如何限制對 CloudWatch 主控台的存取？

簡短描述

如果您是 AWS 帳戶的管理員，則可以使用以身分為基礎的政策將許可連接到 AWS Identity and Access Management (IAM) 實體 (使用者、群組或角色)。這些以身分為基礎的政策，可以為您的 IAM 實體提供在 CloudWatch 資源上執行操作所需的許可。操作方式：

• 使用 IAM 主控台為 CloudWatch 資源建立自訂讀取和寫入政策
• 將政策連接到 IAM 使用者

解決方案

為 CloudWatch 資源建立自訂政策

**注意：**若要檢視使用 CloudWatch 所需的所有許可，請參閱使用 CloudWatch 主控台所需的許可。

若要為您的 CloudWatch 資源建立自訂政策，請依照下列步驟執行：

1.    開啟 IAM 主控台。

2.    選擇 Policies (政策)，然後選擇 Create Policy (建立政策)。

3.    選擇 JSON，然後使用此結構建立自訂政策：

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Description_1”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        {
            "Sid": "Description_2”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        .
        .
        .
        .
        {
            "Sid": "Description_n”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        }
    ]
}

注意：CloudWatch 不支援以資源為基礎的政策。因此，沒有可在 IAM 政策中使用的 CloudWatch ARN。撰寫政策來控制 CloudWatch 動作的存取權時，可以使用「*」作為資源。

4.    或者，將標籤新增至您的政策。

5.    選擇 review the policy (檢閱政策)，然後輸入政策的名稱和說明。例如 CWPermissions。

6.    選擇 Create Policy (建立政策)。

將自訂政策連接到 IAM 使用者

若要將您建立的自訂政策連接到 IAM 使用者，請依照下列步驟執行：

1.    開啟 IAM 主控台。

2.    在導覽窗格中，選擇 Users (使用者)。

3.    選擇您要新增許可的使用者，然後選擇 Add permissions (新增許可)。

4.    選擇 Attach existing policies directly (直接連接現有政策)，然後選擇您建立的自訂 CloudWatch 政策。

5.    選擇 Next: Review (下一步：檢閱)，然後選擇 Add permissions (新增許可)。

此範例政策可讓使用者在 CloudWatch 中建立並視覺化提醒：

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:EnableAlarmActions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": "*"
        },
        {
            "Sid": "visualizeAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListMetrics"
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

注意：

• 您可以使用條件金鑰來限制對 CloudWatch 命名空間的存取。如需詳細資訊，請參閱使用條件金鑰限制對 CloudWatch 命名空間的存取。
• 如果您想要限制使用者提取 CloudWatch 指標，請將 GetMetricData 取代為 PutMetricData。

---

相關資訊

將以身分為基礎的政策 (IAM 政策) 用於 CloudWatch