Je souhaite restreindre l’accès à la console Amazon CloudWatch afin que seuls des utilisateurs spécifiques puissent effectuer des actions spécifiques sur les ressources CloudWatch.
Brève description
Si vous êtes l’administrateur de votre compte AWS, utilisez des politiques basées sur l’identité pour attribuer des autorisations aux entités la Gestion des identités et des accès AWS (AWS IAM). Les politiques basées sur l’identité donnent à vos entités IAM les autorisations nécessaires pour effectuer des opérations sur les ressources CloudWatch.
Pour consulter toutes les autorisations que vous pouvez utiliser avec CloudWatch, consultez la section Autorisations requises pour utiliser la console CloudWatch.
Résolution
Créez une politique personnalisée pour les ressources CloudWatch
Procédez comme suit :
- Ouvrez la console IAM.
- Choisissez Politiques.
- Choisissez Créer une politique.
- Choisissez JSON.
- Créez une politique personnalisée.
Exemple de politique :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Description_1",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
},
{
"Sid": "Description_2",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
},
.
.
.
.
{
"Sid": "Description_n",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
}
]
}
Remarque : CloudWatch ne prenant pas en charge les politiques basées sur les ressources, vous ne pouvez pas utiliser les ARN CloudWatch dans une politique IAM. Lorsque vous rédigez une politique pour contrôler l’accès aux actions CloudWatch, utilisez « * » comme ressource.
- (Facultatif) Ajoutez une étiquette à votre police.
- Choisissez Revoir la politique.
- Entrez un nom et une description pour votre politique, par exemple CWPermissions.
- Choisissez Créer une politique.
Associer une politique personnalisée à un utilisateur IAM
Procédez comme suit :
- Ouvrez la console IAM.
- Dans le volet de navigation, choisissez Utilisateurs.
- Sélectionnez l’utilisateur auquel vous souhaitez ajouter des autorisations.
- Choisissez Ajouter des autorisations.
- Choisissez Joindre directement les politiques existantes.
- Sélectionnez la politique CloudWatch personnalisée.
- Choisissez Suivant : Vérification.
- Choisissez Ajouter des autorisations.
L'exemple de politique suivant permet aux utilisateurs de créer et de visualiser des alertes dans CloudWatch :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:EnableAlarmActions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DisableAlarmActions",
"cloudwatch:DescribeAlarms",
"cloudwatch:SetAlarmState"
],
"Resource": "*"
},
{
"Sid": "visualizeAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:ListMetrics"
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
Remarque :
- Pour limiter l’accès aux espaces de noms CloudWatch, utilisez des clés de condition.
- Pour restreindre l’accès des utilisateurs aux métriques CloudWatch, utilisez PutMetricData au lieu de GetPutMetricData.