Wie schränke ich den Zugriff auf die CloudWatch-Konsole ein?
Ich möchte den Zugriff auf die Amazon CloudWatch-Konsole einschränken, sodass nur bestimmte Benutzer bestimmte Aktionen an CloudWatch-Ressourcen ausführen können.
Kurzbeschreibung
Wenn Sie der Administrator Ihres AWS-Kontos sind, verwenden Sie identitätsbasierte Richtlinien, um Berechtigungen an AWS Identity and Access Management (IAM) -Entitäten zuzuweisen. Identitätsbasierte Richtlinien geben Ihren IAM-Entitäten die erforderlichen Berechtigungen, um Operationen mit CloudWatch-Ressourcen durchzuführen.
Informationen zu allen Berechtigungen, die Sie mit CloudWatch verwenden können, finden Sie unter Für die Verwendung der CloudWatch-Konsole erforderliche Berechtigungen.
Behebung
Erstellen Sie eine benutzerdefinierte Richtlinie für CloudWatch-Ressourcen
Führen Sie die folgenden Schritte aus:
- Öffnen Sie die IAM-Konsole.
- Wählen Sie Richtlinien aus.
- Wählen Sie Richtlinie erstellen.
- Wählen Sie JSON.
- Erstellen Sie eine benutzerdefinierte Richtlinie.
Beispiel für eine Richtlinie:
Hinweis: Da CloudWatch keine ressourcenbasierten Richtlinien unterstützt, können Sie CloudWatch-ARNs nicht in einer IAM-Richtlinie verwenden. Wenn Sie eine Richtlinie schreiben, um den Zugriff auf CloudWatch-Aktionen zu kontrollieren, verwenden Sie "*" als Ressource.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Description_1", "Effect": "Allow", "Action": [permissions required], "Resource": "*" }, { "Sid": "Description_2", "Effect": "Allow", "Action": [permissions required], "Resource": "*" }, . . . . { "Sid": "Description_n", "Effect": "Allow", "Action": [permissions required], "Resource": "*" } ] }
- (Optional) Fügen Sie Ihrer Richtlinie ein Tag hinzu.
- Wählen Sie Richtlinie überprüfen.
- Geben Sie einen Namen und eine Beschreibung für Ihre Richtlinie ein, z. B. CWPermissions.
- Wählen Sie Richtlinie erstellen.
Hängen Sie eine benutzerdefinierte Richtlinie an einen IAM-Benutzer an
Führen Sie die folgenden Schritte aus:
- Öffnen Sie die IAM-Konsole.
- Wählen Sie im Navigationsbereich Benutzer aus.
- Wählen Sie den Benutzer aus, dem Sie Berechtigungen hinzufügen möchten.
- Wählen Sie Berechtigungen hinzufügen aus.
- Wählen Sie Bestehende Richtlinien direkt anhängen aus.
- Wählen Sie die benutzerdefinierte CloudWatch-Richtlinie aus.
- Wählen Sie Weiter: Prüfen.
- Wählen Sie Berechtigungen hinzufügen aus.
Die folgende Beispielrichtlinie ermöglicht es Benutzern, Warnungen in CloudWatch zu erstellen und zu visualisieren:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAlarms", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarmHistory", "cloudwatch:EnableAlarmActions", "cloudwatch:DeleteAlarms", "cloudwatch:DisableAlarmActions", "cloudwatch:DescribeAlarms", "cloudwatch:SetAlarmState" ], "Resource": "*" }, { "Sid": "visualizeAlarms", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListMetrics" "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
Hinweis:
- Verwenden Sie Bedingungsschlüssel, um den Zugriff auf CloudWatch-Namespaces einzuschränken.
- Um den Benutzerzugriff auf CloudWatch-Metriken einzuschränken, verwenden Sie PutMetricData anstelle von GetPutMetricData.
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Monat