¿Cómo puedo restringir el acceso a la consola de CloudWatch?
Quiero restringir el acceso a la consola de Amazon CloudWatch permitiendo que usuarios específicos realicen acciones específicas en los recursos de CloudWatch. ¿Cómo puedo hacerlo?
Descripción corta
Si es el administrador de su cuenta de AWS, puede usar políticas basadas en la identidad para adjuntar permisos a las entidades de AWS Identity and Access Management (IAM) (usuarios, grupos o roles). Estas políticas basadas en la identidad pueden dar a las entidades de IAM los permisos que necesiten para realizar operaciones en los recursos de CloudWatch. Para ello:
- Cree una política de lectura y escritura personalizada para los recursos de CloudWatch mediante la consola de IAM.
- Adjunte la política a un usuario de IAM.
Resolución
Crear una política personalizada para los recursos de CloudWatch
Nota: Para ver todos los permisos que necesita para trabajar con CloudWatch, consulte Permisos necesarios para usar la consola de CloudWatch.
A fin de crear una política personalizada para sus recursos de CloudWatch, siga estos pasos:
1. Abra la consola IAM.
2. Elija Policies (Políticas) y, luego, Create Policy (Crear política).
3. Elija JSON y cree una política personalizada con la siguiente estructura:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Description_1”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" }, { "Sid": "Description_2”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" }, . . . . { "Sid": "Description_n”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" } ] }
Nota: CloudWatch no admite políticas basadas en recursos. Por lo tanto, no hay ARN de CloudWatch que pueda usar en una política de IAM. Puede usar “*” como recurso al escribir una política para controlar el acceso a las acciones de CloudWatch.
4. Si lo desea, puede añadir una etiqueta a su política.
5. Elija review the policy (revisar la política) e introduzca un nombre y una descripción para su política. Por ejemplo, CWPermissions.
6. Elija Create policy (Crear política).
Adjuntar una política personalizada a un usuario de IAM
Para adjuntar la política personalizada que creó a un usuario de IAM, siga estos pasos:
1. Abra la consola IAM.
2. En el panel de navegación, elija Users (Usuarios).
3. Elija el usuario al que quiera añadir permisos y, luego, seleccione Add permissions (Agregar permisos).
4. Elija Attach existing policies directly (Adjuntar políticas existentes directamente) y, luego, elija la política personalizada de CloudWatch que creó.
5. Elija Next: Review (Siguiente: Revisar) y, luego, Add permissions (Agregar permisos).
Esta política de ejemplo permite a los usuarios crear y visualizar alertas en CloudWatch:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAlarms", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarmHistory", "cloudwatch:EnableAlarmActions", "cloudwatch:DeleteAlarms", "cloudwatch:DisableAlarmActions", "cloudwatch:DescribeAlarms", "cloudwatch:SetAlarmState" ], "Resource": "*" }, { "Sid": "visualizeAlarms", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListMetrics" "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
Nota:
- Puede usar claves de condición para limitar el acceso a los espacios de nombres de CloudWatch. Para obtener más información, consulte Uso de claves de condición para limitar el acceso a los espacios de nombres de CloudWatch.
- Si desea impedir que los usuarios extraigan métricas de CloudWatch, sustituya GetMetricData por PutMetricData.
Información relacionada
Uso de políticas basadas en identidad (políticas de IAM) para CloudWatch
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año