我想限制 Amazon CloudWatch 主控台的存取權,因此只有特定使用者可以對 CloudWatch 資源執行特定動作。
簡短說明
如果您是 AWS 帳戶的管理員,請使用身分型政策將權限附加到 AWS Identity and Access Management (IAM) 實體。身分型政策會向您的 IAM 實體授予在 CloudWatch 資源上執行操作的必要權限。
若要檢視您可與 CloudWatch 搭配使用的所有權限,請參閱使用 CloudWatch 主控台所需的權限。
解決方法
為 CloudWatch 資源建立自訂政策
請完成下列步驟:
- 開啟 IAM 主控台。
- 選擇政策。
- 選擇建立政策。
- 選擇 JSON。
- 建立自訂策略。
範例政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Description_1",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
},
{
"Sid": "Description_2",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
},
.
.
.
.
{
"Sid": "Description_n",
"Effect": "Allow",
"Action": [permissions required],
"Resource": "*"
}
]
}
**注意:由於 CloudWatch 不支援資源型政策,因此您無法將 CloudWatch ARN 用於 IAM 政策中。撰寫政策來控制 CloudWatch 動作的存取權時,請使用「*」**作為資源。
- (選用) 將標籤新增至您的政策。
- 選擇檢閱政策。
- 輸入政策名稱和說明,例如 CWPermissions。
- 選擇建立政策。
將自訂政策附加至 IAM 使用者
請完成下列步驟:
- 開啟 IAM 主控台。
- 在導覽窗格中,選擇使用者。
- 選取您要新增權限的使用者。
- 選擇新增權限。
- 選擇直接附加現有政策。
- 選取自訂的 CloudWatch 政策。
- 選擇下一步: 檢閱。
- 選擇新增權限。
以下範例政策可讓使用者在 CloudWatch 中建立和視覺化警示:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:EnableAlarmActions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DisableAlarmActions",
"cloudwatch:DescribeAlarms",
"cloudwatch:SetAlarmState"
],
"Resource": "*"
},
{
"Sid": "visualizeAlarms",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:ListMetrics"
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
注意:
- 若要限制 CloudWatch 命名空間的存取權,請使用條件鍵。
- 若要限制使用者對 CloudWatch 指標的存取權,請使用 PutMetricData,而不是 GetPutMetricData。