Comment puis-je restreindre l'accès à la console CloudWatch ?

Dernière mise à jour : 11-05-2022

Je souhaite restreindre l'accès à la console Amazon CloudWatch en autorisant des utilisateurs spécifiques à effectuer des actions précises sur les ressources CloudWatch. Comment procéder ?

Brève description

Si vous êtes responsable de l’administration de votre compte AWS, vous pouvez utiliser des politiques basées sur l'identité afin d’associer des autorisations aux entités AWS Identity and Access Management (IAM) (utilisateurs, groupes ou rôles). Ces politiques basées sur l'identité peuvent donner à vos entités IAM les autorisations nécessaires pour effectuer des opérations sur les ressources CloudWatch. Pour ce faire :

  • Créez une politique de lecture et d'écriture personnalisée pour les ressources CloudWatch à l'aide de la console IAM
  • Associez la politique à un utilisateur IAM

Solution

Création d'une politique personnalisée pour les ressources CloudWatch

Remarque : pour afficher toutes les autorisations nécessaires pour travailler avec CloudWatch, consultez Autorisations requises pour utiliser la console CloudWatch.

Pour créer une politique personnalisée pour vos ressources CloudWatch, procédez comme suit :

1.    Ouvrez la console IAM.

2.    Sélectionnez Policies (Politiques), puis Create Policy (Créer une politique).

3.    Choisissez JSON et créez une politique personnalisée à l'aide de cette structure :

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Description_1”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        {
            "Sid": "Description_2”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        .
        .
        .
        .
        {
            "Sid": "Description_n”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        }
    ]
}

Remarque : CloudWatch ne prend pas en charge les politiques basées sur les ressources. Par conséquent, il n'existe aucun ARN CloudWatch que vous pouvez utiliser dans une politique IAM. Vous pouvez utiliser « * » comme ressource lorsque vous écrivez une politique pour contrôler l'accès aux actions CloudWatch.

4.    En outre, vous pouvez ajouter une balise à votre politique.

5.    Choisissez passer en revue la politique, puis entrez un nom et une description pour votre police. Par exemple, CWPermissions.

6.    Choisissez Create policy (Créer une politique).

Associer une politique personnalisée à un utilisateur IAM

Pour associer la politique personnalisée que vous avez créée à un utilisateur IAM, procédez comme suit :

1.    Ouvrez la console IAM.

2.    Dans le panneau de navigation, choisissez Users (Utilisateurs).

3.    Choisissez l'utilisateur auquel vous souhaitez ajouter des autorisations, puis choisissez Add permissions (Ajouter des autorisations).

4.    Choisissez Attach existing policies directly (Associer des politiques existantes directement), puis choisissez la stratégie CloudWatch personnalisée que vous avez créée.

5.    Choisissez Next : Review (Suivant : vérification), puis Add permissions (Ajouter des autorisations).

Cet exemple de politique permet aux utilisateurs de créer et de visualiser des alertes dans CloudWatch :

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:EnableAlarmActions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": "*"
        },
        {
            "Sid": "visualizeAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListMetrics"
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

Remarque :


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?