Como faço para restringir o acesso ao console do CloudWatch?

Data da última atualização: 11/05/2022

Quero restringir o acesso ao console do Amazon CloudWatch, permitindo que usuários específicos executem ações específicas nos recursos do CloudWatch. Como posso fazer isso?

Breve descrição

Se você for o administrador da sua conta da AWS, pode usar políticas baseadas em identidade para anexar permissões a entidades do AWS Identity and Access Management (IAM) (usuários, grupos ou funções). Essas políticas baseadas em identidade podem dar às entidades do IAM as permissões necessárias para realizar operações nos recursos do CloudWatch. Para fazer isso:

  • Crie uma política de leitura e gravação personalizada para recursos do CloudWatch usando o console do IAM
  • Anexar a política a um usuário do IAM

Resolução

Criar uma política personalizada para os recursos do CloudWatch

Observação: para ver todas as permissões necessárias para trabalhar com o CloudWatch, consulte Permissões necessárias para usar o console do CloudWatch.

Para criar uma política personalizada para seus recursos do CloudWatch, siga estas etapas:

1.    Abra o console do IAM.

2.    Selecione Policies (Políticas) e depois Create Policy (Criar política).

3.    Escolha JSON e crie uma política personalizada usando esta estrutura:

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Description_1”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        {
            "Sid": "Description_2”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        .
        .
        .
        .
        {
            "Sid": "Description_n”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        }
    ]
}

Observação: o CloudWatch não oferece suporte a políticas baseadas em recursos. Portanto, não há ARNs do CloudWatch que você possa usar em uma política do IAM. Você pode usar “*” como recurso ao escrever uma política para controlar o acesso às ações do CloudWatch.

4.    Opcionalmente, adicione uma etiqueta à sua política.

5.    Escolha Review the policy (Revisar a política) e insira um nome e uma descrição para sua política. Por exemplo, CWPermissions.

6.    Escolha Create policy (Criar política).

Anexar uma política personalizada a um usuário do IAM

Para anexar a política personalizada que você criou a um usuário do IAM, siga estas etapas:

1.    Abra o console do IAM.

2.    No painel de navegação, escolha Users (Usuários).

3.    Escolha o usuário ao qual você deseja adicionar permissões e escolha Add permissions (Adicionar permissões).

4.    Escolha Attach existing policies directly (Anexar políticas existentes diretamente) e, em seguida, escolha a política personalizada do CloudWatch que você criou.

5.    Escolha Next: Review (Próximo: Revisão) e, em seguida Add permissions (Adicionar permissões).

Este exemplo de política permite que os usuários criem e visualizem alertas no CloudWatch:

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:EnableAlarmActions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": "*"
        },
        {
            "Sid": "visualizeAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListMetrics"
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

Observação:


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?