Como faço para restringir o acesso ao console do CloudWatch?
Quero restringir o acesso ao console do Amazon CloudWatch, permitindo que usuários específicos executem ações específicas nos recursos do CloudWatch. Como posso fazer isso?
Breve descrição
Se você for o administrador da sua conta da AWS, pode usar políticas baseadas em identidade para anexar permissões a entidades do AWS Identity and Access Management (IAM) (usuários, grupos ou funções). Essas políticas baseadas em identidade podem dar às entidades do IAM as permissões necessárias para realizar operações nos recursos do CloudWatch. Para fazer isso:
- Crie uma política de leitura e gravação personalizada para recursos do CloudWatch usando o console do IAM
- Anexar a política a um usuário do IAM
Resolução
Criar uma política personalizada para os recursos do CloudWatch
Observação: para ver todas as permissões necessárias para trabalhar com o CloudWatch, consulte Permissões necessárias para usar o console do CloudWatch.
Para criar uma política personalizada para seus recursos do CloudWatch, siga estas etapas:
1. Abra o console do IAM.
2. Selecione Policies (Políticas) e depois Create Policy (Criar política).
3. Escolha JSON e crie uma política personalizada usando esta estrutura:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Description_1”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" }, { "Sid": "Description_2”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" }, . . . . { "Sid": "Description_n”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" } ] }
Observação: o CloudWatch não oferece suporte a políticas baseadas em recursos. Portanto, não há ARNs do CloudWatch que você possa usar em uma política do IAM. Você pode usar “*” como recurso ao escrever uma política para controlar o acesso às ações do CloudWatch.
4. Opcionalmente, adicione uma etiqueta à sua política.
5. Escolha Review the policy (Revisar a política) e insira um nome e uma descrição para sua política. Por exemplo, CWPermissions.
6. Escolha Create policy (Criar política).
Anexar uma política personalizada a um usuário do IAM
Para anexar a política personalizada que você criou a um usuário do IAM, siga estas etapas:
1. Abra o console do IAM.
2. No painel de navegação, escolha Users (Usuários).
3. Escolha o usuário ao qual você deseja adicionar permissões e escolha Add permissions (Adicionar permissões).
4. Escolha Attach existing policies directly (Anexar políticas existentes diretamente) e, em seguida, escolha a política personalizada do CloudWatch que você criou.
5. Escolha Next: Review (Próximo: Revisão) e, em seguida Add permissions (Adicionar permissões).
Este exemplo de política permite que os usuários criem e visualizem alertas no CloudWatch:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAlarms", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarmHistory", "cloudwatch:EnableAlarmActions", "cloudwatch:DeleteAlarms", "cloudwatch:DisableAlarmActions", "cloudwatch:DescribeAlarms", "cloudwatch:SetAlarmState" ], "Resource": "*" }, { "Sid": "visualizeAlarms", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListMetrics" "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
Observação:
- Você pode usar chaves de condição para limitar o acesso aos namespaces do CloudWatch. Para obter mais informações, consulte Usar chaves de condição para limitar o acesso aos namespaces do CloudWatch.
- Se você quiser impedir que os usuários extraiam métricas do CloudWatch, substitua GetMetricData por PutMetricData.
Informações relacionadas
Usar políticas baseadas em identidade (políticas do IAM) para o CloudWatch
Conteúdo relevante
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 2 anos