Amazon CloudWatch Synthetics Canaries のアーティファクトをダウンロードするための IAM ポリシーを教えてください

困っていること

Synthetics Canaries にて、Canary のアーティファクトをダウンロードを試行したところ、下記画面のようなエラーが発生しました。

IAM ユーザーには管理ポリシー: CloudWatchFullAccessV2 を付与しています。

ダウンロードするには、どのようなポリシーを付与すればいいですか？

どう対応すればいいの?

Synthetics Canaries のアーティファクトは S3 バケット内に保存されています。

そのため、アーティファクト保存先の S3 バケットへのアクセス権限の付与が必要となります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::<Canary アーティファクト保存先S3バケット>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::<Canary アーティファクト保存先S3バケット>/*"
        }
    ]
}

参考資料

Canary を作成する - Amazon CloudWatch

Canary のデフォルトでは、そのアーティファクトが Amazon S3 に保存され、そのアーティファクトに対しては AWS 管理のAWS KMS キーにより保存時の暗号化が行われます。