AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

CloudWatch コンソールへのアクセスを制限するにはどうすればよいですか?

所要時間1分
0

Amazon CloudWatch コンソールへのアクセスを制限して、特定のユーザーだけが CloudWatch リソースに対して特定のアクションを実行できるようにしたいと考えています。

簡単な説明

AWS アカウントの管理者である場合は、アイデンティティベースのポリシーを使用して AWS Identity and Access Management (IAM) エンティティにアクセス許可をアタッチします。アイデンティティベースのポリシーは、CloudWatch リソースでオペレーションを実行するために必要なアクセス許可を IAM エンティティに付与します。

CloudWatch で使用できるすべてのアクセス許可を確認するには、「CloudWatch コンソールを使用するために必要なアクセス許可」を参照してください。

解決策

CloudWatch リソース用のカスタムポリシーを作成する

次の手順を実行します。

  1. IAM コンソールを開きます。
  2. **[ポリシー]**を選択します。
  3. [ポリシーを作成] を選択します。
  4. [JSON] を選択します。
  5. カスタムポリシーを作成します。
    ポリシーの例: 
    {    
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Sid": "Description_1",   
            "Effect": "Allow",  
            "Action": [permissions required],  
            "Resource": "*"  
        },  
        {  
            "Sid": "Description_2",   
            "Effect": "Allow",  
            "Action": [permissions required],  
            "Resource": "*"  
        },  
        .  
        .  
        .  
        .  
        {  
            "Sid": "Description_n",   
            "Effect": "Allow",  
            "Action": [permissions required],  
            "Resource": "*"  
        }  
    ]  
}
    注: CloudWatch はリソースベースのポリシーをサポートしていないため、IAM ポリシーで CloudWatch ARN を使用することはできません。CloudWatch アクションへのアクセスを制御するポリシーを記述するときは、リソースとして**「*」**を使用してください。
  6. (オプション) ポリシーにタグを追加します。
  7. [ポリシーを確認] を選択します。
  8. ポリシーの名前と説明を入力します。例えば、CWPermissions です。
  9. [ポリシーを作成] を選択します。

IAM ユーザーにカスタムポリシーをアタッチする

次の手順を実行します。

  1. IAM コンソールを開きます。
  2. ナビゲーションペインで、[ユーザー] を選択します。
  3. アクセス許可を追加する対象のユーザーを選択します。
  4. [許可を追加] を選択します。
  5. [既存のポリシーを直接アタッチ] を選択します。
  6. カスタム CloudWatch ポリシーを選択します。
  7. [次へ: レビュー] を選択します。
  8. [許可を追加] を選択します。

次のポリシーの例では、ユーザーが CloudWatch でアラートを作成して視覚化できるようになります。

{  
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Sid": "CreateAlarms",  
            "Effect": "Allow",  
            "Action": [  
                "cloudwatch:PutMetricAlarm",  
                "cloudwatch:DescribeAlarmHistory",  
                "cloudwatch:EnableAlarmActions",  
                "cloudwatch:DeleteAlarms",  
                "cloudwatch:DisableAlarmActions",  
                "cloudwatch:DescribeAlarms",  
                "cloudwatch:SetAlarmState"  
            ],  
            "Resource": "*"  
        },  
        {  
            "Sid": "visualizeAlarms",  
            "Effect": "Allow",  
            "Action": [  
                "cloudwatch:DescribeAlarmsForMetric",  
                "cloudwatch:ListMetrics"  
                "cloudwatch:GetMetricData"  
            ],  
            "Resource": "*"  
        }  
    ]  
}

:

  • CloudWatch 名前空間へのアクセスを制限するには、条件キーを使用してください。
  • CloudWatch メトリクスへのユーザーアクセスを制限するには、GetPutMetricData ではなく PutMetricData を使用してください。
トピック
管理とガバナンスネットワークとコンテンツ配信
タグ
Amazon CloudWatch
言語
日本語
AWS公式
AWS公式更新しました 10ヶ月前
コメントはありません

関連するコンテンツ