-CloudWatch-CrossAccountAccess)
+ [
## CloudWatchAutomaticDashboardsAccess
](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess)
+ [
## CloudWatchAgentServerPolicy
](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy)
+ [
## CloudWatchAgentAdminPolicy
](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy)
+ [
## CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy)
+ [
## AWS CloudWatch 跨帳戶可觀測性的 受管 (預先定義) 政策
](#managed-policies-cloudwatch-crossaccount)
+ [
## AWS CloudWatch 調查的受管 (預先定義) 政策
](#managed-policies-cloudwatch-QInvestigations)
+ [
## AWS CloudWatch Application Signals 的受管 (預先定義) 政策
](#managed-policies-cloudwatch-ApplicationSignals)
+ [
## AWS CloudWatch Synthetics 的受管 (預先定義) 政策
](#managed-policies-cloudwatch-canaries)
+ [
## AWS Amazon CloudWatch RUM 的 受管 (預先定義) 政策
](#managed-policies-cloudwatch-RUM)
+ [
## AWS AWS Systems Manager Incident Manager 的 受管政策
](#managed-policies-cloudwatch-incident-manager)
## AWS 受管政策的 CloudWatch 更新
檢視自此服務開始追蹤這些變更以來CloudWatch AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新的政策 | CloudWatch 已更新 **CloudWatchSyntheticsFullAccess** 政策。 已新增 `cloudwatch:ListMetrics`許可,以便 CloudWatch Synthetics 列出可用的指標。此外,`apigateway:GET`許可已從允許所有資源變更為特定 API Gateway 資源:REST APIs、REST API 階段、REST API 階段 Swagger 匯出和 HTTP APIs。 | 2026 年 3 月 31 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 已更新政策 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 政策。它新增了許可,以啟用 CloudWatch 調查,以協助查詢、疑難排解和拓撲映射。 已新增下列許可:`appsync:GetGraphqlApiEnvironmentVariables`、`kms:GetKeyPolicy`、 `cloudtrail:GetEventConfiguration`和 `s3:GetBucketAbac` | 2026 年 2 月 6 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 已更新政策 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 政策。它新增了許可,以啟用 CloudWatch 調查,以協助查詢、疑難排解和拓撲映射。 已新增下列許可:`kms:GetKeyRotationStatus`、 `kms:ListAliases`和 `kms:ListKeyRotations` | 2025 年 12 月 17 日 |
| [ CloudWatchNetworkMonitorServiceRolePolicy](security-iam-awsmanpol-nw.md#security-iam-CloudWatchNetworkMonitorServiceRolePolicy) – 更新的政策 | CloudWatch 已將 `ec2:DescribeRouteTables`、`ec2:DescribeTransitGatewayRouteTables`、、 `ec2:SearchTransitGatewayRoutes` 許可新增至 **CloudWatchNetworkMonitorServiceRolePolicy** `ec2:DescribeTransitGatewayAttachments`受管政策,以授予 Network Synthetic Monitor 許可,為使用 Transit Gateways 的客戶產生 Network Health Indicator 值。 | 2025 年 12 月 12 日 |
| [ CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 更新的政策 | CloudWatch 已將 `ec2:DescribeVpcEndpoints`和 `ec2:DescribeVpcEndpointServiceConfigurations`許可新增至 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 受管政策,以授予 Network Flow Monitor 許可,以產生 VPC 端點和 vpce 服務組態的拓撲快照。 | 2025 年 12 月 10 日 |
| [ CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 已更新政策 | CloudWatch 已將許可新增至 **CloudWatchFullAccessV2**。 新增可觀測性管理動作的許可,以允許完整存取遙測管道和 S3 資料表整合。 | 2025 年 12 月 2 日 |
| [ CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新的政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。 新增可觀測性管理動作的許可,以允許唯讀存取遙測管道和 S3 資料表整合。 | 2025 年 12 月 2 日 |
| [CloudWatchFullAccessV2 ](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 已更新政策 | CloudWatch 已更新 **CloudWatchFullAccessV2** 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及啟用資源總管從 Application Signals 查詢未檢測的服務和資源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsFullAccess ](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – 更新的政策 | CloudWatch 已更新 **CloudWatchApplicationSignalsFullAccess** 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及啟用資源總管從 Application Signals 查詢未檢測的服務和資源。 | 2025 年 11 月 20 日 |
| [CloudWatchReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新的政策 | CloudWatch 已更新 **CloudWatchReadOnlyAccess** 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及從 Application Signals 查詢未經檢測的服務和資源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – 更新的政策 | CloudWatch 已更新 **CloudWatchApplicationSignalsReadOnlyAccess** 政策,包含支援檢視指定實體和時間範圍變更事件的許可,以及從 Application Signals 查詢未經檢測的服務和資源。 | 2025 年 11 月 20 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新現有政策 | CloudWatch 已更新名為 **CloudWatchApplicationSignalsServiceRolePolicy** 的政策。 更新政策以包含 `resource-explorer-2:Search`和 `cloudtrail:CreateServiceLinkedChannel`,以啟用新的 Application Signals 功能。 | 2025 年 11 月 20 日 |
| [AIOpsConsoleAdminPolicy – 已更新政策 ](https://docs.aws.amazon.com/managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) | CloudWatch 已更新 **AIOpsConsoleAdminPolicy** 政策以包含 Amazon Q 整合許可,讓使用者能夠透過 Amazon Q 的對話界面與 CloudWatch 調查事件報告互動。 | 2025 年 11 月 17 日 |
| [AIOpsOperatorAccess – 已更新政策 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) | CloudWatch 已更新 **AIOpsOperatorAccess** 政策以包含 Amazon Q 整合許可,讓使用者能夠透過 Amazon Q 的對話界面與 CloudWatch 調查事件報告互動。 | 2025 年 11 月 7 日 |
| [ CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](#managed-policies-cloudwatch-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 更新的政策 | CloudWatch 將 `ec2:DescribeManagedPrefixLists`和 `ec2:GetManagedPrefixListEntries`許可新增至 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 受管政策,以授予 Network Flow Monitor 產生受管字首清單拓撲快照的許可。 | 2025 年 11 月 6 日 |
| [AIOpsAssistantIncidentReportPolicy – 新政策 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html) | CloudWatch 新增了 **AIOpsAssistantIncidentReportPolicy** 政策,讓 CloudWatch 調查能夠從調查資料產生事件報告,包括存取調查、建立報告和管理 AI 衍生事實的許可。 | 2025 年 10 月 10 日 |
| [AIOpsOperatorAccess – 更新的政策 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html) | CloudWatch 更新了 **AIOpsOperatorAccess** 政策,以包含事件報告產生許可,允許使用者建立和管理事件報告,並在 CloudWatch 調查中使用 AI 衍生的事實。 | 2025 年 10 月 10 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新現有政策。 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。 新增可觀測性管理動作的許可,以允許唯讀存取遙測規則、集中化組態和資源遙測資料 AWS Organizations。 | 2025 年 10 月 10 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 現有政策更新 | CloudWatch 已更新 **CloudWatchFullAccessV2**,以包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。 | 2025 年 10 月 8 日 |
| [CloudWatchReadOnlyAccess ](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 現有政策的更新 | CloudWatch 已更新 **CloudWatchReadOnlyAccess**,以包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。 | 2025 年 10 月 8 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess – 已更新政策](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html) | CloudWatch 已更新 **CloudWatchApplicationSignalsReadOnlyAccess** 政策,可檢視帳戶中資源與服務的變動狀況,並檢視帳戶中服務異常的主要觀測結果。 | 2025 年 9 月 29 日 |
| [CloudWatchApplicationSignalsFullAccess – 已更新政策 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html) | CloudWatch 已更新 **CloudWatchApplicationSignalsFullAccess** 政策,可檢視帳戶中資源與服務的變動狀況,並檢視帳戶中服務異常的主要觀測結果。 | 2025 年 9 月 29 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 已更新政策 | CloudWatch 已更新 **AIOpsAssistantPolicy**,允許 CloudWatch 調查功能存取更多資源,以協助執行查詢、疑難排解及拓撲映射作業。 此政策授與 CloudWatch 調查功能進行調查所需的許可。 | 2025 年 9 月 24 日 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 已更新政策 | CloudWatch 已更新 **AIOpsConsoleAdminPolicy** 政策,允許跨帳戶驗證調查群組。 此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 | 2025 年 6 月 13 日 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – 已更新政策 | CloudWatch 已更新 **AIOpsOperatorAccess** 政策,允許跨帳戶驗證調查群組。 此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 | 2025 年 6 月 13 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 現有政策更新 | CloudWatch 已更新 **AIOpsAssistantPolicy** IAM 政策。新增了許可,讓 CloudWatch Application Insights 操作調查功能可在調查期間於資源中尋找相關資訊。 已新增下列許可:`appsync:GetGraphqlApi`、`appsync:GetDataSource`、`iam:ListAttachedRolePolicies`、`iam:ListRolePolicies` 和 `iam:ListRoles` 此外,已從政策中移除 `elastic-inference:Describe*` 許可。 | 2025 年 6 月 13 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新的政策 | CloudWatch 新增了對 **AmazonCloudWatchRUMReadOnlyAccess** 政策的許可。 新增了 `synthetics: describeCanaries` 和 `synthetics:describeCanariesLastRun`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 Synthetics Canary。 新增了 `cloudwatch:GetMetricData`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 CloudWatch 指標。 新增了 `cloudwatch:DescribeAlarms`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 CloudWatch 警示。 新增了 `logs:DescribeLogGroups`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 CloudWatch 日誌。 新增了 `xray:GetTraceSummaries`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的 X-Ray 追蹤區段。 新增了 `rum:ListTagsForResources`,以便 CloudWatch RUM 可以向 RUM 應用程式監視器顯示關聯的標籤。 | 2025 年 6 月 28 日 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – 已更新政策 | CloudWatch 已更新 **AIOpsReadOnlyAccess** 政策,允許跨帳戶驗證調查群組。 此政策授與使用者 Amazon AI Operations 和其他相關服務的唯讀許可。 | 2025 年 6 月 5 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新的政策 | CloudWatch 將許可新增至 **AmazonCloudWatchRUMReadOnlyAccess** 政策。 已新增 `rum:GetResourcePolicy` 許可,以便 CloudWatch RUM 可以檢視連結至 RUM 應用程式監視器的資源政策。 | 2025 年 4 月 28 日 |
| [AIOpsConsoleAdminPolicy](#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy) – 新政策 | CloudWatch 建立名為 **AIOpsConsoleAdminPolicy** 的新政策。 此政策授與使用者管理 CloudWatch 調查的完整管理存取權,包括受信任身分傳播管理,以及 IAM Identity Center 與組織存取權管理。 | 2024 年 12 月 3 日 |
| [AIOpsOperatorAccess](#managed-policies-QInvestigations-AIOpsOperatorAccess) – 新政策 | CloudWatch 建立名為 **AIOpsOperatorAccess** 的新政策。 此政策會授予使用者存取 CloudWatch 調查動作,以及存取調查事件所需的其他 AWS 動作。 | 2024 年 12 月 3 日 |
| [AIOpsReadOnlyAccess](#managed-policies-QInvestigations-AIOpsReadOnlyAccess) – 新政策 | CloudWatch 建立名為 **AIOpsReadOnlyAccess** 的新政策。 此政策授與使用者 Amazon AI Operations 和其他相關服務的唯讀許可。 | 2024 年 12 月 3 日 |
| [AIOpsAssistantPolicy](#managed-policies-QInvestigations-AIOpsAssistant) – 新政策 | CloudWatch 建立名為 **AIOpsAssistantPolicy** 的新政策。 不能將此政策指派給使用者。您可以將此政策指派給 Amazon AI Operations 助理,讓 CloudWatch 調查能夠在調查操作事件期間分析您的 AWS 資源。 | 2024 年 12 月 3 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 現有政策更新 | CloudWatch 更新 **CloudWatchFullAccessV2** 和 **CloudWatchFullAccess**。 Amazon OpenSearch Service 已將 的許可新增至 ,以啟用部分功能的 CloudWatch Logs 與 OpenSearch Service 整合。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorServiceRolePolicy](using-service-linked-roles-network-flow-monitor.md) – 新政策 | CloudWatch 新增一項新政策 **CloudWatchNetworkFlowMonitorServiceRolePolicy**。 **CloudWatchNetworkFlowMonitorServiceRolePolicy** 授與 Network Flow Monitor 將指標發布至 CloudWatch 的許可。它還允許服務使用 AWS Organizations 來取得多帳戶案例的資訊。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy) – 新政策 | CloudWatch 新增一項新政策 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy**。 **CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy** 授與 Network Flow Monitor 許可,以產生您帳戶中所用資源的拓撲快照。 | 2024 年 12 月 1 日 |
| [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) – 新政策 | CloudWatch 新增一項新政策 **CloudWatchNetworkFlowMonitorAgentPublishPolicy**。 **CloudWatchNetworkFlowMonitorAgentPublishPolicy** 授與 Amazon EC2 和 Amazon EKS 執行個體等資源的許可,以將遙測報告 (指標) 傳送至 Network Flow Monitor 端點。 | 2024 年 12 月 1 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch 已更新名為 **CloudWatchSyntheticsFullAccess** 的政策。 新增下列 CloudWatch Logs 動作,以允許 CloudWatch Synthetics 在 Lambda 日誌群組中取得和使用 Canary 日誌資料。同時新增 `lambda:GetFunction` 許可,以允許 Synthetics 取得特定函式的相關資訊。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch.html) 此外,Lambda 層版本動作現在適用於所有 CloudWatch Synthetics 層 ARN。 | 2024 年 11 月 20 日 |
| [CloudWatchInternetMonitorReadOnlyAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorReadOnlyAccess) – 新增 **CloudWatchInternetMonitorReadOnlyAccess**。 此政策授與對 Internet Monitor CloudWatch 主控台中可用之資源和動作的唯讀存取權。此政策的範圍包括 `internetmonitor:`,使用者可以使用唯讀 Internet Monitor 動作和資源。其中包含一些 `cloudwatch:` 政策,與擷取 CloudWatch 指標資訊相關。其中包含一些 `logs:` 政策,與管理日誌查詢相關。 | 2024 年 11 月 14 日 |
| [CloudWatchInternetMonitorFullAccess](CloudWatch-IM-permissions.md#security-iam-awsmanpol-CloudWatchInternetMonitorFullAccess) – 新政策 | CloudWatch 建立名為 **CloudWatchInternetMonitorFullAccess** 的新政策。 此政策授與對 Internet Monitor CloudWatch 主控台中可用之資源和動作的完整存取權。此政策的範圍包括 `internetmonitor:`,使用者可以使用 Internet Monitor 動作和資源。其中包含一些 `cloudwatch:` 政策,與擷取 CloudWatch 警示和指標資訊相關。其中包含一些 `logs:` 政策,與管理日誌查詢相關。其中包含一些 `ec2:`、`cloudfront:`、`elasticloadbalancing:` 和 `workspaces:` 政策,用於處理您新增至監視器的資源,以便 Internet Monitor 能夠為您的應用程式建立流量設定檔。其中包含一些 `iam:` 政策,與管理 IAM 角色相關。 | 2024 年 10 月 23 日 |
| [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](#managed-policies-CloudWatchLambdaApplicationSignalsExecutionRolePolicy) – 新增 **CloudWatchLambdaApplicationSignalsExecutionRolePolicy**。 為 Lambda 工作負載啟用 CloudWatch Application Signals 時,會使用此政策。允許對 X-Ray 以及 CloudWatch Application Signals 所使用之日誌群組進行寫入存取。 | 2024 年 10 月 16 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch 已更新名為 **CloudWatchSyntheticsFullAccess** 的政策。 新增 `lambda:ListTags`、`lambda:TagResource` 和 `lambda:UntagResource` 許可,因此當您在 Canary 上套用或變更標籤時,也可以選擇讓 Synthetics 將這些標籤或變更套用至 Canary 使用的 Lambda 函式。 | 2024 年 10 月 11 日 |
| [CloudWatchApplicationSignalsReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsReadOnlyAccess) – 新政策 | CloudWatch 建立名為 **CloudWatchApplicationSignalsReadOnlyAccess** 的新政策。 此政策授與對 Application Signals CloudWatch 主控台中可用之資源和動作的唯讀存取權。此政策的範圍包含 `application-signals:` 政策,使用者可以在 CloudWatch 主控台的 Application Signals 下使用唯讀動作和資源。其中包含 `iam:` 政策,與管理 IAM 角色相關。其中包含一些 `logs:` 政策,與管理日誌查詢和篩選條件相關。其中包含 `cloudwatch:` 政策,與擷取 CloudWatch 警示和指標資訊相關。其中包含一些 `synthetics:` 政策,與擷取 Synthetics Canary 資訊相關。其中包含 `rum:` 政策,與管理 RUM 用戶端和任務相關。其中包含 `xray:` 政策,與取得追蹤摘要相關。 | 2024 年 6 月 7 日 |
| [CloudWatchApplicationSignalsFullAccess](#managed-policies-cloudwatch-CloudWatchApplicationSignalsFullAccess) – 新增政策 | CloudWatch 建立名為 **CloudWatchApplicationSignalsFullAccess** 的新政策。 此政策授與對 Application Signals CloudWatch 主控台中可用之資源和動作的完整存取權。此政策的範圍包括 `application-signals:`,使用者可以使用 Application Signals 動作和資源。其中包含一些 `cloudwatch:` 政策,與擷取 CloudWatch 警示和指標資訊相關。其中包含一些 `logs:` 政策,與管理日誌查詢相關。其中包含一些 `synthetics:` 政策,與寫入和擷取 Synthetics Canary 資訊相關。其中包含 `rum:` 政策,與管理 RUM 用戶端和任務相關。其中包含 `xray:` 政策,與取得追蹤摘要相關。其中包含一些 `cloudwatch:` 政策,與管理 CloudWatch 警示相關。其中包含一些 `iam:` 政策,與管理 IAM 角色相關。其中包含一些 `sns:` 政策,與管理 Amazon Simple Notification Service 通知相關。 | 2024 年 6 月 7 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新為現有政策 | CloudWatch 已更新名為 **CloudWatchFullAccessV2** 的政策。 `CloudWatchFullAccessPermissions` 政策的範圍更新,新增 `application-signals:*`,使用者可以使用 CloudWatch Application Signals 來檢視、調查和診斷與其服務運作狀態相關的問題。 | 2024 年 5 月 20 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已更新名為 **CloudWatchReadOnlyAccess** 的政策。 `CloudWatchReadOnlyAccessPermissions` 政策的範圍更新,新增 `application-signals:BatchGet*`、`application-signals:List*` 和 `application-signals:Get*`,使用者可以使用 CloudWatch Application Signals 來檢視、調查和診斷與其服務運作狀態相關的問題。`CloudWatchReadOnlyGetRolePermissions` 的範圍更新,新增 `iam:GetRole` 動作,使用者可以檢查 CloudWatch Application Signals 是否已設定。 | 2024 年 5 月 20 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新現有政策 | CloudWatch 已更新名為 **CloudWatchApplicationSignalsServiceRolePolicy** 的政策。 `logs:StartQuery` 和 `logs:GetQueryResults` 許可的範圍已變更,新增 `arn:aws:logs:*:*:log-group:/aws/appsignals/*:*` 和 `arn:aws:logs:*:*:log-group:/aws/application-signals/data:*` ARN,以在更多架構上啟用 Application Signals。 | 2024 年 4 月 18 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 更新現有政策 | CloudWatch 變更 **CloudWatchApplicationSignalsServiceRolePolicy** 中的許可範圍。 `cloudwatch:GetMetricData` 許可的範圍變更為 `*`,以便 Application Signals 可以從連結帳戶中的來源擷取指標。 | 2024 年 4 月 8 日 |
| [CloudWatchAgentServerPolicy](#managed-policies-cloudwatch-CloudWatchAgentServerPolicy) – 更新現有政策 | CloudWatch 將許可新增至 **CloudWatchAgentServerPolicy**。 新增 `xray:PutTraceSegments`、`xray:PutTelemetryRecords`、`xray:GetSamplingRules`、`xray:GetSamplingTargets`、`xray:GetSamplingStatisticSummaries` 和 `logs:PutRetentionPolicy` 許可,CloudWatch 代理程式可以發布 X-Ray 追蹤並修改日誌群組保留期。 | 2024 年 2 月 12 日 |
| [CloudWatchAgentAdminPolicy](#managed-policies-cloudwatch-CloudWatchAgentAdminPolicy) – 更新現有政策 | CloudWatch 將許可新增至 **CloudWatchAgentAdminPolicy**。 新增 `xray:PutTraceSegments`、`xray:PutTelemetryRecords`、`xray:GetSamplingRules`、`xray:GetSamplingTargets`、`xray:GetSamplingStatisticSummaries` 和 `logs:PutRetentionPolicy` 許可,CloudWatch 代理程式可以發布 X-Ray 追蹤並修改日誌群組保留期。 | 2024 年 2 月 12 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 更新為現有政策 | CloudWatch 已將許可新增至 **CloudWatchFullAccessV2**。 已新增 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 動作的現有許可以及 CloudWatch Application Signals 的新許可,以便具有此政策的使用者可以管理 CloudWatch Application Signals。 已新增用於建立 CloudWatch Application Signals 服務連結角色的許可,以允許 CloudWatch Application Signals 探索日誌、指標、追蹤和標籤中的遙測資料。 | 2023 年 12 月 5 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。 已新增 CloudWatch Synthetics、X-Ray 和 CloudWatch RUM 動作的現有唯讀許可以及 CloudWatch Application Signals 的新唯讀許可,以便具有此政策的使用者可以分類和診斷 CloudWatch Application Signals 所報告的服務運作狀態問題。 新增 `cloudwatch:GenerateQuery` 許可,讓具有此政策的使用者可以從自然語言提示中產生 CloudWatch Metrics Insights 查詢字串。 | 2023 年 12 月 5 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) – 更新現有政策。 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。 新增 `cloudwatch:GenerateQuery` 許可,採用此政策的使用者可以從自然語言提示中產生 [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) 查詢字串。 | 2023 年 12 月 1 日 |
| [CloudWatchApplicationSignalsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-signals) – 新政策 | CloudWatch 新增了一項新政策 **CloudWatchApplicationSignalsServiceRolePolicy**。 **CloudWatchApplicationSignalsServiceRolePolicy** 授予即將推出的特徵許可,以收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料,以及標記資料。 | 2023 年 11 月 9 日 |
| [AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy](using-service-linked-roles.md#service-linked-role-permissions-dbperfinsights) – 新政策 | CloudWatch 新增了一項新政策 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy**。 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsightsServiceRolePolicy** 會授予許可給 CloudWatch 來代表您從資料庫擷取 Performance Insights 指標。 | 2023 年 9 月 20 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。 新增了 `application-autoscaling:DescribeScalingPolicies` 許可,讓具有此政策的使用者可以存取 Application Auto Scaling 政策的相關資訊。 | 2023 年 9 月 14 日 |
| [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2) – 新政策 | CloudWatch 新增了一項新政策 **CloudWatchFullAccessV2**。 **CloudWatchFullAccessv2** 授予對 CloudWatch 動作和資源的完整存取權,同時更能限定授予其他服務 (例如 Amazon SNS 和 Amazon EC2 Auto Scaling) 的許可範圍。如需更多資訊,請參閱 [CloudWatchFullAccessV2](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/managed-policies-cloudwatch-CloudWatchFullAccessV2.html)。 | 2023 年 8 月 1 日 |
| [AWSServiceRoleForInternetMonitor](using-service-linked-roles-CWIM.md#service-linked-role-permissions-CWIM-AWSServiceRoleForInternetMonitor) — 更新至現有政策 | Amazon CloudWatch 網路監視器新增了監控 Network Load Balancer 資源的許可。 需有 `elasticloadbalancing:DescribeLoadBalancers` 和 `ec2:DescribeNetworkInterfaces` 許可,網路監視器才能分析 NLB 資源的流程日誌,監控客戶的 Network Load Balancer 流量。 如需詳細資訊,請參閱[使用網路監視器](CloudWatch-InternetMonitor.md)。 | 2023 年 7 月 15 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。 已新增 `logs:StartLiveTail` 和 `logs:StopLiveTail` 許可,讓使用此政策的使用者可以使用主控台啟動和停止 CloudWatch Logs Live Tail 工作階段。如需詳細資訊,請參閱[使用 Live Tail 以近乎即時的方式檢視日誌](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html)。 | 2023 年 6 月 6 日 |
| [CloudWatchCrossAccountSharingConfiguration](#managed-policies-cloudwatch-CloudWatchCrossAccountSharingConfiguration) — 新政策 | CloudWatch 新增了一項新政策,讓您能管理共用 CloudWatch 指標的 CloudWatch 跨帳戶觀察功能連結。 如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [OAMFullAccess](#managed-policies-cloudwatch-OAMFullAccess) — 新政策 | CloudWatch 新增了一項新政策,讓您能完全管理 CloudWatch 跨帳戶觀察功能連結和接收器。 如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [OAMReadOnlyAccess](#managed-policies-cloudwatch-OAMReadOnlyAccess) — 新政策 | CloudWatch 新增了一項新政策,讓您能檢視有關 CloudWatch 跨帳戶觀察功能連結和接收器的資訊。 如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。 | 2022 年 11 月 27 日 |
| [CloudWatchFullAccess](#managed-policies-cloudwatch-CloudWatchFullAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchFullAccess**。 新增 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。 | 2022 年 11 月 27 日 |
| [CloudWatchReadOnlyAccess](#managed-policies-cloudwatch-CloudWatchReadOnlyAccess) — 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchReadOnlyAccess**。 新增 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。 | 2022 年 11 月 27 日 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – 更新為現有政策 | CloudWatch RUM 更新了 **AmazonCloudWatchRUMServiceRolePolicy** 中的條件索引鍵。 該 `"Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/RUM" } }` 條件索引鍵已變更為以下內容,因此 CloudWatch RUM 可以將自訂指標傳送至自訂指標命名空間。 "Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
| 2023 年 2 月 2 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 更新的政策 | CloudWatch 新增了對 **AmazonCloudWatchRUMReadOnlyAccess** 政策的許可。 已新增 `rum:ListRumMetricsDestinations`和 `rum:BatchGetRumMetricsDefinitions`許可,以便 CloudWatch RUM 可以將延伸指標傳送至 CloudWatch。 | 2022 年 10 月 27 日 |
| [AmazonCloudWatchRUMServiceRolePolicy](using-service-linked-roles-RUM.md#service-linked-role-permissions-RUM) – 更新為現有政策 | CloudWatch RUM 新增了對 **AmazonCloudWatchRUMServiceRolePolicy** 的許可。 已新增 `cloudwatch:PutMetricData` 許可,可讓 CloudWatch RUM 可將延伸指標傳送至 CloudWatch。 | 2022 年 10 月 26 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch Synthetics 已將許可新增至 **CloudWatchSyntheticsFullAccess**。 已新增 `lambda:DeleteFunction` 和 `lambda:DeleteLayerVersion` 許可,以便 CloudWatch Synthetics 可以在刪除 Canary 時刪除相關資源。已新增 `iam:ListAttachedRolePolicies`,以便客戶可以檢視連接到 Canary IAM 角色的政策。 | 2022 年 5 月 6 日 |
| [AmazonCloudWatchRUMFullAccess](#managed-policies-CloudWatchRUMFullAccess) – 新政策 | CloudWatch 新增了新的政策來啟用 CloudWatch RUM 的完整管理。 CloudWatch RUM 允許您對您的 Web 應用程式執行真實的使用者監控。如需詳細資訊,請參閱[CloudWatch RUM](CloudWatch-RUM.md)。 | 2021 年 11 月 29 日 |
| [AmazonCloudWatchRUMReadOnlyAccess](#managed-policies-CloudWatchRUMReadOnlyAccess) – 新政策 | CloudWatch 新增了一項新政策,以啟用對 CloudWatch RUM 的唯讀存取。 CloudWatch RUM 允許您對您的 Web 應用程式執行真實的使用者監控。如需詳細資訊,請參閱[CloudWatch RUM](CloudWatch-RUM.md)。 | 2021 年 11 月 29 日 |
| [**AWSServiceRoleForCloudWatchRUM**](using-service-linked-roles-RUM.md) – 新的受管政策 | CloudWatch 為新的服務連結角色新增了政策,可讓 CloudWatch RUM 將監控資料發佈至其他相關 AWS 服務。 | 2021 年 11 月 29 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch Synthetics 已將許可新增至 **CloudWatchSyntheticsFullAccess**,並且還更改了一個許可的範圍。 已新增 `kms:ListAliases`許可,讓使用者可以列出可用於加密 Canary 成品的可用 AWS KMS 金鑰。已新增 `kms:DescribeKey` 許可,以便使用者可以看到金鑰的詳細資訊,該金鑰可用於加密 Canary 成品。已新增 `kms:Decrypt` 許可,讓使用者能夠解密 Canary 成品。此解密功能僅限於在 Simple Storage Service (Amazon S3) 儲存貯體內的資源上使用。 `s3:GetBucketLocation` 許可的 `Resource` 範圍已從 `*` 變更為 `arn:aws:s3:::*`。 | 2021 年 9 月 29 日 |
