¿Cómo puedo restringir el acceso a la consola de CloudWatch?

Última actualización: 11/05/2022

Quiero restringir el acceso a la consola de Amazon CloudWatch permitiendo que usuarios específicos realicen acciones específicas en los recursos de CloudWatch. ¿Cómo puedo hacerlo?

Descripción corta

Si es el administrador de su cuenta de AWS, puede usar políticas basadas en la identidad para adjuntar permisos a las entidades de AWS Identity and Access Management (IAM) (usuarios, grupos o roles). Estas políticas basadas en la identidad pueden dar a las entidades de IAM los permisos que necesiten para realizar operaciones en los recursos de CloudWatch. Para ello:

  • Cree una política de lectura y escritura personalizada para los recursos de CloudWatch mediante la consola de IAM.
  • Adjunte la política a un usuario de IAM.

Resolución

Crear una política personalizada para los recursos de CloudWatch

Nota: Para ver todos los permisos que necesita para trabajar con CloudWatch, consulte Permisos necesarios para usar la consola de CloudWatch.

A fin de crear una política personalizada para sus recursos de CloudWatch, siga estos pasos:

1.    Abra la consola IAM.

2.    Elija Policies (Políticas) y, luego, Create Policy (Crear política).

3.    Elija JSON y cree una política personalizada con la siguiente estructura:

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Description_1”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        {
            "Sid": "Description_2”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        .
        .
        .
        .
        {
            "Sid": "Description_n”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        }
    ]
}

Nota: CloudWatch no admite políticas basadas en recursos. Por lo tanto, no hay ARN de CloudWatch que pueda usar en una política de IAM. Puede usar “*” como recurso al escribir una política para controlar el acceso a las acciones de CloudWatch.

4.    Si lo desea, puede añadir una etiqueta a su política.

5.    Elija review the policy (revisar la política) e introduzca un nombre y una descripción para su política. Por ejemplo, CWPermissions.

6.    Elija Create policy (Crear política).

Adjuntar una política personalizada a un usuario de IAM

Para adjuntar la política personalizada que creó a un usuario de IAM, siga estos pasos:

1.    Abra la consola IAM.

2.    En el panel de navegación, elija Users (Usuarios).

3.    Elija el usuario al que quiera añadir permisos y, luego, seleccione Add permissions (Agregar permisos).

4.    Elija Attach existing policies directly (Adjuntar políticas existentes directamente) y, luego, elija la política personalizada de CloudWatch que creó.

5.    Elija Next: Review (Siguiente: Revisar) y, luego, Add permissions (Agregar permisos).

Esta política de ejemplo permite a los usuarios crear y visualizar alertas en CloudWatch:

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:EnableAlarmActions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": "*"
        },
        {
            "Sid": "visualizeAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListMetrics"
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

Nota:


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?