Quero restringir o acesso ao console do Amazon CloudWatch para que somente usuários específicos possam realizar ações específicas nos recursos do CloudWatch.
Breve descrição
Se você for o administrador da sua conta da AWS, use políticas baseadas em identidade para anexar permissões às entidades do AWS Identity and Access Management (IAM). As políticas baseadas em identidade dão às suas entidades do IAM as permissões necessárias para realizar operações nos recursos do CloudWatch.
Para ver todas as permissões que você pode usar com o CloudWatch, consulte Permissões necessárias para usar o console do CloudWatch.
Resolução
Criar uma política personalizada para os recursos do CloudWatch
Conclua as seguintes etapas:
- Abra o console do IAM.
- Escolha Políticas.
- Escolha Criar política.
- Escolha JSON.
- Crie uma política personalizada.
Exemplo de política:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Description_1",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
},
{
"Sid": "Description_2",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
},
.
.
.
.
{
"Sid": "Description_n",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
}
]
}
Observação: como o CloudWatch não oferece suporte a políticas baseadas em recursos, você não pode usar ARNs do CloudWatch em uma política de IAM. Ao escrever uma política para controlar o acesso às ações do CloudWatch, use "*" como recurso.
- (Opcional) Adicione uma tag à sua política.
- Escolha revisar a política.
- Insira um nome e uma descrição para sua política, por exemplo, CWPermissions.
- Escolha Criar política.
Anexar uma política personalizada a um usuário do IAM
Conclua as seguintes etapas:
- Abra o console do IAM.
- No painel de navegação, escolha Usuários.
- Selecione o usuário ao qual você deseja adicionar permissões.
- Escolha Adicionar permissões.
- Escolha Anexar políticas existentes diretamente.
- Selecione a política personalizada do CloudWatch.
- Escolha Avançar: revisão.
- Escolha Adicionar permissões.
O exemplo de política a seguir permite que os usuários criem e visualizem alertas no CloudWatch:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:EnableAlarmActions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DisableAlarmActions",
"cloudwatch:DescribeAlarms",
"cloudwatch:SetAlarmState"
],
"Resource": "*"
},
{
"Sid": "visualizeAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:ListMetrics"
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
Observação:
- para limitar o acesso aos namespaces do CloudWatch, use chaves de condição.
- Para restringir o acesso do usuário às métricas do CloudWatch, use PutMetricData em vez de GetPutMetricData.