| [CloudWatchSyntheticsFullAccess](#managed-policies-cloudwatch-CloudWatchSyntheticsFullAccess) – 更新現有政策 | CloudWatch Synthetics 已將許可新增至 **CloudWatchSyntheticsFullAccess**。 新增 `lambda:UpdateFunctionCode` 許可,以便具有此政策的使用者可以變更 Canary 的執行時間版本。 | 2021 年 7 月 20 日 |
| [ AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy](#managed-policies-cloudwatch-incident-manager) – 新受管政策 | CloudWatch 新增了新的受管 IAM 政策,以允許 CloudWatch 在 AWS Systems Manager Incident Manager 中建立事件。 | 2021 年 5 月 10 日 |
| [ CloudWatchAutomaticDashboardsAccess](#managed-policies-cloudwatch-CloudWatch-CloudWatchAutomaticDashboardsAccess) – 更新現有政策 | CloudWatch 已將許可新增至 **CloudWatchAutomaticDashboardsAccess** 受管政策。已向此政策新增了 `synthetics:DescribeCanariesLastRun` 許可,讓跨帳戶儀表板使用者能夠查看有關 CloudWatch Synthetics canary 執行的詳細資訊。 | 2021 年 4 月 20 日 |
| CloudWatch 開始追蹤變更 | CloudWatch 開始追蹤其 AWS 受管政策的變更。 | 2021 年 4 月 14 日 |
## CloudWatchFullAccessV2
AWS 最近新增了 **CloudWatchFullAccessV2** 受管 IAM 政策。此政策授予對 CloudWatch 動作和資源的完整存取權,並且還可以更適當地限定授予其他服務 (例如 Amazon SNS 和 Amazon EC2 Auto Scaling) 的許可範圍。我們建議您開始使用此政策,而不是使用 **CloudWatchFullAccess**. AWS plans 在不久的將來棄用 **CloudWatchFullAccess**。
其中包含 `application-signals:` 許可,使用者可以從 CloudWatch 主控台的 Application Signals 下存取所有功能。它包含了部分 `autoscaling:Describe` 許可,以便採取此政策的使用者可以查看與 CloudWatch 警示相關聯的 Auto Scaling 動作。它包含了部分 `sns` 許可,以便採取此政策的使用者可以擷取建立 Amazon SNS 主題,並將其與 CloudWatch 警示建立關聯。包括 IAM 許可,以便採取此政策的使用者可以檢視與 CloudWatch 相關聯的服務連結角色的相關資訊。包含 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。它還包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。
其中包含在 CloudWatch Logs 中支援使用 分析建立 Amazon OpenSearch Service 的付費日誌儀表板的 Amazon OpenSearch Service 許可。它包含 `resource-explorer-2:`政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務。
它包含 `rum`、 `synthetics`和 `xray`許可,讓使用者可以完整存取 CloudWatch Synthetics AWS X-Ray和 CloudWatch RUM,所有這些都在 CloudWatch 服務下。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchFullAccessV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchFullAccessV2.html)。
## CloudWatchFullAccess
**CloudWatchFullAccess** 政策即將棄用。我們建議您停止使用它,並改用 [CloudWatchFullAccessV2](#managed-policies-cloudwatch-CloudWatchFullAccessV2)。
## CloudWatchReadOnlyAccess
**CloudWatchReadOnlyAccess** 政策授與對 CloudWatch 及相關可觀測性功能的唯讀存取權。
該政策包含一些 `logs:` 許可,以便採取此政策的使用者可以使用主控台來檢視 CloudWatch Logs 資訊和 CloudWatch Logs Insights 查詢。包括 `autoscaling:Describe*`,以便採取此政策的使用者可以查看與 CloudWatch 警示相關聯的 Auto Scaling 動作。其中包含 `application-signals:` 許可,使用者可以使用 Application Signals 監控其服務的運作狀態。包括 `application-autoscaling:DescribeScalingPolicies`,讓具有此政策的使用者可以存取 Application Auto Scaling 政策的相關資訊。包含 `sns:Get*` 和 `sns:List*`,以便採取此政策的使用者可以擷取有關 Amazon SNS 主題的資訊,這些主題會接收有關 CloudWatch 警示的通知。包含 `oam:ListSinks` 和 `oam:ListAttachedLinks` 許可,以便採取此政策的使用者可以使用主控台,在 CloudWatch 跨帳戶觀察功能中檢視來源帳戶共用的資料。其中包含 `iam:GetRole` 許可,使用者可以檢查 CloudWatch Application Signals 是否已設定。它還包含 CloudTrail Service Quotas許可,以支援 Application Signals 中的熱門觀察和變更指標功能。它包含可觀測性管理許可,用於檢視遙測規則、集中組態和資源遙測資料 AWS Organizations。它包含 `cloudwatch:GenerateQuery`許可,因此使用此政策的使用者可以從自然語言提示產生 [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) 查詢字串。它包含 `resource-explorer-2:`政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務。
它包含 `rum`、 `synthetics`和 `xray`許可,讓使用者可以唯讀存取 CloudWatch Synthetics AWS X-Ray和 CloudWatch RUM,所有這些都屬於 CloudWatch 服務。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchReadOnlyAccess.html)。
## CloudWatchActionsEC2Access
**CloudWatchActionsEC2Access** 政策授予 CloudWatch 警示和指標唯讀存取權 (除了 Amazon EC2 中繼資料)。其還會授予存取以停止、終止和重新啟動適用於 EC2 執行個體的 API 動作。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchActionsEC2Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchActionsEC2Access.html)。
## CloudWatch-CrossAccountAccess
**CloudWatch-CrossAccountSharingRole** IAM 角色會使用 **CloudWatch-CrossAccountAccess** 受管政策。此角色和政策可讓跨帳戶儀表板的使用者檢視共用儀表板的每個帳戶中的自動儀表板。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatch-CrossAccountAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatch-CrossAccountAccess.html)。
## CloudWatchAutomaticDashboardsAccess
**CloudWatchAutomaticDashboardsAccess** 受管政策授與非 CloudWatch API 存取 CloudWatch 的權限,以便 Lambda 函式等資源可以顯示在 CloudWatch 自動儀表板上。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchAutomaticDashboardsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAutomaticDashboardsAccess.html)。
## CloudWatchAgentServerPolicy
**CloudWatchAgentServerPolicy** 政策可用於連接到 Amazon EC2 執行個體的 IAM 角色,以允許 CloudWatch 代理程式從執行個體讀取資訊並將其寫入 CloudWatch。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html)。
## CloudWatchAgentAdminPolicy
**CloudWatchAgentAdminPolicy** 政策可用於連接到 Amazon EC2 執行個體的 IAM 角色。此政策允許 CloudWatch 代理程式從執行個體讀取資訊並將其寫入 CloudWatch,並將資訊寫入參數存放區。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchAgentAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentAdminPolicy.html)。
## CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
您不得將 ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 連接到 IAM 實體。此政策會連結至名為 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服務連結角色。透過這些許可以及收集內部中繼資料資訊 (以提高效率),此服務連結角色會收集資源網路組態的中繼資料,例如描述路由表和閘道,這些資源正是此服務監控的網路流量對應的對象。此中繼資料可讓 Network Flow Monitor 產生資源的拓撲快照。當網路效能下降時,Network Flow Monitor 會使用拓撲來提供網路問題位置的洞察,並協助釐清問題的歸因。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
如需詳細資訊,請參閱[網路流量監視器的服務連結角色](using-service-linked-roles-network-flow-monitor.md)。
**注意**
您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些許可政策。
您也可以建立自己的自訂 IAM 政策,以允許 CloudWatch 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。
## AWS CloudWatch 跨帳戶可觀測性的 受管 (預先定義) 政策
本節中的政策授予與 CloudWatch 跨帳戶觀察功能相關的許可。如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
### CloudWatchCrossAccountSharingConfiguration
**CloudWatchCrossAccountSharingConfiguration** 政策授予可建立、管理和檢視 Observability Access Manager 連結的存取權,以便在帳戶之間共用 CloudWatch 資源。如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchCrossAccountSharingConfiguration.html)。
### OAMFullAccess
**OAMFullAccess** 政策授予可建立、管理和檢視 Observability Access Manager 接收器和連結的存取權,這些將會用於 CloudWatch 跨帳戶觀察功能。
**OAMFullAccess** 政策本身不允許您跨連結共用觀察功能資料。若要建立連結以共用 CloudWatch 指標,您還需要使用 **CloudWatchFullAccess** 或 **CloudWatchCrossAccountSharingConfiguration**。若要建立連結以共用 CloudWatch Logs 日誌群組,您還需要使用 **CloudWatchLogsFullAccess** 或 **CloudWatchLogsCrossAccountSharingConfiguration**。若要建立連結以共用 X-Ray 追蹤,您還需要使用 **AWSXRayFullAccess** 或 **AWSXRayCrossAccountSharingConfiguration**。
如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [OAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMFullAccess.html)。
### OAMReadOnlyAccess
**OAMReadOnlyAccess** 政策授予 Observability Access Manager 資源的唯讀存取權,這些將會用於 CloudWatch 跨帳戶觀察功能。如需詳細資訊,請參閱[CloudWatch 跨帳戶觀察功能](CloudWatch-Unified-Cross-Account.md)。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [OAMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/OAMReadOnlyAccess.html)。
## AWS CloudWatch 調查的受管 (預先定義) 政策
本節中的政策授與同 CloudWatch 調查相關的許可。如需詳細資訊,請參閱[CloudWatch 調查](Investigations.md)。
### AIOpsConsoleAdminPolicy
**AIOpsConsoleAdminPolicy** 政策透過 AWS 主控台授與對所有 CloudWatch 調查動作及其所需許可的完整存取權。此政策還授與對 CloudWatch 調查功能所需之其他服務的 API 的有限存取權。
+ `aiops` 許可授與所有 CloudWatch 調查動作的存取權。
+ `organizations`、`sso`、`identitystore` 和 `sts` 許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。
+ SSM Ops Item 與第三方問題管理系統整合需要 `ssm` 許可。
+ 需要`iam`許可,以便管理員可以將 IAM 角色傳遞給 `aiops`和 `ssm.integrations`服務,然後助理稍後使用該角色來分析 AWS 資源
**重要**
這些許可允許採用此政策的使用者將任何 IAM 角色傳遞至 `aiops` 和 `ssm.integrations` 服務。
+ 允許來自 CloudWatch 調查外服務的 API,這是調查功能所需的。這包括設定 Amazon Q 聊天應用程式的開發人員、 AWS KMS CloudTrail 追蹤和 SSM 第三方問題管理的動作。
+ `q` 許可可整合 Amazon Q,讓使用者透過 Amazon Q 的對話界面與 CloudWatch 調查報告互動和更新。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsConsoleAdminPolicy.html)。
### AIOpsOperatorAccess
**AIOpsOperatorAccess** 政策授與對一組有限 CloudWatch 調查 API 的存取權,包括建立、更新和刪除調查、調查事件和調查資源。
此政策僅提供對調查的存取權。您應該確定,採用此政策的 IAM 主體同時具備讀取 CloudWatch 可觀測性資料的許可,例如指標、SLO 和 CloudWatch Logs 查詢結果。
+ `aiops` 許可允許存取 CloudWatch 調查 API,以建立、更新和刪除調查。
+ `sso-directory`、`sso`、`identitystore` 和 `sts` 許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。
+ SSM Ops Item 與第三方問題管理系統整合需要 `ssm` 許可。
+ `q` 許可可整合 Amazon Q,讓使用者透過 Amazon Q 的對話界面與 CloudWatch 調查報告互動和更新。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)。
### AIOpsReadOnlyAccess
**AIOpsReadOnlyAccess** 政策授與 CloudWatch 調查和其他相關服務的唯讀許可。
+ `aiops` 許可允許存取 CloudWatch 調查 API,以取得、列出和驗證調查群組。
+ `sso` 許可允許在管理 IAM Identity Center 時執行所需的動作,以促進身分感知工作階段。
+ SSM Ops Item 與第三方問題管理系統整合需要 `ssm` 許可。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AIOpsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsReadOnlyAccess.html)。
### AIOpsAssistantPolicy
**AIOpsAssistantPolicy** 政策是 建議的預設政策 AWS ,可將 指派給調查群組所使用的 Amazon AI Operations (AIOps) 角色,讓它在調查操作事件期間分析您的 AWS 資源。此政策不適用於人類使用者。
您可以選擇在建立調查時自動指派政策,也可以手動將政策指派給調查使用的角色。此政策的範圍是根據 CloudWatch 調查在執行調查時分析的資源而定,並且會隨著支援更多資源而更新。如需使用 CloudWatch 調查的服務完整清單,請參閱 [AWS 支援調查的 服務](Investigations-Services.md)。
除了指派 **AIOpsAssistantPolicy** 之外,您也可以選擇將 AWS [general**ReadOnlyAccess**](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html) 指派給助理。這樣做的原因是 **ReadOnlyAccess** 將由 更頻繁地更新, AWS 並具有已發行新 AWS 服務和動作的許可。**AIOpsAssistantPolicy** 亦將針對新動作進行更新,但更新頻率不高。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AIOpsAssistantPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)。
### AIOpsAssistantIncidentReportPolicy
**AIOpsAssistantIncidentReportPolicy** 政策會授予 CloudWatch 調查所需的許可,以從調查資料產生事件報告。
此政策旨在供 CloudWatch 調查使用,以便從調查結果產生自動事件報告。
+ `aiops` 許可允許存取 CloudWatch 調查 APIs,以讀取調查資料和事件、建立和更新事件報告,以及管理構成報告產生基礎的 AI 衍生事實。
若要查看政策的完整內容,請參閱《 *AWS 受管政策參考指南*》中的 [AIOpsAssistantIncidentReportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantIncidentReportPolicy.html)。
## AWS CloudWatch Application Signals 的受管 (預先定義) 政策
本節中的政策授與同 CloudWatch Application Signals 相關的許可。如需詳細資訊,請參閱[應用程式訊號](CloudWatch-Application-Monitoring-Sections.md)。
### CloudWatchApplicationSignalsReadOnlyAccess
AWS 已新增 **CloudWatchApplicationSignalsReadOnlyAccess** 受管 IAM 政策。此政策授與對 CloudWatch 主控台中 Application Signals 下使用者可用之動作和資源的唯讀存取權。其中包含 `application-signals:` 政策,使用者可以使用 CloudWatch Application Signals 來檢視、調查和監控其服務的運作狀態。其中包含 `iam:GetRole` 政策,使用者可以擷取 IAM 角色相關資訊。其中包含 `logs:` 政策,與啟動與停止查詢、擷取 Metruc 篩選條件的設定,以及取得查詢結果相關。其中包含 `cloudwatch:` 政策,使用者可以取得 CloudWatch 警示或指標的相關資訊。其中包含 `synthetics:` 政策,使用者可以擷取 Synthetics Canary 執行的相關資訊。其中包含 `rum:` 政策,與執行批次操作、擷取資料和更新 RUM 用戶端的指標定義相關。其中包含 `xray:` 政策,與擷取追蹤摘要相關。它包含 `oam:`政策,讓使用者可以使用 主控台檢視 CloudWatch 跨帳戶可觀測性中來源帳戶共用的資料。它包含 `resource-explorer-2:`政策,讓使用者可以使用 主控台來檢視其帳戶中未經檢測的服務。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchApplicationSignalsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsReadOnlyAccess.html)。
