Wie schränke ich den Zugriff auf die CloudWatch-Konsole ein?
Ich möchte den Zugriff auf die Amazon CloudWatch-Konsole einschränken, indem ich bestimmten Benutzern die Möglichkeit gebe, bestimmte Aktionen für CloudWatch-Ressourcen durchzuführen. Wie kann ich vorgehen?
Kurzbeschreibung
Wenn Sie der Administrator Ihres AWS-Kontos sind, können Sie identitätsbasierte Richtlinien verwenden, um Berechtigungen für AWS Identity and Access Management (IAM)-Entitäten (Benutzer, Gruppen oder Rollen) zuzuweisen. Diese identitätsbasierten Richtlinien können Ihren IAM-Entitäten die Berechtigungen geben, die sie benötigen, um Vorgänge mit CloudWatch-Ressourcen durchzuführen. Gehen Sie dazu wie folgt vor:
- Erstellen Sie eine benutzerdefinierte Lese- und Schreibrechtlinie für CloudWatch-Ressourcen mithilfe der IAM-Konsole
- Ordnen Sie die Richtlinie einem IAM-Benutzer zu
Auflösung
Erstellen Sie eine benutzerdefinierte Richtlinie für CloudWatch-Ressourcen
Hinweis: Informationen zum Anzeigen aller Berechtigungen, die Sie für die Arbeit mit CloudWatch benötigen, finden Sie unter Erforderliche Berechtigungen für die Verwendung der CloudWatch-Konsole.
Gehen Sie folgendermaßen vor, um eine benutzerdefinierte Richtlinie für Ihre CloudWatch-Ressourcen zu erstellen:
1. Öffnen Sie die IAM-Konsole.
2. Wählen Sie Richtlinien und dann Richtlinie erstellen aus.
3. Wählen Sie JSON und erstellen Sie eine benutzerdefinierte Richtlinie mit dieser Struktur:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Description_1”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" }, { "Sid": "Description_2”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" }, . . . . { "Sid": "Description_n”, "Effect": "Allow", "Action": [premissions required], "Resource": "*" } ] }
Hinweis: CloudWatch unterstützt keine ressourcenbasierten Richtlinien. Es gibt also keine CloudWatch-ARNs, die Sie in einer IAM-Richtlinie verwenden können. Sie können „*“ als Ressource verwenden, wenn Sie eine Richtlinie schreiben, um den Zugriff auf CloudWatch-Aktionen zu steuern.
4. Fügen Sie Ihrer Richtlinie optional ein Tag hinzu.
5. Wählen Sie Richtlinie überprüfen aus und geben Sie einen Namen und eine Beschreibung für Ihre Richtlinie ein. Zum Beispiel CWPermissions.
6. Wählen Sie Richtlinie erstellen aus.
Anhängen einer benutzerdefinierten Richtlinie an einen IAM-Benutzer
Gehen Sie folgendermaßen vor, um die benutzerdefinierte Richtlinie, die Sie erstellt haben, an einen IAM-Benutzer anzuhängen:
1. Öffnen Sie die IAM-Konsole.
2. Wählen Sie im Navigationsbereich Benutzer aus.
3. Wählen Sie den Benutzer aus, dem Sie Berechtigungen hinzufügen möchten, und wählen Sie dann Berechtigungen hinzufügen aus.
4. Wählen Sie Vorhandene Richtlinien direkt anhängen und dann die benutzerdefinierte CloudWatch-Richtlinie aus, die Sie erstellt haben.
5. Wählen Sie Nächster Schritt: Überprüfung und dann Berechtigungen hinzufügen aus.
Diese Beispielrichtlinie ermöglicht Benutzern das Erstellen und Visualisieren von Warnmeldungen in CloudWatch:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAlarms", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarmHistory", "cloudwatch:EnableAlarmActions", "cloudwatch:DeleteAlarms", "cloudwatch:DisableAlarmActions", "cloudwatch:DescribeAlarms", "cloudwatch:SetAlarmState" ], "Resource": "*" }, { "Sid": "visualizeAlarms", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:ListMetrics" "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
Hinweis:
- Sie können Bedingungsschlüssel verwenden, um den Zugriff auf CloudWatch-Namespaces einzuschränken. Weitere Informationen finden Sie unter Verwenden von Bedingungsschlüsseln, um den Zugriff auf CloudWatch-Namespaces einzuschränken.
- Wenn Sie verhindern möchten, dass Benutzer CloudWatch-Metriken abrufen, ersetzen Sie GetMetricData durch PutMetricData.
Relevante Informationen
Identitätsbasierte Richtlinien (IAM-Richtlinien) für CloudWatch verwenden
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr