특정 사용자만 CloudWatch 리소스에서 특정 작업을 수행할 수 있도록 Amazon CloudWatch 콘솔에 대한 액세스를 제한하고 싶습니다.
간략한 설명
AWS 계정의 관리자인 경우 ID 기반 정책을 사용하여 AWS Identity and Access Management(IAM) 엔티티에 권한을 연결하세요. ID 기반 정책은 CloudWatch 리소스에서 작업을 수행하는 데 필요한 권한을 IAM 엔티티에 부여합니다.
CloudWatch에서 사용할 수 있는 모든 권한을 보려면 CloudWatch 콘솔을 사용하는 데 필요한 권한을 참조하세요.
해결 방법
CloudWatch 리소스에 대한 사용자 지정 정책 만들기
다음 단계를 완료합니다.
- IAM 콘솔을 엽니다.
- 정책을 선택합니다.
- 정책 생성을 선택합니다.
- JSON을 선택합니다.
- 사용자 지정 정책을 생성합니다.
정책 예시:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Description_1",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
},
{
"Sid": "Description_2",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
},
.
.
.
.
{
"Sid": "Description_n",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
}
]
}
참고: CloudWatch는 리소스 기반 정책을 지원하지 않으므로 IAM 정책에서 CloudWatch ARN을 사용할 수 없습니다. CloudWatch 작업에 대한 액세스를 제어하는 정책을 작성할 때는 **“*”**를 리소스로 사용하세요.
- (선택 사항) 정책에 태그를 추가합니다.
- 정책 검토를 선택합니다.
- 정책의 이름과 설명(예: CWPermissions)을 입력합니다.
- 정책 생성을 선택합니다.
IAM 사용자에게 사용자 지정 정책 연결
다음 단계를 완료합니다.
- IAM 콘솔을 엽니다.
- 탐색 창에서 사용자를 선택합니다.
- 권한을 추가하려는 사용자를 선택합니다.
- 권한 추가를 선택합니다.
- 기존 정책 직접 연결을 선택합니다.
- 사용자 지정 CloudWatch 정책을 선택합니다.
- 다음: 검토를 선택합니다.
- 권한 추가를 선택합니다.
다음 예제 정책은 사용자가 CloudWatch에서 알림을 생성하고 시각화할 수 있도록 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:EnableAlarmActions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DisableAlarmActions",
"cloudwatch:DescribeAlarms",
"cloudwatch:SetAlarmState"
],
"Resource": "*"
},
{
"Sid": "visualizeAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:ListMetrics"
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
참고:
- CloudWatch 네임스페이스에 대한 액세스를 제한하려면 조건 키를 사용합니다.
- CloudWatch 지표에 대한 사용자 액세스를 제한하려면 GetPutMetricData 대신 PutMetricData를 사용하세요.