### CloudWatchApplicationSignalsFullAccess
AWS 已新增 **CloudWatchApplicationSignalsFullAccess** 受管 IAM 政策。此政策授與對 CloudWatch 主控台中使用者可用之所有動作和資源的存取權。其中包含 `application-signals:` 政策,使用者可以使用 CloudWatch Application Signals 來檢視、調查和監控其服務的運作狀態。它使用 `cloudwatch:` 政策從指標和警示擷取資料。它使用 `logs:` 政策來管理查詢和篩選條件。它使用 `synthetics:` 政策,讓使用者可以擷取 Synthetics Canary 執行的相關資訊。其中包含 `rum:` 政策,與執行批次操作、擷取資料和更新 RUM 用戶端的指標定義相關。其中包含 `xray:` 政策,與擷取追蹤摘要相關。其中包含 `arn:aws:cloudwatch:*:*:alarm:` 政策,使用者可以擷取服務水準目標 (SLO) 警示的相關資訊。其中包含 `iam:` 政策,與管理 IAM 角色相關。它使用 `sns:` 政策來建立、列示和訂閱 Amazon SNS 主題。它包含 `oam:`政策,讓使用者可以使用 主控台檢視 CloudWatch 跨帳戶可觀測性中來源帳戶共用的資料。它包含 `resource-explorer-2:`政策,讓使用者可以使用 主控台檢視其帳戶中未經檢測的服務
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchApplicationSignalsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchApplicationSignalsFullAccess.html)。
### CloudWatchLambdaApplicationSignalsExecutionRolePolicy
為 Lambda 工作負載啟用 CloudWatch Application Signals 時,會使用此政策。允許對 X-Ray 以及 CloudWatch Application Signals 所使用之日誌群組進行寫入存取。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchLambdaApplicationSignalsExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLambdaApplicationSignalsExecutionRolePolicy.html)。
## AWS CloudWatch Synthetics 的受管 (預先定義) 政策
**CloudWatchSyntheticsFullAccess** 和 **CloudWatchSyntheticsReadOnlyAccess** AWS 受管政策可供您指派給將管理或使用 CloudWatch Synthetics 的使用者。下列其他政策也是相關的:
+ **AmazonS3ReadOnlyAccess** 和 **CloudWatchReadOnlyAccess** – 這些是讀取 CloudWatch 主控台中所有 Synthetics 資料的必要條件。
+ **AWSLambdaReadOnlyAccess** – 能夠檢視 Canary 使用的原始程式碼。
+ **CloudWatchSyntheticsFullAccess** – 允許您建立 Canary。此外,若要建立和刪除已為其建立新 IAM 角色的 Canary,您需要特定的內嵌政策許可。
**重要**
向使用者授予 `iam:CreateRole`、`iam:DeleteRole`、`iam:CreatePolicy`、`iam:DeletePolicy`、`iam:AttachRolePolicy` 和 `iam:DetachRolePolicy` 許可,該使用者便擁有完整管理存取權,可建立、連接和刪除具有與 `arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*` 和 `arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*` 相符之 ARN 的角色和政策。例如,擁有這些許可的使用者可以建立具有所有資源完整許可的政策,並將該政策連接至符合該 ARN 模式的任何角色。對於您要將這些許可授與到的對象,請務必謹慎。
如需連接政策和授與許可給使用者的資訊,請參閱[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)和[嵌入使用者或角色的內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console)。
### CloudWatchSyntheticsFullAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchSyntheticsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsFullAccess.html)。
### CloudWatchSyntheticsReadOnlyAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [CloudWatchSyntheticsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchSyntheticsReadOnlyAccess.html)。
## AWS Amazon CloudWatch RUM 的 受管 (預先定義) 政策
**AmazonCloudWatchRUMFullAccess** 和 **AmazonCloudWatchRUMReadOnlyAccess** AWS 受管政策可供您指派給將管理或使用 CloudWatch RUM 的使用者。
### AmazonCloudWatchRUMFullAccess
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AmazonCloudWatchRUMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMFullAccess.html)。
### AmazonCloudWatchRUMReadOnlyAccess
**AmazonCloudWatchRUMReadOnlyAccess** 允許對 CloudWatch RUM 進行唯讀管理存取。
+ `synthetics` 許可允許向 RUM 應用程式監視器顯示關聯的 Synthetics Canary
+ `cloudwatch` 許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 指標
+ `cloudwatch alarms` 許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 警示
+ `cloudwatch logs` 許可允許向 RUM 應用程式監視器顯示關聯的 CloudWatch 日誌
+ `x-ray` 許可允許向 RUM 應用程式監視器顯示關聯的 X-Ray 追蹤區段
+ `rum` 許可允許向 RUM 應用程式監視器顯示關聯的標籤
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AmazonCloudWatchRUMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMReadOnlyAccess.html)。
### AmazonCloudWatchRUMServiceRolePolicy
您無法連接 **AmazonCloudWatchRUMServiceRolePolicy** 至您的 IAM 實體。此政策會連接至服務連結角色,允許 CloudWatch RUM 將監控資料發佈至其他相關 AWS 服務。如需此服務連結角色的詳細資訊,請參閱 [對 CloudWatch RUM 使用服務連結角色](using-service-linked-roles-RUM.md)。
若要檢視政策的完整內容,請參閱《AWS 受管政策參考指南》**中的 [AmazonCloudWatchRUMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonCloudWatchRUMServiceRolePolicy.html)。
## AWS AWS Systems Manager Incident Manager 的 受管政策
**AWSCloudWatchAlarms\$1ActionSSMIncidentsServiceRolePolicy** 政策連接至服務連結的角色,可讓 CloudWatch 代表您開始 AWS Systems Manager Incident Manager 中的事件。如需詳細資訊,請參閱[CloudWatch 警示 Systems Manager Incident Manager 動作的服務連結角色許可](using-service-linked-roles.md#service-linked-role-permissions-incident-manager)。
下列政策具有以下許可:
+ ssm-incidents:StartIncident
# 客戶管理政策範例
在本節中,您可以找到使用者政策範例,以了解授予各種 CloudWatch 動作的許可。當您使用 CloudWatch API、 AWS SDKs或 時,這些政策會運作 AWS CLI。
**Topics**
+ [
## 範例 1:允許使用者完整存取 CloudWatch
](#full-access-example-cw)
+ [
## 範例 2:允許唯讀存取 CloudWatch
](#read-only-access-example-cw)
+ [
## 範例 3:停止或終止 Amazon EC2 執行個體
](#stop-terminate-example-cw)
## 範例 1:允許使用者完整存取 CloudWatch
若要授予使用者對 CloudWatch 的完整存取權,您可以使用授與他們 **CloudWatchFullAccess** 受管政策,而不是建立客戶受管政策。**CloudWatchFullAccess** 的內容會在 [CloudWatchFullAccess](managed-policies-cloudwatch.md#managed-policies-cloudwatch-CloudWatchFullAccess) 中列出。
## 範例 2:允許唯讀存取 CloudWatch
以下政策允許使用者唯讀存取 CloudWatch 和檢視 Amazon EC2 Auto Scaling 動作、CloudWatch 指標、CloudWatch Logs 資料和警示相關 Amazon SNS 資料。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"logs:Get*",
"logs:Describe*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"sns:Get*",
"sns:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 範例 3:停止或終止 Amazon EC2 執行個體
以下政策可讓 CloudWatch 警示動作停止或終止 EC2 執行個體。在下方的範例中,GetMetricData、ListMetrics 和 DescribeAlarms 動作是選用的。建議您包含這些動作,以確保您正確地停止或終止執行個體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
# 使用條件索引鍵來限制對 CloudWatch 的存取
請參閱下列主題,了解可在 IAM 政策的 `Condition` 元素中使用的服務特定條件索引鍵。您可以使用這些索引鍵來縮小套用政策陳述式的條件。
+ [使用條件索引鍵來限制對 CloudWatch 命名空間的存取](iam-cw-condition-keys-namespace.md)
+ [使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組](iam-cw-condition-keys-contributor.md)
+ [使用條件索引鍵限制警示動作](iam-cw-condition-keys-alarm-actions.md)
+ [針對 CloudWatch Observability Admin 的條件索引鍵](condition-keys-observabilityadmin.md)
若要檢視所有服務都可使用的全域條件索引鍵,請參閱[可用的全域條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
# 使用條件索引鍵來限制對 CloudWatch 命名空間的存取
使用 IAM 條件索引鍵,限制使用者只能在您指定的 CloudWatch 命名空間中發布指標。本節提供範例,說明如何允許和排除使用者在命名空間中發布指標。
**僅允許在一個命名空間中發布**
下列政策限制使用者只能在名為 `MyCustomNamespace` 的命名空間中發布指標。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
}
```
------
**從命名空間排除發布**
下列政策允許使用者在 `CustomNamespace2` 除外的任何命名空間中發布指標。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData"
},
{
"Effect": "Deny",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "CustomNamespace2"
}
}
}
]
}
```
------
**控制 OTLP 擷取**
下列政策允許使用者使用 OTLP API 發佈指標:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData"
}
]
}
```
------
若要停用雙擷取,也就是說,您只能使用 PutMetricData 並拒絕任何 OTLP 擷取,您可以使用下列政策。它限制使用者在命名空間中使用 PutMetricData 發佈指標,`MyCustomNamespace`並同時隱含地拒絕任何 OTLP 擷取,因為以下`StringEquals`條件:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
]
}
```
------
若要啟用雙擷取,也就是允許 PutMetricData 和 OTLP 擷取,您可以使用下列政策。它會限制使用者在名為 的命名空間中使用 PutMetricData 發佈指標,`MyCustomNamespace`同時由於以下`StringEqualsIfExists`條件,允許 OTLP 擷取:
------
#### [ JSON ]
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"cloudwatch:namespace": "MyCustomNamespace"
}
}
}
]
}
```
------
# 使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組
若要在 Contributor Insights 中建立規則並查看其結果,使用者必須擁有 `cloudwatch:PutInsightRule` 許可。根據預設,具有此許可的使用者可以建立 Contributor Insights 規則,以評估 CloudWatch Logs 中的任何日誌群組,然後查看結果。結果可能包含這些日誌群組的參與者資料。
您可以建立具有條件索引鍵的 IAM 政策,以授予使用者為某些記錄群組撰寫 Contributor Insights 規則的許可,同時防止他們為其他日誌群組撰寫規則和查看此資料。
如需 IAM 政策中的 `Condition` 元素的詳細資訊,請參閱 [IAM JSON 政策元素:Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
**僅允許存取特定日誌群組的寫入規則和檢視結果**
下列政策允許使用者存取寫入規則,並檢視名為 `AllowedLogGroup` 的日誌群組和名稱開頭為 `AllowedWildCard` 的所有日誌群組的結果。它不會授予寫入規則或檢視任何其他日誌群組的規則結果的存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCertainLogGroups",
"Effect": "Allow",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
"Condition": {
"ForAllValues:StringEqualsIgnoreCase": {
"cloudwatch:requestInsightRuleLogGroups": [
"AllowedLogGroup",
"AllowedWildcard*"
]
}
}
}
]
}
```
------
**拒絕特定日誌群組的寫入規則,但允許所有其他日誌群組的寫入規則**
下列政策會明確拒絕使用者存取寫入規則,並檢視名為 `ExplicitlyDeniedLogGroup` 的日誌群組,但允許為所有其他日誌群組的寫入規則和檢視規則結果。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowInsightRulesOnLogGroupsByDefault",
"Effect": "Allow",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
},
{
"Sid": "ExplicitDenySomeLogGroups",
"Effect": "Deny",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
"Condition": {
"ForAllValues:StringEqualsIgnoreCase": {
"cloudwatch:requestInsightRuleLogGroups": [
"/test/alpine/ExplicitlyDeniedLogGroup"
]
}
}
}
]
}
```
------
# 使用條件索引鍵限制警示動作
當 CloudWatch 警示變更狀態時,他們可以執行不同的動作,例如停止和終止 EC2 執行個體,以及執行 Systems Manager 動作。當警示變更為任何狀態時,即可啟動這些動作,包括「ALARM」、「OK」或「INSUFFICIENT\$1DATA」。
使用 `cloudwatch:AlarmActions` 條件索引鍵,允許使用者建立警示,其中這些警示只能在警示狀態變更時執行您指定的動作。例如,您可以允許使用者建立只能執行非 EC2 動作之動作的警示。
**允許使用者建立只能傳送 Amazon SNS 通知或執行 Systems Manager 動作的警示**
下列政策限制使用者建立只能傳送 Amazon SNS 通知和執行 Systems Manager 動作的警示。使用者無法建立執行 EC2 動作的警示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricAlarm",
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"cloudwatch:AlarmActions": [
"arn:aws:sns:*",
"arn:aws:ssm:*"
]
}
}
}
]
}
```
------
# 針對 CloudWatch Observability Admin 的條件索引鍵
您可以使用 IAM 政策,透過條件索引鍵控制對 Amazon CloudWatch Observability Admin 資源和動作的存取權。
Observability Admin 具有下列條件索引鍵:
| 條件索引鍵 | 說明 | Type |
| --- | --- | --- |
| CentralizationSourceRegions | ArrayOfString | 依請求中傳遞的來源區域來篩選存取權 |
| CentralizationDestinationRegion | String | 透過請求中傳遞的目的地區域來篩選存取權 |
| CentralizationBackupRegion | String | 透過請求中傳遞的備份區域來篩選存取權 |
## CentralizationSourceRegions
依針對集中化規則指定的備份區域篩選存取權。
+ *可用性*:此索引鍵適用於下列資源類型:organization-centralization-rule
+ *值類型*:字串
**Example 包含 observabilityadmin:CentralizationBackupRegion 的 JSON 政策範例**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
```
## CentralizationDestinationRegion
依針對集中化規則指定的目的地區域篩選存取權。
+ *可用性*:此索引鍵適用於下列資源類型:organization-centralization-rule
+ *值類型*:字串
**Example 包含 observabilityadmin:CentralizationDestinationRegion 的 JSON 政策範例**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
```
## CentralizationBackupRegion
依針對集中化規則指定的來源區域篩選存取權。
+ *可用性*:此索引鍵適用於下列資源類型:organization-centralization-rule
+ *值類型*:字串清單
**Example 包含 observabilityadmin:CentralizationSourceRegions 的 JSON 政策範例**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
# 對 CloudWatch 使用服務連結角色
Amazon CloudWatch 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是一種獨特的 IAM 角色,可直接連結至 CloudWatch。服務連結角色由 CloudWatch 預先定義,且包含服務代表您呼叫其他 AWS 服務時所需的全部許可。
此 CloudWatch 中的服務連結角色會設定 CloudWatch 警示,其能夠可以終止、停止或重新啟動 Amazon EC2 執行個體,您不需要手動新增必要的許可。另一個服務連結角色可讓監控帳戶從您指定的其他帳戶存取 CloudWatch 資料,以建置跨帳戶跨區域儀表板。
CloudWatch 會定義這些服務連結角色的許可,除非另外定義,否則只有 CloudWatch 才能擔任角色。定義的許可包括信任政策和許可政策,並且該許可政策不能附加到任何其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除角色。此限制可保護您的 CloudWatch 資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## CloudWatch 警示 EC2 動作的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchEvents** 的服務連結角色 – CloudWatch 會使用此服務連結角色執行 Amazon EC2 警示動作。
AWSServiceRoleForCloudWatchEvents 服務連結角色信任擔任該角色的 CloudWatch Events 服務。CloudWatch Events 會在警示呼叫時叫用終止、停止或重新啟動執行個體的動作。
AWSServiceRoleForCloudWatchEvents 服務連結角色許可政策允許 CloudWatch Events 在 Amazon EC2 執行個體上完成下列動作:
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+ `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
**AWSServiceRoleForCloudWatchCrossAccount** 服務連結角色許可政策允許 CloudWatch 完成下列動作:
+ `sts:AssumeRole`
