¿Cómo puedo restringir el acceso a la consola de CloudWatch?

3 minutos de lectura
0

Quiero restringir el acceso a la consola de Amazon CloudWatch para que solo usuarios específicos puedan realizar acciones específicas en los recursos de CloudWatch.

Breve descripción

Si es el administrador de su cuenta de AWS, utilice políticas basadas en la identidad para adjuntar permisos a las entidades de AWS Identity and Access Management (IAM). Las políticas basadas en la identidad dan a las entidades de IAM los permisos necesarios para realizar operaciones en los recursos de CloudWatch.

Para ver todos los permisos que puede usar con CloudWatch, consulte Permisos necesarios para usar la CloudWatch consola.

Resolución

Crear una política personalizada para los recursos de CloudWatch

Siga estos pasos:

  1. Abra la consola de IAM.
  2. Elija Políticas.
  3. Seleccione Crear política.
  4. Elija JSON.
  5. Cree una política personalizada.
    Ejemplo de política:
    {    
        "Version": "2012-10-17",  
        "Statement": [  
            {  
                "Sid": "Description_1",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            },  
            {  
                "Sid": "Description_2",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            },  
            .  
            .  
            .  
            .  
            {  
                "Sid": "Description_n",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            }  
        ]  
    }
    Nota: Como CloudWatch no admite políticas basadas en recursos, no puede usar los ARN de CloudWatch en una política de IAM. Cuando escriba una política para controlar el acceso a las acciones de CloudWatch, utilice «*» como recurso.
  6. (Opcional) Agregar una etiqueta a la política.
  7. Elija review the policy.
  8. Introduzca un nombre y una descripción para la política, por ejemplo, CWPermissions.
  9. Seleccione Crear política.

Asociar una política personalizada a un usuario de IAM

Siga estos pasos:

  1. Abra la consola de IAM.
  2. En el panel de navegación, seleccione Usuarios.
  3. Seleccione el usuario al que desea añadir permisos.
  4. Elija Agregar permisos.
  5. Elija Attach existing policies directly.
  6. Seleccione la política de CloudWatch personalizada.
  7. Elija Next: Review.
  8. Elija Agregar permisos.

El siguiente ejemplo de política permite a los usuarios crear y visualizar alertas en CloudWatch:

{  
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Sid": "CreateAlarms",  
            "Effect": "Allow",  
            "Action": [  
                "cloudwatch:PutMetricAlarm",  
                "cloudwatch:DescribeAlarmHistory",  
                "cloudwatch:EnableAlarmActions",  
                "cloudwatch:DeleteAlarms",  
                "cloudwatch:DisableAlarmActions",  
                "cloudwatch:DescribeAlarms",  
                "cloudwatch:SetAlarmState"  
            ],  
            "Resource": "*"  
        },  
        {  
            "Sid": "visualizeAlarms",  
            "Effect": "Allow",  
            "Action": [  
                "cloudwatch:DescribeAlarmsForMetric",  
                "cloudwatch:ListMetrics"  
                "cloudwatch:GetMetricData"  
            ],  
            "Resource": "*"  
        }  
    ]  
}

Nota:

  • Para limitar el acceso a los espacios de nombres de CloudWatch, utilice claves de condición.
  • Para restringir el acceso de los usuarios a las métricas de CloudWatch, utilice PutMetricData en lugar de GetPutMetricData.
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 4 meses