如何限制对 CloudWatch 控制台的访问?

2 分钟阅读
0

我想通过允许特定用户对 CloudWatch 资源执行特定操作来限制对 Amazon CloudWatch 控制台的访问。我该如何操作?

简短描述

如果您是 AWS 账户的管理员,则可以使用基于身份的策略向 AWS Identity and Access Management(IAM)实体(用户、组或角色)附加权限。这些基于身份的策略可以向您的 IAM 实体授予对 CloudWatch 资源执行操作所需的权限。为此,请执行以下操作:

  • 使用 IAM 控制台为 CloudWatch 资源创建自定义读写策略
  • 将策略附加到 IAM 用户

解决方法

为 CloudWatch 资源创建自定义策略

**注意:**要查看使用 CloudWatch 所需的所有权限,请参阅使用 CloudWatch 控制台所需的权限

要为您的 CloudWatch 资源创建自定义策略,请执行以下步骤:

1.    打开 IAM 控制台

2.    依次选择 Policies(策略)和 Create Policy(创建策略)。

3.    选择 JSON,然后使用以下结构创建自定义策略:

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Description_1”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        {
            "Sid": "Description_2”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        },
        .
        .
        .
        .
        {
            "Sid": "Description_n”, 
            "Effect": "Allow",
            "Action": [premissions required],
            "Resource": "*"
        }
    ]
}

注意:CloudWatch 不支持基于资源的策略。因此,您无法在 IAM 策略中使用任何 CloudWatch ARN。在编写策略以控制对 CloudWatch 操作的访问权限时,您可以使用“*”作为资源。

4.    可以选择向策略添加标签。

5.    选择 review the policy(查看策略),然后输入策略的名称和描述。例如,CWPermissions。

6.    选择 Create Policy(创建策略)。

向 IAM 用户附加自定义策略

要将您创建的自定义策略附加到 IAM 用户,请执行以下步骤:

1.    打开 IAM 控制台

2.    在导航窗格中,选择 Users(用户)。

3.    选择要向其添加权限的用户,然后选择 Add permissions(添加权限)。

4.    选择 Attach existing policies directly(直接附加现有策略),然后选择您创建的自定义 CloudWatch 策略。

5.    选择 Next: Review(下一步:查看),然后选择 Add permissions(添加权限)。

此示例策略允许用户在 CloudWatch 中创建和显示提示:

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:EnableAlarmActions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": "*"
        },
        {
            "Sid": "visualizeAlarms",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:ListMetrics"
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

注意


相关信息

为 CloudWatch 使用基于身份的策略(IAM 策略)

AWS 官方
AWS 官方已更新 2 年前