## CloudWatch 遙測組態的服務連結角色許可
CloudWatch Observability Admin 建立並使用名為 **AWSServiceRoleForObservabilityAdmin** 的服務連結角色 – CloudWatch 使用此服務連結角色來支援 AWS 組織的資源和遙測組態偵測。組織的所有會員帳戶中都會建立角色。
**AWSServiceRoleForObservabilityAdmin** 服務連結角色信任由 Observability Admin 擔任角色。Observability Admin 管理組織帳戶中的 AWS Config Service Linked Configuration Recorders 和 Service Linked Configuration Aggregator。
**AWSServiceRoleForObservabilityAdmin** 服務連結角色已連結名為 AWSObservabilityAdminServiceRolePolicy 的政策,且此政策授與 CloudWatch Observability Admin 完成下列動作的許可:
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
AWSObservabilityAdminServiceRolePolicy 政策的完整內容如下:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:PutServiceLinkedConfigurationRecorder",
"config:DeleteServiceLinkedConfigurationRecorder"
],
"Resource": [
"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
]
},
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": [
"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"observabilityadmin.amazonaws.com",
"config.amazonaws.com"
]
}
}
}
]
}
```
------
## 啟用 CloudWatch 遙測的服務連結角色許可
`AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` 授與必要許可,以根據遙測規則啟用和管理 AWS 資源的遙測組態。
此政策授與如下許可:
+ 基本遙測操作,包括描述 VPCs、流程日誌、日誌群組。它還包含啟用 EKS 叢集記錄記錄記錄組態、WAF 放置記錄組態、啟用 NLB 日誌、Route53 Resolver 查詢記錄、Amazon EC2 詳細監控、Security Hub、Bedrock Agentcore Gateway、Bedrock Agentcore Memory 和 CloudFront Distribution 的許可。
+ 使用 `CloudWatchTelemetryRuleManaged` 標籤對資源進行標記操作,以追蹤受管資源
+ AWS Bedrock 和 VPC 流程日誌等服務的日誌交付組態
+ 針對遙測啟用追蹤的組態記錄器管理
此政策透過下列條件強制執行安全邊界:
+ 使用 `aws:ResourceAccount` 將操作限制在同一帳戶中的資源
+ 需要 `CloudWatchTelemetryRuleManaged` 標籤才能修改資源
+ 限制組態記錄器存取與遙測啟用相關聯的記錄
您可以在這裡找到 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 政策的完整內容:[AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html)。
## CloudWatch Application Signals 的服務連結角色許可
CloudWatch Application Signals 使用名稱為 **AWSServiceRoleForCloudWatchApplicationSignals** 的服務連結角色 – CloudWatch 會使用此服務連結角色,從您為 CloudWatch Application Signals 啟用的應用程式中收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料以及標記資料。
**AWSServiceRoleForCloudWatchApplicationSignals** 服務連結角色信任擔任該角色的 CloudWatch Application Signals。Application Signals 會從您的帳戶中收集日誌、追蹤、指標和標記資料。
**AWSServiceRoleForCloudWatchApplicationSignals** 已附接 IAM 政策,並且此政策名稱為 **CloudWatchApplicationSignalsServiceRolePolicy**。此政策授予 CloudWatch Application Signals 許可,以從其他相關 AWS 服務收集監控和標記資料。它包含允許 Application Signals 完成下列動作的許可:
+ `xray` – 擷取 X-Ray 追蹤。
+ `logs` – 擷取目前的 CloudWatch 日誌資訊。
+ `cloudwatch` – 擷取目前的 CloudWatch 指標資訊。
+ `tags` – 擷取目前的標籤。
+ `application-signals` – 擷取 SLO 及其關聯時間排除時段的相關資訊。
+ `autoscaling` – 從 Amazon EC2 Autoscaling 群組擷取應用程式標籤。
+ `resource-explorer-2` – 從 AWS Resource Explorer 擷取目前的 AWS 資源資訊。
+ `cloudtrail` – 啟用建立服務連結頻道以擷取 CloudTrail 事件。
**CloudWatchApplicationSignalsServiceRolePolicy** 的完整內容如下:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "XRayPermission",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWLogsPermission",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWListMetricsPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWGetMetricDataPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "TagsPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ApplicationSignalsPermission",
"Effect": "Allow",
"Action": [
"application-signals:ListServiceLevelObjectiveExclusionWindows",
"application-signals:GetServiceLevelObjective"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EC2AutoScalingPermission",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## CloudWatch 警示 Systems Manager OpsCenter 動作的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM** 的服務連結角色 – 當 CloudWatch 警示進入 ALARM 狀態時,CloudWatch 會使用此服務連結角色執行 Systems Manager OpsCenter 動作。
AWSServiceRoleForCloudWatchAlarms\$1ActionSSM 服務連結角色信任擔任該角色的 CloudWatch 服務。CloudWatch 警示會在警示呼叫時叫用 Systems Manager OpsCenter 動作。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM** 服務連結角色許可政策允許 Systems Manager 完成下列動作:
+ `ssm:CreateOpsItem`
## CloudWatch 警示 Systems Manager Incident Manager 動作的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 的服務連結角色 – 當 CloudWatch 警示進入 ALARM 狀態時,CloudWatch 會使用此服務連結角色開始 Incident Manager 事件。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 服務連結角色信任擔任該角色的 CloudWatch 服務。CloudWatch 警示會在警示呼叫時叫用 Systems Manager Incident Manager 動作。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 服務連結角色許可政策允許 Systems Manager 完成下列動作:
+ `ssm-incidents:StartIncident`
## CloudWatch 跨帳戶跨區域的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchCrossAccount** 的服務連結角色 – CloudWatch 使用此角色存取您指定之其他 AWS 帳戶中的 CloudWatch 資料。SLR 只會提供擔任角色許可,以允許 CloudWatch 服務擔任共用帳戶中的角色。它是提供資料存取的共享角色。
**AWSServiceRoleForCloudWatchCrossAccount** 服務連結角色許可政策允許 CloudWatch 完成下列動作:
+ `sts:AssumeRole`
**AWSServiceRoleForCloudWatchCrossAccount** 服務連結角色信任擔任該角色的 CloudWatch 服務。
## CloudWatch 資料庫 Application Insights 的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 的服務連結角色 – CloudWatch 使用此角色擷取 Performance Insights 指標,以建立警示和快照。
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服務連結角色已連接 `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` IAM 政策。該政策的內容如下:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服務連結角色信任擔任該角色的 CloudWatch 服務。
## CloudWatch Logs 集中化服務連結角色許可
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 會連接到中央管理帳戶中的適當 IAM 實體,例如 CloudWatch 服務角色 –,以授予設定和管理集中式日誌集合的必要許可。CloudWatch 使用此角色從您指定的其他 AWS 帳戶存取遙測資料,以在組織的監控帳戶中建立 CloudWatch 日誌群組、日誌串流和日誌事件。SLR 僅提供「承擔角色」許可,允許 CloudWatch 服務在監控帳戶中承擔該角色。如果您使用 設定集中式日誌集合,此政策會自動連接 AWS 管理主控台。如果您使用 AWS CLI 或 API 來設定日誌集中,則必須手動將此政策連接至將用於可觀測性管理任務的 IAM 角色。
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 服務連結角色許可政策允許 CloudWatch 完成下列動作:
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 服務連結角色信任 `logs-centralization.observabilityadmin.amazonaws.com` 服務擔任角色。
## 建立 CloudWatch 的服務連結角色
您不需要手動建立任何這些服務連結角色。第一次在 AWS 管理主控台、IAM CLI 或 IAM API 中建立警示時,CloudWatch 會為您建立 AWSServiceRoleForCloudWatchEvents 和 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**。
第一次啟用服務和拓撲探索時,Application Signals 會為您建立 **AWSServiceRoleForCloudWatchApplicationSignals**。
當您第一次啟用帳戶作為跨帳戶跨區域功能的監控帳戶時,CloudWatch 會為您建立 **AWSServiceRoleForCloudWatchCrossAccount**。
當您第一次使用 `DB_PERF_INSIGHTS` 指標數學函數來建立警示時,CloudWatch 會為您建立 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**。
如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 編輯 CloudWatch 的服務連結角色
CloudWatch 不允許您編輯 **AWSServiceRoleForCloudWatchEvents**、**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**、**AWSServiceRoleForCloudWatchCrossAccount** 或 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 角色。在您建立這些角色之後,您便無法變更其名稱,因為各種實體可能會參考這些角色。然而,您可使用 IAM 來編輯這些角色描述。
### 編輯服務連結角色說明 (IAM 主控台)
您可以使用 IAM 主控台來編輯服務連結角色的說明。
**編輯服務連結角色的說明 (主控台)**
1. 在 IAM 主控台的導覽窗格中,選擇 **Roles** (角色)。
1. 選擇要修改之角色的名稱。
1. 在 **Role description** (角色說明) 的最右邊,選擇 **Edit** (編輯)。
1. 在方塊中鍵入新的說明,然後選擇 **Save (儲存)**。
### 編輯服務連結角色描述 (AWS CLI)
您可以從 使用 IAM 命令 AWS Command Line Interface 來編輯服務連結角色的描述。
**變更服務連結角色的說明 (AWS CLI)**
1. (選用) 若要檢視角色的目前說明,請使用下列命令:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
透過 AWS CLI 命令,使用角色名稱 (而非 ARN) 來參照角色。例如,如果角色具有下列 ARN:`arn:aws:iam::123456789012:role/myrole`,請將角色參照為 **myrole**。
1. 若要更新服務連結角色的說明,請使用下列命令:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### 編輯服務連結角色說明 (IAM API)
您可以使用 IAM API 來編輯服務連結角色的說明。
**變更服務連結角色的說明 (API)**
1. (選用) 若要檢視角色的目前說明,請使用下列命令:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 若要更新角色的說明,請使用下列命令:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## 刪除 CloudWatch 的服務連結角色
如果您不再需要可自動停止、終止,或重新啟動 EC2 執行個體的警示,我們建議您刪除 AWSServiceRoleForCloudWatchEvents 角色。
如果您不再需要執行 Systems Manager OpsCenter 動作的警示,建議您刪除 AWSServiceRoleForCloudWatchAlarms\$1ActionSSM 角色。
如果您刪除所有使用 `DB_PERF_INSIGHTS` 指標數學函數的警示,建議您刪除 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服務連結角色。
如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能將其刪除。
### 清除服務連結角色
您必須先確認服務連結角色沒有作用中的工作階段,並移除該角色使用的資源,之後才能使用 IAM 將其刪除。
**檢查服務連結角色是否於 IAM 主控台有作用中的工作階段**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。選擇 AWSServiceRoleForCloudWatchEvents 角色的名稱 (而非核取方塊)。
1. 在 **Summary (摘要)** 頁面上,針對所選角色選擇 **Access Advisor (存取 Advisor)**,然後檢閱服務連結角色的近期活動。
**注意**
如果您不確定 CloudWatch 是否正在使用 AWSServiceRoleForCloudWatchEvents 角色,可嘗試刪除該角色。如果服務正在使用該角色,則刪除會失敗,而您可以檢視正在使用該角色的 區域。如果服務正在使用該角色,您必須先等到工作階段結束,才能刪除該角色。您無法撤銷服務連結角色的工作階段。
### 刪除服務連結角色 (IAM 主控台)
您可以使用 IAM 主控台刪除服務連結角色。
**刪除服務連結角色 (主控台)**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。選擇您要刪除的角色名稱旁的核取方塊,而非名稱或資料列本身。
1. 對於 **Role actions (角色動作)**,選擇 **Delete role (刪除角色)**。
1. 在確認對話方塊中,檢閱服務上次存取資料,以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。若要繼續,請選擇 **Yes, Delete (是,刪除)**。
1. 查看 IAM 主控台通知,監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步,所以在您提交角色進行刪除之後,刪除任務可能會成功或失敗。如果任務失敗,從通知中選擇 **View details (檢視詳細資訊)** 或 **View Resources (檢視資源)**,以了解刪除失敗原因。如果刪除因角色使用服務中資源而失敗,則失敗原因會包含資源清單。
### 刪除服務連結角色 (AWS CLI)
您可以從 使用 IAM 命令 AWS Command Line Interface 來刪除服務連結角色。
**刪除服務連結角色 (AWS CLI)**
1. 因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取 `deletion-task-id`,以檢查刪除任務的狀態。鍵入下列命令,以提交服務連結角色刪除要求:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. 鍵入下列命令,以檢查刪除任務的狀態:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
### 刪除服務連結角色 (IAM API)
您可以使用 IAM API 刪除服務連結角色。
**刪除服務連結角色 (API)**
1. 若要提交服務連結角色的刪除請求,請呼叫 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在要求中,指定您要刪除的角色名稱。
因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取 `DeletionTaskId`,以檢查刪除任務的狀態。
1. 若要檢查刪除的狀態,請呼叫 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在請求中,指定 `DeletionTaskId`。
刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
## AWS 服務連結角色的 CloudWatch 更新
檢視自此服務開始追蹤這些變更以來CloudWatch AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新至服務連結角色政策。 | 更新了 [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 的相關資訊,該 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 授予 CloudWatch 必要許可,以根據遙測規則啟用和管理其他 AWS 資源的遙測組態。 | 2026 年 3 月 31 日 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新至服務連結角色政策。 | 更新了 [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 的相關資訊,該 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 授予 CloudWatch 必要許可,以根據遙測規則啟用和管理其他 AWS 資源的遙測組態。 | 2026 年 3 月 10 日 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新至服務連結角色政策。 | 更新了 [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy ](#service-linked-role-telemetry-enablement)的相關資訊,該 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 授予 CloudWatch 必要許可,以根據遙測規則啟用和管理其他 AWS 資源的遙測組態。 | 2025 年 12 月 2 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals):更新服務連結角色政策的許可 | 更新 [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals) 以包含 `resource-explorer-2:Search`和 `cloudtrail:CreateServiceLinkedChannel` 以啟用新的 Application Signals 功能。 | 2025 年 11 月 12 日 |
| [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization):新增服務連結角色政策。 | 新增了有關 [ AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization) 的資訊,其授予 CloudWatch 根據遙測規則啟用和管理 AWS 資源遙測組態所需的許可。 | 2025 年 9 月 5 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement):新增服務連結角色政策。 | 新增了有關 [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的資訊,其授予 CloudWatch 根據遙測規則啟用和管理 AWS 資源遙測組態所需的許可。 | 2025 年 7 月 17 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals):更新服務連結角色政策的許可 | 更新 [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals),排除影響 SLO 達成率、錯誤預算和消耗率指標的時段。CloudWatch 可以代表您擷取排除時段。 | 2025 年 3 月 13 日 |
