Come faccio a limitare l'accesso alla console di CloudWatch?

Ultimo aggiornamento: 11-05-2022

Desidero limitare l'accesso alla console Amazon CloudWatch consentendo a utenti specifici di eseguire operazioni specifiche sulle risorse CloudWatch. In che modo posso farlo?

Breve descrizione

Se sei l'amministratore del tuo account AWS, puoi utilizzare policy basate sull'identità per associare autorizzazioni alle entità AWS Identity and Access Management (IAM) (utenti, gruppi o ruoli). Queste policy basate sull'identità possono concedere alle entità IAM le autorizzazioni necessarie per eseguire operazioni sulle risorse CloudWatch. Per fare questo:

  • Crea una policy di lettura e scrittura personalizzata per le risorse di CloudWatch utilizzando la console IAM
  • Allega la policy a un utente IAM

Risoluzione

Crea una policy personalizzata per le risorse di CloudWatch

Nota: per visualizzare tutte le autorizzazioni necessarie per lavorare con CloudWatch, consulta Autorizzazioni necessarie per utilizzare la console di CloudWatch.

Per creare una policy personalizzata per le risorse CloudWatch, segui questi passaggi:

1.    Apri la console IAM.

2.    ScegliPolicy, quindi scegliCrea policy.

3.    Scegli JSON e crea una policy personalizzata utilizzando questa struttura:

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Description_1”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        {
            "Sid": "Description_2”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        .
        .
        .
        .
        {
            "Sid": "Description_n”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        }
    ]
}

Nota: CloudWatch non supporta le policy basate sulle risorse. Pertanto, non sono disponibili ARN CloudWatch che sia possibile utilizzare in una policy IAM. Puoi utilizzare “*” come risorsa quando scrivi una policy per controllare l'accesso alle operazioni di CloudWatch.

4.    Facoltativamente, aggiungi un tag alla tua policy.

5.    Scegli di rivedere la policy e inserisci un nome e una descrizione per la tua policy. Ad esempio, CWPermissions.

6.    Scegli Crea policy.

Allega una policy personalizzata a un utente IAM

Per allegare la policy personalizzata che hai creato a un utente IAM, segui questi passaggi:

1.    Apri la console IAM.

2.    Nel pannello di navigazione, scegli Utenti.

3.    Scegli l'utente a cui desideri aggiungere le autorizzazioni, quindi scegli Aggiungi autorizzazioni.

4.    Scegli Allega direttamente le policy esistenti, quindi scegli la policy CloudWatch personalizzata che hai creato.

5.    Scegli Successivo: Revisione, quindi scegli Aggiungi autorizzazioni.

Questa policy di esempio consente agli utenti di creare e visualizzare avvisi in CloudWatch:

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:EnableAlarmActions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": "*"
        },
        {
            "Sid": "visualizeAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListMetrics"
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

Nota:


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?