Come faccio a limitare l'accesso alla console di CloudWatch?
Desidero limitare l'accesso alla console Amazon CloudWatch consentendo a utenti specifici di eseguire operazioni specifiche sulle risorse CloudWatch. In che modo posso farlo?
Breve descrizione
Se sei l'amministratore del tuo account AWS, puoi utilizzare policy basate sull'identità per associare autorizzazioni alle entità AWS Identity and Access Management (IAM) (utenti, gruppi o ruoli). Queste policy basate sull'identità possono concedere alle entità IAM le autorizzazioni necessarie per eseguire operazioni sulle risorse CloudWatch. Per fare questo:
- Crea una policy di lettura e scrittura personalizzata per le risorse di CloudWatch utilizzando la console IAM
- Allega la policy a un utente IAM
Risoluzione
Crea una policy personalizzata per le risorse di CloudWatch
Nota: per visualizzare tutte le autorizzazioni necessarie per lavorare con CloudWatch, consulta Autorizzazioni necessarie per utilizzare la console di CloudWatch.
Per creare una policy personalizzata per le risorse CloudWatch, segui questi passaggi:
1. Apri la console IAM.
2. ScegliPolicy, quindi scegliCrea policy.
3. Scegli JSON e crea una policy personalizzata utilizzando questa struttura:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Description_1”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" }, { "Sid": "Description_2”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" }, . . . . { "Sid": "Description_n”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" } ] }
Nota: CloudWatch non supporta le policy basate sulle risorse. Pertanto, non sono disponibili ARN CloudWatch che sia possibile utilizzare in una policy IAM. Puoi utilizzare “*” come risorsa quando scrivi una policy per controllare l'accesso alle operazioni di CloudWatch.
4. Facoltativamente, aggiungi un tag alla tua policy.
5. Scegli di rivedere la policy e inserisci un nome e una descrizione per la tua policy. Ad esempio, CWPermissions.
6. Scegli Crea policy.
Allega una policy personalizzata a un utente IAM
Per allegare la policy personalizzata che hai creato a un utente IAM, segui questi passaggi:
1. Apri la console IAM.
2. Nel pannello di navigazione, scegli Utenti.
3. Scegli l'utente a cui desideri aggiungere le autorizzazioni, quindi scegli Aggiungi autorizzazioni.
4. Scegli Allega direttamente le policy esistenti, quindi scegli la policy CloudWatch personalizzata che hai creato.
5. Scegli Successivo: Revisione, quindi scegli Aggiungi autorizzazioni.
Questa policy di esempio consente agli utenti di creare e visualizzare avvisi in CloudWatch:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAlarms", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarmHistory", "cloudwatch:EnableAlarmActions", "cloudwatch:DeleteAlarms", "cloudwatch:DisableAlarmActions", "cloudwatch:DescribeAlarms", "cloudwatch:SetAlarmState" ], "Resource": "*" }, { "Sid": "visualizeAlarms", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListMetrics" "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
Nota:
- puoi utilizzare le chiavi di condizione per limitare l'accesso agli spazi dei nomi di CloudWatch. Per maggiori informazioni, consulta Uso delle chiavi di condizione per limitare l'accesso agli spazi dei nomi di CloudWatch.
- Se desideri impedire agli utenti di estrarre i parametri di CloudWatch, sostituisci GetMetricData con PutMetricData.
Informazioni correlate
Uso delle policy basate sull'identità (policy IAM) per CloudWatch
Contenuto pertinente
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa