设置 IAM 用户和组时,您可以指定该帐户对 API 调用的权限。在设置适配器实例时使用的密钥必须启用某些权限。

对于每个受支持的 AWS 服务,ReadOnlyAccess 权限都足以收集衡量指标。使用权限为所有受支持的服务及其相关服务创建 IAM 策略。

要使用资源组标记 API 操作,请参见资源组标记 API 参考支持资源组标记 API 的服务

登录到 AWS 控制台,然后创建一个与以下内容类似的 json,以获取服务的特权列表:

{
    "Version": "2012-10-17",
    "Statement": [
       {
         "Action": [
          "autoscaling:Describe*",
          "cloudwatch:Describe*",
          "cloudwatch:Get*",
          "cloudwatch:List*",
          "logs:Get*",
          "logs:List*",
          "logs:Describe*",
          "logs:TestMetricFilter",
          "logs:FilterLogEvents",
          "sns:Get*",
          "sns:List*"
        ],
        "Effect": "Allow",
        "Resource": "*"
     }
   ]
}
表 1. IAM 权限
服务 必需 权限
Cloudwatch 是。 有关权限列表,请参见 Cloud Watch 只读访问 json
EC2 describeRegions 是必需的。仅当您订阅 EC2 服务时才需要 describeInstances 和 describeVolumes。 有关更多信息,请参见 EC2 只读访问 json
ELB (Elastic Load Balancing) 如果订阅 ELB 服务,则需要。 有关权限列表,请参见 Elastic Load Balancing 只读访问 json
EMR 如果订阅 EMR 服务,则需要。 描述*
{
   "Effect": "Allow",
   "Action": [
   "elasticmapreduce:Describe*",
   "elasticmapreduce:List*",
   "elasticmapreduce:ViewEventsFromAllClustersInConsole"
   "s3:GetObject",
   "s3:ListAllMyBuckets",
   "s3:ListBucket",
   "sdb:Select",
   "cloudwatch:GetMetricStatistics"
 ],
   "Resource": "*"
}
RDS 如果订阅 RDS 服务,则需要。 有关权限列表,请参见 RDS 只读访问 json
ElasticCache 如果订阅 ElasticCache 服务,则需要。 有关权限列表,请参见 Elastic Cache 只读访问 json
SQS 如果订阅 SQS 服务,则需要。 有关权限列表,请参见 SQS 只读访问 json
Elastic Container Registry 有关权限列表,请参见 Elastic Container 只读访问 json
Elastic Container Service 列表*
Lambda 有关权限列表,请参见 Lambda 只读访问 json 并参考 AWS Lambda 策略。
DynamoDB 有关权限列表,请参见 Dynamo DB 只读访问 json
DAX 描述*

列表*

Redshift 有关权限列表,请参见 Redshift 只读访问 json
Virtual Private Cloud 有关权限列表,请参见 VPC 只读访问 json
CloudFront 分布 有关权限列表,请参见 CloudFront 分布只读访问 json
Direct Connect 有关权限列表,请参见 Direct Connect 只读访问 json
VPN 连接 描述*
VPC NAT 网关 描述*
弹性 IP 描述*
CloudformationStack 有关权限列表,请参见 Cloud Formation 只读访问 json
S3 有关权限列表,请参见 S3 只读访问 json
Workspaces 描述*
托管区域 列表*
运行状况检查 列表*