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config):新增服務連結角色 | CloudWatch 新增這個新的服務連結角色和對應的受管政策 AWSObservabilityAdminServiceRolePolicy,以支援 AWS 組織的資源和遙測組態偵測。 | 2024 年 11 月 26 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals):更新服務連結角色政策的許可 | CloudWatch 會將更多日誌群組新增至 `logs:StartQuery` 的範圍以及角色授與的 `logs:GetQueryResults` 許可。 | 2024 年 4 月 24 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – 全新服務連結角色 | CloudWatch 已新增此服務連結角色,允許 CloudWatch Application Signals 從您為 CloudWatch Application Signals 啟用的應用程式中收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料以及標記資料。 | 2023 年 11 月 9 日 |
| [ AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights](#service-linked-role-permissions-dbperfinsights) – 全新服務連結角色 | CloudWatch 新增此服務連結角色,讓 CloudWatch 能夠擷取 Performance Insights 指標,以供警示和快照之用。IAM 政策已附加至此角色,且該政策授予 CloudWatch 許可來以代表您擷取 Performance Insights 指標。 | 2023 年 9 月 13 日 |
| [ AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents](#service-linked-role-permissions-incident-manager) – 新的服務連結角色 | CloudWatch 新增了新的服務連結角色,以允許 CloudWatch 在 AWS Systems Manager Incident Manager 中建立事件。 | 2021 年 4 月 26 日 |
| CloudWatch 開始追蹤變更 | CloudWatch 開始追蹤其服務連結角色的變更。 | 2021 年 4 月 26 日 |
# 對 CloudWatch RUM 使用服務連結角色
CloudWatch RUM 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 RUM 的一種特殊 IAM 角色類型。服務連結角色由 RUM 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
RUM 會定義此服務連結角色的許可,除非另外定義,否則只有 RUM 才能擔任此角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除與角色相關的資源,才能刪除角色。此限制可保護您的 RUM 資源,避免您不小心移除資源的存取許可。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## RUM 的服務連結角色許可:
RUM 使用名為 **AWSServiceRoleForCloudWatchRUM** 的服務連結角色 – 此角色允許 RUM 將 AWS X-Ray 追蹤資料傳送到您的帳戶,適用於您啟用 X-Ray 追蹤的應用程式監視器。
**AWSServiceRoleForCloudWatchRUM** 服務連結角色信任擔任該角色的 X-Ray 服務。X-Ray 會將追蹤資料傳送到您的帳戶。
**AWSServiceRoleForCloudWatchRUM** 服務連結角色已連接名為 **AmazonCloudWatchRUMServiceRolePolicy** 的 IAM 政策。此政策授予 CloudWatch RUM 將監控資料發佈至其他相關 AWS 服務的許可。它包含允許 RUM 完成下列動作的許可:
+ `xray:PutTraceSegments`
+ `cloudwatch:PutMetricData`
**AmazonCloudWatchRUMServiceRolePolicy** 的完整內容如下所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringLike": {
"cloudwatch:namespace": [
"RUM/CustomMetrics/*",
"AWS/RUM"
]
}
}
}
]
}
```
------
## 為 RUM 建立服務連結角色
您不需要為 CloudWatch RUM 手動建立服務連結角色。當您第一次建立啟用 X-Ray 追蹤的應用程式監控,或更新應用程式監控以使用 X-Ray 追蹤時,RUM 會為您建立 **AWSServiceRoleForCloudWatchRUM**。
如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 為 RUM 編輯服務連結角色
CloudWatch RUM 不允許您編輯 **AWSServiceRoleForCloudWatchRUM** 角色。在您建立這些角色之後,您便無法變更其名稱,因為各種實體可能會參考這些角色。然而,您可使用 IAM 來編輯這些角色描述。
### 編輯服務連結角色說明 (IAM 主控台)
您可以使用 IAM 主控台來編輯服務連結角色的說明。
**編輯服務連結角色的說明 (主控台)**
1. 在 IAM 主控台的導覽窗格中,選擇 **Roles** (角色)。
1. 選擇要修改之角色的名稱。
1. 在 **Role description** (角色說明) 的最右邊,選擇 **Edit** (編輯)。
1. 在方塊中鍵入新的說明,然後選擇 **Save (儲存)**。
### 編輯服務連結角色描述 (AWS CLI)
您可以使用 的 IAM 命令 AWS Command Line Interface 來編輯服務連結角色的描述。
**變更服務連結角色的說明 (AWS CLI)**
1. (選用) 若要檢視角色的目前說明,請使用下列命令:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
透過 AWS CLI 命令,使用角色名稱 (而非 ARN) 來參照角色。例如,如果角色具有下列 ARN:`arn:aws:iam::123456789012:role/myrole`,請將角色參照為 **myrole**。
1. 若要更新服務連結角色的說明,請使用下列命令:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### 編輯服務連結角色說明 (IAM API)
您可以使用 IAM API 來編輯服務連結角色的說明。
**變更服務連結角色的說明 (API)**
1. (選用) 若要檢視角色的目前說明,請使用下列命令:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 若要更新角色的說明,請使用下列命令:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## 為 RUM 刪除服務連結角色
如果不再擁有已啟用 X-Ray 的應用程式監控,建議您刪除 **AWSServiceRoleForCloudWatchRUM** 角色。
如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能將其刪除。
### 清除服務連結角色
您必須先確認服務連結角色沒有作用中的工作階段,並移除該角色使用的資源,之後才能使用 IAM 將其刪除。
**檢查服務連結角色是否於 IAM 主控台有作用中的工作階段**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。選擇 **AWSServiceRoleForCloudWatchRUM** 角色的名稱 (而非核取方塊)。
1. 在 **Summary (摘要)** 頁面上,針對所選角色選擇 **Access Advisor (存取 Advisor)**,然後檢閱服務連結角色的近期活動。
**注意**
如果您不確定 RUM 是否正在使用 **AWSServiceRoleForCloudWatchRUM** 角色,則可嘗試刪除該角色。如果服務正在使用該角色,則刪除會失敗,而您可以檢視正在使用該角色的 區域。如果服務正在使用該角色,您必須先等到工作階段結束,才能刪除該角色。您無法撤銷服務連結角色的工作階段。
### 刪除服務連結角色 (IAM 主控台)
您可以使用 IAM 主控台刪除服務連結角色。
**刪除服務連結角色 (主控台)**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。選擇您要刪除的角色名稱旁的核取方塊,而非名稱或資料列本身。
1. 對於 **Role actions (角色動作)**,選擇 **Delete role (刪除角色)**。
1. 在確認對話方塊中,檢閱服務上次存取資料,以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。若要繼續,請選擇 **Yes, Delete (是,刪除)**。
1. 查看 IAM 主控台通知,監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步,所以在您提交角色進行刪除之後,刪除任務可能會成功或失敗。如果任務失敗,從通知中選擇 **View details (檢視詳細資訊)** 或 **View Resources (檢視資源)**,以了解刪除失敗原因。如果刪除因角色使用服務中資源而失敗,則失敗原因會包含資源清單。
### 刪除服務連結角色 (AWS CLI)
您可以從 使用 IAM 命令 AWS Command Line Interface 來刪除服務連結角色。
**刪除服務連結角色 (AWS CLI)**
1. 因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取 `deletion-task-id`,以檢查刪除任務的狀態。鍵入下列命令,以提交服務連結角色刪除要求:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. 鍵入下列命令,以檢查刪除任務的狀態:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
### 刪除服務連結角色 (IAM API)
您可以使用 IAM API 刪除服務連結角色。
**刪除服務連結角色 (API)**
1. 若要提交服務連結角色的刪除請求,請呼叫 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在要求中,指定您要刪除的角色名稱。
因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取 `DeletionTaskId`,以檢查刪除任務的狀態。
1. 若要檢查刪除的狀態,請呼叫 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在請求中,指定 `DeletionTaskId`。
刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
## CloudWatch RUM 服務連結角色支援的區域
CloudWatch RUM 支援在所有提供服務的 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 [CloudWatch RUM 服務端點](https://docs.aws.amazon.com/general/latest/gr/cw_rum_region.html)。
# 針對 CloudWatch Application Insights 使用服務連結角色
CloudWatch Application Insights 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是一種獨特的 IAM 角色,可直接連結至 CloudWatch Application Insights。服務連結角色由 CloudWatch Application Insights 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓設定 CloudWatch Application Insights 更為簡單,因為您不必手動新增必要的許可。CloudWatch Application Insights 定義其服務連結角色的許可,除非另有定義,否則只有 CloudWatch Application Insights 可以擔任這些角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇 **Yes (是)** 連結,檢視該服務的服務連結角色文件。
## CloudWatch Application Insights 的服務連結角色許可
CloudWatch Application Insights 使用名為 **AWSServiceRoleForApplicationInsights** 的服務連結角色。Application Insights 使用此角色來執行操作,例如分析客戶的資源群組、建立 CloudFormation 堆疊以建立指標警示,以及在 EC2 執行個體上設定 CloudWatch 代理程式。此服務連結角色連接了一個名為 `CloudwatchApplicationInsightsServiceLinkedRolePolicy` 的 IAM 政策。如需更新此政策,請參閱「[AWS 受管政策的 Application Insights 更新](security-iam-awsmanpol-appinsights.md#security-iam-awsmanpol-appinsights-updates)」。
此角色許可政策允許 CloudWatch Application Insights 對資源完成下列動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:PutAnomalyDetector",
"cloudwatch:DeleteAnomalyDetector",
"cloudwatch:DescribeAnomalyDetectors"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "EventBridge",
"Effect": "Allow",
"Action": [
"events:DescribeRule"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudFormation",
"Effect": "Allow",
"Action": [
"cloudFormation:CreateStack",
"cloudFormation:UpdateStack",
"cloudFormation:DeleteStack",
"cloudFormation:DescribeStackResources",
"cloudFormation:UpdateTerminationProtection"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/ApplicationInsights-*"
]
},
{
"Sid": "CloudFormationStacks",
"Effect": "Allow",
"Action": [
"cloudFormation:DescribeStacks",
"cloudFormation:ListStackResources",
"cloudFormation:ListStacks"
],
"Resource": [
"*"
]
},
{
"Sid": "Tag",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Sid": "ResourceGroups",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources",
"resource-groups:GetGroupQuery",
"resource-groups:GetGroup"
],
"Resource": [
"*"
]
},
{
"Sid": "ApplicationInsightsResourceGroup",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:DeleteGroup"
],
"Resource": [
"arn:aws:resource-groups:*:*:group/ApplicationInsights-*"
]
},
{
"Sid": "ElasticLoadBalancing",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth"
],
"Resource": [
"*"
]
},
{
"Sid": "AutoScaling",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameter",
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource",
"ssm:GetParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/AmazonCloudWatch-ApplicationInsights-*"
},
{
"Sid": "SSMAssociation",
"Effect": "Allow",
"Action": [
"ssm:CreateAssociation",
"ssm:UpdateAssociation",
"ssm:DeleteAssociation",
"ssm:DescribeAssociation"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:association/*",
"arn:aws:ssm:*:*:managed-instance/*",
"arn:aws:ssm:*:*:document/AWSEC2-ApplicationInsightsCloudwatchAgentInstallAndConfigure",
"arn:aws:ssm:*:*:document/AWS-ConfigureAWSPackage",
"arn:aws:ssm:*:*:document/AmazonCloudWatch-ManageAgent"
]
},
{
"Sid": "SSMOpsItem",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:CreateOpsItem",
"ssm:DescribeOpsItems",
"ssm:UpdateOpsItem",
"ssm:DescribeInstanceInformation"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMTags",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "SSMGetCommandInvocation",
"Effect": "Allow",
"Action": [
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMSendCommand",
"Effect": "Allow",
"Action": "ssm:SendCommand",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:document/AWSEC2-CheckPerformanceCounterSets",
"arn:aws:ssm:*:*:document/AWS-ConfigureAWSPackage",
"arn:aws:ssm:*:*:document/AWSEC2-DetectWorkload",
"arn:aws:ssm:*:*:document/AmazonCloudWatch-ManageAgent"
]
},
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcs",
"ec2:DescribeVpcAttribute",
"ec2:DescribeNatGateways"
],
"Resource": [
"*"
]
},
{
"Sid": "RDS",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": [
"*"
]
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetFunctionConfiguration",
"lambda:ListEventSourceMappings"
],
"Resource": [
"*"
]
},
{
"Sid": "EventBridgeManagedRule",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets",
"events:DeleteRule"
],
"Resource": [
"arn:aws:events:*:*:rule/AmazonCloudWatch-ApplicationInsights-*"
]
},
{
"Sid": "XRay",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph",
"xray:GetTraceSummaries",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetTraceGraph"
],
"Resource": [
"*"
]
},
{
"Sid": "DynamoDB",
"Effect": "Allow",
"Action": [
"dynamodb:ListTables",
"dynamodb:DescribeTable",
"dynamodb:DescribeContributorInsights",
"dynamodb:DescribeTimeToLive"
],
"Resource": [
"*"
]
},
{
"Sid": "ApplicationAutoscaling",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets"
],
"Resource": [
"*"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetMetricsConfiguration",
"s3:GetReplicationConfiguration"
],
"Resource": [
"*"
]
},
{
"Sid": "States",
"Effect": "Allow",
"Action": [
"states:ListStateMachines",
"states:DescribeExecution",
"states:DescribeStateMachine",
"states:GetExecutionHistory"
],
"Resource": [
"*"
]
},
{
