Wie schränke ich den Zugriff auf die CloudWatch-Konsole ein?

Lesedauer: 2 Minute
0

Ich möchte den Zugriff auf die Amazon CloudWatch-Konsole einschränken, sodass nur bestimmte Benutzer bestimmte Aktionen an CloudWatch-Ressourcen ausführen können.

Kurzbeschreibung

Wenn Sie der Administrator Ihres AWS-Kontos sind, verwenden Sie identitätsbasierte Richtlinien, um Berechtigungen an AWS Identity and Access Management (IAM) -Entitäten zuzuweisen. Identitätsbasierte Richtlinien geben Ihren IAM-Entitäten die erforderlichen Berechtigungen, um Operationen mit CloudWatch-Ressourcen durchzuführen.

Informationen zu allen Berechtigungen, die Sie mit CloudWatch verwenden können, finden Sie unter Für die Verwendung der CloudWatch-Konsole erforderliche Berechtigungen.

Behebung

Erstellen Sie eine benutzerdefinierte Richtlinie für CloudWatch-Ressourcen

Führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die IAM-Konsole.
  2. Wählen Sie Richtlinien aus.
  3. Wählen Sie Richtlinie erstellen.
  4. Wählen Sie JSON.
  5. Erstellen Sie eine benutzerdefinierte Richtlinie.
    Beispiel für eine Richtlinie:
    {    
        "Version": "2012-10-17",  
        "Statement": [  
            {  
                "Sid": "Description_1",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            },  
            {  
                "Sid": "Description_2",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            },  
            .  
            .  
            .  
            .  
            {  
                "Sid": "Description_n",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            }  
        ]  
    }
    Hinweis: Da CloudWatch keine ressourcenbasierten Richtlinien unterstützt, können Sie CloudWatch-ARNs nicht in einer IAM-Richtlinie verwenden. Wenn Sie eine Richtlinie schreiben, um den Zugriff auf CloudWatch-Aktionen zu kontrollieren, verwenden Sie "*" als Ressource.
  6. (Optional) Fügen Sie Ihrer Richtlinie ein Tag hinzu.
  7. Wählen Sie Richtlinie überprüfen.
  8. Geben Sie einen Namen und eine Beschreibung für Ihre Richtlinie ein, z. B. CWPermissions.
  9. Wählen Sie Richtlinie erstellen.

Hängen Sie eine benutzerdefinierte Richtlinie an einen IAM-Benutzer an

Führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die IAM-Konsole.
  2. Wählen Sie im Navigationsbereich Benutzer aus.
  3. Wählen Sie den Benutzer aus, dem Sie Berechtigungen hinzufügen möchten.
  4. Wählen Sie Berechtigungen hinzufügen aus.
  5. Wählen Sie Bestehende Richtlinien direkt anhängen aus.
  6. Wählen Sie die benutzerdefinierte CloudWatch-Richtlinie aus.
  7. Wählen Sie Weiter: Prüfen.
  8. Wählen Sie Berechtigungen hinzufügen aus.

Die folgende Beispielrichtlinie ermöglicht es Benutzern, Warnungen in CloudWatch zu erstellen und zu visualisieren:

{  
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Sid": "CreateAlarms",  
            "Effect": "Allow",  
            "Action": [  
                "cloudwatch:PutMetricAlarm",  
                "cloudwatch:DescribeAlarmHistory",  
                "cloudwatch:EnableAlarmActions",  
                "cloudwatch:DeleteAlarms",  
                "cloudwatch:DisableAlarmActions",  
                "cloudwatch:DescribeAlarms",  
                "cloudwatch:SetAlarmState"  
            ],  
            "Resource": "*"  
        },  
        {  
            "Sid": "visualizeAlarms",  
            "Effect": "Allow",  
            "Action": [  
                "cloudwatch:DescribeAlarmsForMetric",  
                "cloudwatch:ListMetrics"  
                "cloudwatch:GetMetricData"  
            ],  
            "Resource": "*"  
        }  
    ]  
}

Hinweis:

  • Verwenden Sie Bedingungsschlüssel, um den Zugriff auf CloudWatch-Namespaces einzuschränken.
  • Um den Benutzerzugriff auf CloudWatch-Metriken einzuschränken, verwenden Sie PutMetricData anstelle von GetPutMetricData.
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 5 Monaten