Comment puis-je restreindre l'accès à la console CloudWatch ?

Lecture de 3 minute(s)

Je souhaite restreindre l'accès à la console Amazon CloudWatch en autorisant des utilisateurs spécifiques à effectuer des actions précises sur les ressources CloudWatch. Comment procéder ?

Brève description

Si vous êtes responsable de l’administration de votre compte AWS, vous pouvez utiliser des politiques basées sur l'identité afin d’associer des autorisations aux entités AWS Identity and Access Management (IAM) (utilisateurs, groupes ou rôles). Ces politiques basées sur l'identité peuvent donner à vos entités IAM les autorisations nécessaires pour effectuer des opérations sur les ressources CloudWatch. Pour ce faire :

Créez une politique de lecture et d'écriture personnalisée pour les ressources CloudWatch à l'aide de la console IAM
Associez la politique à un utilisateur IAM

Solution

Création d'une politique personnalisée pour les ressources CloudWatch

Remarque : pour afficher toutes les autorisations nécessaires pour travailler avec CloudWatch, consultez Autorisations requises pour utiliser la console CloudWatch.

Pour créer une politique personnalisée pour vos ressources CloudWatch, procédez comme suit :

1. Ouvrez la console IAM.

2. Sélectionnez Policies (Politiques), puis Create Policy (Créer une politique).

3. Choisissez JSON et créez une politique personnalisée à l'aide de cette structure :

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Description_1”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        {
            "Sid": "Description_2”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        .
        .
        .
        .
        {
            "Sid": "Description_n”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        }
    ]
}

Remarque : CloudWatch ne prend pas en charge les politiques basées sur les ressources. Par conséquent, il n'existe aucun ARN CloudWatch que vous pouvez utiliser dans une politique IAM. Vous pouvez utiliser « * » comme ressource lorsque vous écrivez une politique pour contrôler l'accès aux actions CloudWatch.

4. En outre, vous pouvez ajouter une balise à votre politique.

5. Choisissez passer en revue la politique, puis entrez un nom et une description pour votre police. Par exemple, CWPermissions.

6. Choisissez Create policy (Créer une politique).

Associer une politique personnalisée à un utilisateur IAM

Pour associer la politique personnalisée que vous avez créée à un utilisateur IAM, procédez comme suit :

1. Ouvrez la console IAM.

2. Dans le panneau de navigation, choisissez Users (Utilisateurs).

3. Choisissez l'utilisateur auquel vous souhaitez ajouter des autorisations, puis choisissez Add permissions (Ajouter des autorisations).

4. Choisissez Attach existing policies directly (Associer des politiques existantes directement), puis choisissez la stratégie CloudWatch personnalisée que vous avez créée.

5. Choisissez Next : Review (Suivant : vérification), puis Add permissions (Ajouter des autorisations).

Cet exemple de politique permet aux utilisateurs de créer et de visualiser des alertes dans CloudWatch :

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:EnableAlarmActions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": "*"
        },
        {
            "Sid": "visualizeAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListMetrics"
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

Remarque :

Il est possible d’utiliser des clés de condition pour limiter l'accès aux espaces de noms CloudWatch. Pour plus d'informations, consultez Utilisation de clés de condition pour limiter l'accès aux espaces de noms CloudWatch.
Si vous souhaitez empêcher les utilisateurs d'extraire des métriques CloudWatch, il convient de remplacer GetMetricData par PutMetricData.

Informations connexes

Utilisation de politiques basées sur l’identité (politiques IAM) pour CloudWatch

Sujets

Gestion et gouvernance

Balises

Amazon CloudWatch

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

comment creer une compte console AWS sans carte du credit?
daddy
demandé il y a 10 mois
[workmail] Le système n'a pas pu livrer votre courrier.
romain
demandé il y a 4 mois
Compte bloque je n'arrive plus a acceder au compt
Shekina Banza
demandé il y a 2 mois
problème de placement de sous titres lors de la création de fichier dans MEDIACONVERT
rePost-User-0874367
demandé il y a un an
Sagemaker/Support : Urgence et Prise en compte des tickets
Romuald
demandé il y a 4 mois
Comment utiliser les rôles IAM pour restreindre les appels d'API provenant d'adresses IP spécifiques vers la Console de gestion AWS ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je résoudre l'erreur « Vous n'êtes pas autorisé à modifier la politique relative aux compartiments » lorsque j'essaie de modifier une politique relative aux compartiments dans Amazon S3 ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je résoudre l'erreur « You have exceeded the allowed number of AWS accounts. » (Vous avez dépassé le nombre autorisé de comptes AWS.) pour AWS Organizations ?
AWS OFFICIELA mis à jour il y a un an
Pourquoi le message d'erreur « You can only join an organization whose Seller of Record is same as your account » (Vous pouvez uniquement rejoindre une organisation dont le vendeur enregistré correspond à votre compte) s'affiche-t-il lorsque je tente de rejoindre une organisation ?
AWS OFFICIELA mis à jour il y a 2 ans