我想要允許特定使用者在 CloudWatch 資源上執行特定動作,藉此限制對 Amazon CloudWatch 主控台的存取。該如何進行?
簡短描述
如果您是 AWS 帳戶的管理員,則可以使用以身分為基礎的政策將許可連接到 AWS Identity and Access Management (IAM) 實體 (使用者、群組或角色)。這些以身分為基礎的政策,可以為您的 IAM 實體提供在 CloudWatch 資源上執行操作所需的許可。操作方式:
- 使用 IAM 主控台為 CloudWatch 資源建立自訂讀取和寫入政策
- 將政策連接到 IAM 使用者
解決方案
為 CloudWatch 資源建立自訂政策
**注意:**若要檢視使用 CloudWatch 所需的所有許可,請參閱使用 CloudWatch 主控台所需的許可。
若要為您的 CloudWatch 資源建立自訂政策,請依照下列步驟執行:
1. 開啟 IAM 主控台。
2. 選擇 Policies (政策),然後選擇 Create Policy (建立政策)。
3. 選擇 JSON,然後使用此結構建立自訂政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Description_1”,
"Effect": "Allow",
"Action": [premissions required],
"Resource": "*"
},
{
"Sid": "Description_2”,
"Effect": "Allow",
"Action": [premissions required],
"Resource": "*"
},
.
.
.
.
{
"Sid": "Description_n”,
"Effect": "Allow",
"Action": [premissions required],
"Resource": "*"
}
]
}
注意:CloudWatch 不支援以資源為基礎的政策。因此,沒有可在 IAM 政策中使用的 CloudWatch ARN。撰寫政策來控制 CloudWatch 動作的存取權時,可以使用「*」作為資源。
4. 或者,將標籤新增至您的政策。
5. 選擇 review the policy (檢閱政策),然後輸入政策的名稱和說明。例如 CWPermissions。
6. 選擇 Create Policy (建立政策)。
將自訂政策連接到 IAM 使用者
若要將您建立的自訂政策連接到 IAM 使用者,請依照下列步驟執行:
1. 開啟 IAM 主控台。
2. 在導覽窗格中,選擇 Users (使用者)。
3. 選擇您要新增許可的使用者,然後選擇 Add permissions (新增許可)。
4. 選擇 Attach existing policies directly (直接連接現有政策),然後選擇您建立的自訂 CloudWatch 政策。
5. 選擇 Next: Review (下一步:檢閱),然後選擇 Add permissions (新增許可)。
此範例政策可讓使用者在 CloudWatch 中建立並視覺化提醒:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:EnableAlarmActions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DisableAlarmActions",
"cloudwatch:DescribeAlarms",
"cloudwatch:SetAlarmState"
],
"Resource": "*"
},
{
"Sid": "visualizeAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:ListMetrics"
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
注意:
相關資訊
將以身分為基礎的政策 (IAM 政策) 用於 CloudWatch