"Sid": "APIGateway",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"*"
]
},
{
"Sid": "ECS",
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters",
"ecs:DescribeContainerInstances",
"ecs:DescribeServices",
"ecs:DescribeTaskDefinition",
"ecs:DescribeTasks",
"ecs:DescribeTaskSets",
"ecs:ListClusters",
"ecs:ListContainerInstances",
"ecs:ListServices",
"ecs:ListTasks"
],
"Resource": [
"*"
]
},
{
"Sid": "ECSCluster",
"Effect": "Allow",
"Action": [
"ecs:UpdateClusterSettings"
],
"Resource": [
"arn:aws:ecs:*:*:cluster/*"
]
},
{
"Sid": "EKS",
"Effect": "Allow",
"Action": [
"eks:DescribeCluster",
"eks:DescribeFargateProfile",
"eks:DescribeNodegroup",
"eks:ListClusters",
"eks:ListFargateProfiles",
"eks:ListNodegroups",
"fsx:DescribeFileSystems",
"fsx:DescribeVolumes"
],
"Resource": [
"*"
]
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:GetSubscriptionAttributes",
"sns:GetTopicAttributes",
"sns:GetSMSAttributes",
"sns:ListSubscriptionsByTopic",
"sns:ListTopics"
],
"Resource": [
"*"
]
},
{
"Sid": "SQS",
"Effect": "Allow",
"Action": [
"sqs:ListQueues"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsDeleteSubscriptionFilter",
"Effect": "Allow",
"Action": [
"logs:DeleteSubscriptionFilter"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "CloudWatchLogsCreateSubscriptionFilter",
"Effect": "Allow",
"Action": [
"logs:PutSubscriptionFilter"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*",
"arn:aws:logs:*:*:destination:AmazonCloudWatch-ApplicationInsights-LogIngestionDestination*"
]
},
{
"Sid": "EFS",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeFileSystems"
],
"Resource": [
"*"
]
},
{
"Sid": "Route53",
"Effect": "Allow",
"Action": [
"route53:GetHostedZone",
"route53:GetHealthCheck",
"route53:ListHostedZones",
"route53:ListHealthChecks",
"route53:ListQueryLoggingConfigs"
],
"Resource": [
"*"
]
},
{
"Sid": "Route53Resolver",
"Effect": "Allow",
"Action": [
"route53resolver:ListFirewallRuleGroupAssociations",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:ListFirewallRuleGroups",
"route53resolver:ListResolverEndpoints",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:ListResolverQueryLogConfigs",
"route53resolver:ListResolverQueryLogConfigAssociations",
"route53resolver:GetResolverEndpoint",
"route53resolver:GetFirewallRuleGroupAssociation"
],
"Resource": [
"*"
]
}
]
}
```
------
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 針對 CloudWatch Application Insights 建立服務連結角色
您不需要手動建立服務連結角色,當您在 中建立新的 Application Insights 應用程式時 AWS 管理主控台,CloudWatch Application Insights 會為您建立服務連結角色。
如果您刪除此服務連結角色後,又想再次建立,您可以使用相同程序在帳戶中重新建立角色。當您建立新的 Application Insights 應用程式時,CloudWatch Application Insights 會再次為您建立服務連結角色。
## 針對 CloudWatch Application Insights 編輯服務連結角色
CloudWatch Application Insights 不允許您編輯 AWSServiceRoleForApplicationInsights 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 針對 CloudWatch Application Insights 刪除服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,就不會有未主動監控或維護的未使用實體。不過,您必須先刪除 Application Insights 中的所有應用程式,才可以手動刪除該角色。
**注意**
若在您嘗試刪除資源時,CloudWatch Application Insights 服務正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**若有刪除由 AWSServiceRoleForApplicationInsights 使用的 CloudWatch Application Insights 資源**
+ 刪除您所有的 CloudWatch Application Insights 應用程式。如需詳細資訊,請參閱《CloudWatch Application Insights 使用者指南》中的「刪除您的應用程式」。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForApplicationInsights 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## CloudWatch Application Insights 服務連結角色支援的區域
CloudWatch Application Insights 支援在提供服務的所有 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 [CloudWatch Application Insights 區域和端點](https://docs.aws.amazon.com/general/latest/gr/applicationinsights.html)。
# AWS Amazon CloudWatch Application Insights 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有 服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:CloudWatchApplicationInsightsFullAccess
您可將 `CloudWatchApplicationInsightsFullAccess` 政策連接到 IAM 身分。
此政策授予允許完整存取 Application Insights 功能的管理許可。
**許可詳細資訊**
此政策包含以下許可。
+ `applicationinsights` – 允許完整存取 Application Insights 功能。
+ `iam` – 允許 Application Insights 建立服務連結角色,AWSServiceRoleForApplicationInsights。這是必要的,因此 Application Insights 可以執行操作,例如分析客戶的資源群組、建立 CloudFormation 堆疊以建立指標警示,以及在 EC2 執行個體上設定 CloudWatch 代理程式。如需詳細資訊,請參閱[針對 CloudWatch Application Insights 使用服務連結角色](CHAP_using-service-linked-roles-appinsights.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "applicationinsights:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"sqs:ListQueues",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"dynamodb:ListTables",
"s3:ListAllMyBuckets",
"sns:ListTopics",
"states:ListStateMachines",
"apigateway:GET",
"ecs:ListClusters",
"ecs:DescribeTaskDefinition",
"ecs:ListServices",
"ecs:ListTasks",
"eks:ListClusters",
"eks:ListNodegroups",
"fsx:DescribeFileSystems",
"logs:DescribeLogGroups",
"elasticfilesystem:DescribeFileSystems"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/application-insights.amazonaws.com/AWSServiceRoleForApplicationInsights"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "application-insights.amazonaws.com"
}
}
}
]
}
```
------
## AWS 受管政策:CloudWatchApplicationInsightsReadOnlyAccess
您可將 `CloudWatchApplicationInsightsReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予允許唯讀存取 Application Insights 所有功能的管理許可。
**許可詳細資訊**
此政策包含以下許可。
+ `applicationinsights` – 允許唯讀存取 Application Insights 功能。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"applicationinsights:Describe*",
"applicationinsights:List*"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:CloudwatchApplicationInsightsServiceLinkedRolePolicy
您無法將 CloudwatchApplicationInsightsServiceLinkedRolePolicy 連接至您的 IAM 實體。此政策連結至服務連結角色,可讓 Application Insights 監控客戶資源。如需詳細資訊,請參閱[針對 CloudWatch Application Insights 使用服務連結角色](CHAP_using-service-linked-roles-appinsights.md)。
## AWS 受管政策的 Application Insights 更新
檢視自此服務開始追蹤 Application Insights AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Application Insights [Document history](DocumentHistory.md) (Application Insights 文件歷程記錄) 頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了新許可。 政策變更允許 Amazon CloudWatch Application Insights 在 CloudFormation 堆疊上啟用和停用終止保護,以管理用於安裝和設定 CloudWatch 代理程式的 SSM 資源。 | 2024 年 7 月 25 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了可列出 CloudFormation 堆疊的新許可。 Amazon CloudWatch Application Insights 需要這些許可,才能分析和監控 CloudFormation 堆疊中巢狀 AWS 的資源。 | 2023 年 4 月 24 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 已新增取得 Amazon VPC 和 Route 53 資源清單的新許可。 Amazon CloudWatch Application Insights 需要這些許可,才能使用 Amazon CloudWatch自動設定網路監控的最佳實務。 | 2023 年 1 月 23 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了取得 SSM 命令叫用結果的新許可。 Amazon CloudWatch Application Insights 需要這些許可,才能自動偵測並監控在 Amazon EC2 執行個體上執行的工作負載。 | 2022 年 12 月 19 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 已新增描述 Amazon VPC 和 Route 53 資源的新許可。 Amazon CloudWatch Application Insights 需要這些許可才能讀取客戶 Amazon VPC 和 Route 53 資源組態,並協助客戶使用 Amazon CloudWatch自動設定網路監控的最佳實務。 | 2022 年 12 月 19 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了描述 EFS 資源的新許可。 Amazon CloudWatch Application Insights 需要這些許可才能讀取 Amazon EFS 客戶資源組態,並協助客戶使用 CloudWatch 自動設定 EFS 監控的最佳實務。 | 2022 年 10 月 3 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了描述 EFS 檔案系統的新許可。 Amazon CloudWatch Application Insights 需要這些許可,才能透過查詢帳戶中的所有支援資源來建立帳戶型應用程式。 | 2022 年 10 月 3 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了擷取 FSx 資源相關資訊的新許可。 Amazon CloudWatch Application Insights 需要這些許可,才能透過擷取基礎 FSx 磁碟區的足夠資訊來監控工作負載。 | 2022 年 9 月 12 日 |
| [AWS 受管政策:CloudWatchApplicationInsightsFullAccess](#security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess) – 更新現有政策 | Application Insights 新增了說明日誌群組的新許可。 Amazon CloudWatch Application Insights 需要此許可,以確保在建立新的應用程式時,帳戶中具有監控日誌群組的正確許可。 | 2022 年 1 月 24 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了建立和刪除 CloudWatch 日誌訂閱篩選條件的新許可。 Amazon CloudWatch Application Insights 需要這些許可才可建立訂閱篩選條件,以於設定的應用程式中進行資源的日誌監控。 | 2022 年 1 月 24 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 已新增許可,描述 Elastic Load Balancer 的目標群組和目標運作狀態。 Amazon CloudWatch Application Insights 需要這些許可,才能透過查詢帳戶中的所有支援資源來建立帳戶型應用程式。 | 2021 年 11 月 4 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 已新增在 Amazon EC2 執行個體上執行 `AmazonCloudWatch-ManageAgent` SSM 文件的許可。 Amazon CloudWatch Application Insights 需要此許可,才能清理由 Application Insights 建立的 CloudWatch 代理程式組態檔案。 | 2021 年 9 月 30 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 已新增許可,以支援帳戶型應用程式監控,上載並監控您帳戶中所有支援的資源。 Amazon CloudWatch Application Insights 需要這些許可,才能查詢、標記資源並為這些資源建立群組。 Application Insights 已新增許可,以支援 SNS 主題的監控。 Amazon CloudWatch Application Insights 需要這些許可,才能從 SNS 資源收集中繼資料,以設定 SNS 主題的監控。 | 2021 年 9 月 15 日 |
| [AWS 受管政策:CloudWatchApplicationInsightsFullAccess](#security-iam-awsmanpol-appinsights-CloudWatchApplicationInsightsFullAccess) – 更新現有政策 | Application Insights 已新增描述及列出支援資源的新許可。 Amazon CloudWatch Application Insights 需要這些許可,才能透過查詢帳戶中的所有支援資源來建立帳戶型應用程式。 | 2021 年 9 月 15 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了描述 FSX 資源的新許可。 Amazon CloudWatch Application Insights 需要這些許可才能讀取客戶 FSX 資源組態,並協助客戶使用 CloudWatch 自動設定 FSX 監控的最佳實務。 | 2021 年 8 月 31 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了描述及列出 ECS 和 EKS 資源的新許可。 需要此許可才能讓 Amazon CloudWatch Application Insights 讀取客戶容器資源組態,並協助客戶使用 CloudWatch 自動設定容器監控的最佳實務。 | 2021 年 5 月 18 日 |
| [CloudwatchApplicationInsightsServiceLinkedRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CHAP_using-service-linked-roles-appinsights.html) – 更新現有政策 | Application Insights 新增了新的許可,讓 OpsCenter 能夠使用 `opsitem` 資源類型對資源採取 `ssm:AddTagsToResource` 動作,進而標記 OpsItems。 OpsCenter 需要此許可。Amazon CloudWatch Application Insights 會建立 OpsItems,從而讓客戶可以使用 [AWS SSM OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter.html) 解決問題。 | 2021 年 4 月 13 日 |
| Application Insights 開始追蹤變更 | Application Insights 開始追蹤其 AWS 受管政策的變更。 | 2021 年 4 月 13 日 |
# Amazon CloudWatch 許可參考
下表列出每個 CloudWatch API 操作和您可以授予執行動作許可的對應動作。您在政策的 `Action` 欄位中指定動作,然後在政策的 `Resource` 欄位將萬用字元 (\$1) 指定為資源值。
您可以在 CloudWatch 政策中使用 AWS整體條件金鑰來表達條件。如需 AWS全系列金鑰的完整清單,請參閱《[AWS IAM 使用者指南》中的全域和 IAM 條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 **
**注意**
若要指定動作,請使用 `cloudwatch:` 前綴,後面接著 API 操作名稱。例如:`cloudwatch:GetMetricData`、`cloudwatch:ListMetrics` 或 `cloudwatch:*` (意指所有 CloudWatch 動作)。
**Topics**
+ [
## CloudWatch API 操作及動作所需的許可
](#cw-permissions-table)
+ [
## CloudWatch Application Signals API 操作以及動作所需的許可
](#cw-application-signals-permissions-table)
+ [
## CloudWatch Contributor Insights API 操作及動作所需的許可
](#cw-contributor-insights-permissions-table)
+ [
## CloudWatch Events API 操作及動作所需的許可
](#cwe-permissions-table)
+ [
## CloudWatch Logs API 操作及動作所需的許可
](#cwl-permissions-table)
+ [
## Amazon EC2 API 操作與動作所需的許可
](#cw-ec2-permissions-table)
+ [
## Amazon EC2 Auto Scaling API 操作與動作所需的許可
](#cw-as-permissions-table)
## CloudWatch API 操作及動作所需的許可
| CloudWatch API 操作 | 所需許可 (API 動作) |
| --- | --- |
| [DeleteAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteAlarms.html) | `cloudwatch:DeleteAlarms` 需要刪除警示。 |
| [DeleteDashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteDashboards.html) | `cloudwatch:DeleteDashboards` 需要刪除儀表板。 |
| [DeleteMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteMetricStream.html) | `cloudwatch:DeleteMetricStream` 需要刪除指標串流。 |
| [DescribeAlarmHistory](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarmHistory.html) | `cloudwatch:DescribeAlarmHistory` 需要查看警示歷史記錄。若要擷取複合警示的相關資訊,您的 `cloudwatch:DescribeAlarmHistory` 許可必須具有 `*` 範圍。您無法傳回複合警示的相關資訊,如果您的 `cloudwatch:DescribeAlarmHistory` 許可的範圍較窄。 |
| [DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html) | `cloudwatch:DescribeAlarms` 需要擷取警示相關資訊。 若要擷取複合警示的相關資訊,您的 `cloudwatch:DescribeAlarms` 許可必須具有 `*` 範圍。您無法傳回複合警示的相關資訊,如果您的 `cloudwatch:DescribeAlarms` 許可的範圍較窄。 |
| [DescribeAlarmsForMetric](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarmsForMetric.html) | `cloudwatch:DescribeAlarmsForMetric` 需要查看指標的警示。 |
| [DisableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DisableAlarmActions.html) | `cloudwatch:DisableAlarmActions` 需要停用警示動作。 |
| [EnableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableAlarmActions.html) | `cloudwatch:EnableAlarmActions` 需要啟用警示動作。 |
| [GetDashboard ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetDashboard.html) | `cloudwatch:GetDashboard` 需要顯示現有儀表板的相關資料。 |
| [GetMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricData.html) | `cloudwatch:GetMetricData` 需要在 CloudWatch 主控台中製作指標資料的圖表,以擷取大批次的指標資料並對該資料執行指標數學運算。 |
| [GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html) | `cloudwatch:GetMetricStatistics` 需要檢視 CloudWatch 主控台和儀表板小工具其他部分中的圖形。 |
| [GetMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStream.html) | `cloudwatch:GetMetricStream` 需要檢視指標串流相關資訊。 |
| [GetMetricWidgetImage](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricWidgetImage.html) | `cloudwatch:GetMetricWidgetImage` 需要擷取一或多個 CloudWatch 指標的快照圖形作為點陣圖圖像。 |
| [ListDashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListDashboards.html) | `cloudwatch:ListDashboards` 需要檢視您帳戶中的 CloudWatch 儀表板清單。 |
| ListEntitiesForMetric (僅限 CloudWatch 主控台的許可) | `cloudwatch:ListEntitiesForMetric` 尋找與指標關聯的實體時需要。在 CloudWatch 主控台中偵測相關遙測時需要。 |
| [ListMetrics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListMetrics.html) | `cloudwatch:ListMetrics` 需要檢視或搜尋 CloudWatch 主控台內和 CLI 中的指標名稱。需要在儀表板 widget 上選取指標。 |
| [ListMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_ListMetricStreams.html) | `cloudwatch:ListMetricStreams` 需要檢視或搜尋帳戶中的指標串流清單。 |
| [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html) | `cloudwatch:PutCompositeAlarm` 需要建立複合警示。 若要建立複合警示,您的 `cloudwatch:PutCompositeAlarm` 許可必須具有 `*` 範圍。您無法傳回複合警示的相關資訊,如果您的 `cloudwatch:PutCompositeAlarm` 許可的範圍較窄。 |
| [PutDashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutDashboard.html) | `cloudwatch:PutDashboard` 需要建立儀表板或更新現有的儀表板。 |
| [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html) | `cloudwatch:PutMetricAlarm` 需要建立或更新警示。 |
| [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html) | `cloudwatch:PutMetricData` 需要建立指標。 |
| [PutMetricStream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricStream.html) | `cloudwatch:PutMetricStream` 需要建立指標串流。 |
| [SetAlarmState](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_SetAlarmState.html) | `cloudwatch:SetAlarmState` 需要手動設定警示的狀態。 |
| [StartMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_StartMetricStreams.html) | `cloudwatch:StartMetricStreams` 需要在指標串流中開始指標流程。 |
| [StopMetricStreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_StartMetricStreams.html) | `cloudwatch:StopMetricStreams` 需要在指標串流中暫時停止指標流程。 |
| [TagResource](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_TagResource.html) | `cloudwatch:TagResource` 需要新增或更新 CloudWatch 資源 (例如警示和 Contributor Insights 規則) 的標籤。 |
| [UntagResource](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_UntagResource.html) | `cloudwatch:UntagResource` 需要從 CloudWatch 資源移除標籤。 |
## CloudWatch Application Signals API 操作以及動作所需的許可
| CloudWatch Application Signals API 操作 | 所需許可 (API 動作) |
| --- | --- |
| [ BatchGetServiceLevelObjectiveBudgetReport](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_BatchGetServiceLevelObjectiveBudgetReport.html) | `application-signals:BatchGetServiceLevelObjectiveBudgetReport` 擷取服務水準目標預算報告時需要。 |
| [ CreateServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_CreateServiceLevelObjective.html) | `application-signals:CreateServiceLevelObjective` 建立服務水準目標 (SLO) 時需要。 |
| [ DeleteServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_DeleteServiceLevelObjective.html) | `application-signals:DeleteServiceLevelObjective` 刪除服務水準目標 (SLO) 時需要。 |
| [ GetService](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_GetService.html) | `application-signals:GetService` 擷取有關 Application Signals 發現之服務的資訊時需要。 |
| [ GetServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_GetServiceLevelObjective.html) | `application-signals:GetServiceLevelObjective` 擷取服務水準目標 (SLO) 相關資訊時需要。 |
| ListObservedEntities | `application-signals:ListObservedEntities` 授與列示與其他實體關聯之實體的許可。 |
| [ ListServiceDependencies](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceDependencies.html) | `application-signals:ListServiceDependencies` 擷取指定之服務的服務相依項清單時需要。Application Signals 發現了此服務和相依項。 |
| [ ListServiceDependents](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceDependents.html) | `application-signals:ListServiceDependents` 擷取調用指定服務之相依項清單時需要。Application Signals 發現了此服務和相依項。 |
| [ ListServiceLevelObjectives](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceLevelObjectives.html) | `application-signals:ListServiceLevelObjectives` 擷取帳戶中的服務水準目標 (SLO) 清單時需要。 |
| [ ListServiceOperations](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServiceOperations.html) | `application-signals:ListServiceOperations` 擷取指定之服務的服務操作清單時需要。Application Signals 發現了此服務和相依項。 |
| [ ListServices](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListServices.html) | `application-signals:ListServices` 擷取 Application Signals 發現的服務清單時需要。 |
| [ ListTagsForResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_ListTagsForResource.html) | `application-signals:ListTagsForResource` 擷取與資源關聯之標籤清單時需要。 |
| [ StartDiscovery](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_StartDiscovery.html) | `application-signals:StartDiscovery` 必須提供才能在帳戶中啟用 Application Signals,並建立所需的服務連結角色。 |
| [ TagResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_TagResource.html) | `application-signals:TagResource` 必須提供才能將標籤新增至資源。 |
| [ UntagResource](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_UntagResource.html) | `application-signals:UntagResource` 必須提供才能從資源中移除標籤。 |
| [ UpdateServiceLevelObjective](https://docs.aws.amazon.com/applicationsignals/latest/APIReference/API_UpdateServiceLevelObjective.html) | `application-signals:UpdateServiceLevelObjective` 更新現有服務水準目標時需要 |
## CloudWatch Contributor Insights API 操作及動作所需的許可
**重要**
當您將 `cloudwatch:PutInsightRule` 許可授予使用者時,依預設,該使用者可以建立規則來評估 CloudWatch Logs 中的任何日誌群組。您可以新增 IAM 政策條件,以限制這些許可,進而讓使用者包含和排除特定日誌群組。如需詳細資訊,請參閱[使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組](iam-cw-condition-keys-contributor.md)。
| CloudWatch Contributor Insights API 操作 | 所需許可 (API 動作) |
| --- | --- |
| [DeleteInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DeleteInsightRules.html) | `cloudwatch:DeleteInsightRules` 需要刪除 Contributor Insights 規則。 |
| [DescribeInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeInsightRules.html) | `cloudwatch:DescribeInsightRules` 需要檢視您帳戶中的 Contributor Insights 規則。 |
| [EnableInsightRules](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableInsightRules.html) | `cloudwatch:EnableInsightRules` 需要啟用 Contributor Insights 規則。 |
| [GetInsightRuleReport](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetInsightRuleReport.html) | `cloudwatch:GetInsightRuleReport` 需要擷取由 Contributor Insights 規則收集的時間序列資料和其他統計資料。 |
| [PutInsightRule](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutInsightRule.html) | `cloudwatch:PutInsightRule` 需要建立 Contributor Insights 規則。請參閱此表格開頭部分的 **Important** (重要) 注意事項。 |
## CloudWatch Events API 操作及動作所需的許可
| CloudWatch Events API 操作 | 所需許可 (API 動作) |
| --- | --- |
| [DeleteRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DeleteRule.html) | `events:DeleteRule` 刪除規則時需要。 |
| [DescribeRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DescribeRule.html) | `events:DescribeRule` 列出規則的詳細資訊時需要。 |
| [DisableRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_DisableRule.html) | `events:DisableRule` 停用規則時需要。 |
| [EnableRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_EnableRule.html) | `events:EnableRule` 啟用規則時需要。 |
| [ListRuleNamesByTarget](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRuleNamesByTarget.html) | `events:ListRuleNamesByTarget` 列出與規則相關聯的目標時需要。 |
| [ListRules](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListRules.html) | `events:ListRules` 列出您帳戶中的所有規則時需要。 |
| [ListTargetsByRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_ListTargetsByRule.html) | `events:ListTargetsByRule` 列出與規則相關聯的所有目標時需要。 |
| [PutEvents](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutEvents.html) | `events:PutEvents` 新增可符合規則的自訂事件時需要。 |
| [PutRule](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutRule.html) | `events:PutRule` 建立或更新規則時需要。 |
| [PutTargets](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutTargets.html) | `events:PutTargets` 將目標新增至規則時需要。 |
| [RemoveTargets](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_RemoveTargets.html) | `events:RemoveTargets` 從規則中移除目標時需要。 |
| [TestEventPattern](https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_TestEventPattern.html) | `events:TestEventPattern` 針對特定事件測試事件模式時需要。 |
## CloudWatch Logs API 操作及動作所需的許可
**注意**
可以在《[CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/permissions-reference-cwl.html)》中找到 CloudWatch Logs 許可。
## Amazon EC2 API 操作與動作所需的許可
| Amazon EC2 API 操作 | 所需許可 (API 動作) |
| --- | --- |
| [DescribeInstanceStatus](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstanceStatus.html) | `ec2:DescribeInstanceStatus` 需要檢視 EC2 執行個體狀態的詳細資訊。 |
| [DescribeInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInstances.html) | `ec2:DescribeInstances` 需要檢視 EC2 執行個體的詳細資訊。 |
| [RebootInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RebootInstances.html) | `ec2:RebootInstances` 需要重新啟動 EC2 執行個體。 |
| [StopInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StopInstances.html) | `ec2:StopInstances` 需要停止 EC2 執行個體。 |
| [TerminateInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_TerminateInstances.html) | `ec2:TerminateInstances` 需要終止 EC2 執行個體。 |
## Amazon EC2 Auto Scaling API 操作與動作所需的許可
| Amazon EC2 Auto Scaling API 操作 | 所需許可 (API 動作) |
| --- | --- |
| 擴展 | `autoscaling:Scaling` 需要擴展 Auto Scaling 群組。 |
| 觸發條件 | `autoscaling:Trigger` 需要觸發 Auto Scaling 動作。 |