如何限制對 CloudWatch 主控台的存取權?

1 分的閱讀內容
0

我想限制 Amazon CloudWatch 主控台的存取權,因此只有特定使用者可以對 CloudWatch 資源執行特定動作。

簡短說明

如果您是 AWS 帳戶的管理員,請使用身分型政策將權限附加到 AWS Identity and Access Management (IAM) 實體。身分型政策會向您的 IAM 實體授予在 CloudWatch 資源上執行操作的必要權限。

若要檢視您可與 CloudWatch 搭配使用的所有權限,請參閱使用 CloudWatch 主控台所需的權限

解決方法

為 CloudWatch 資源建立自訂政策

請完成下列步驟:

  1. 開啟 IAM 主控台
  2. 選擇政策
  3. 選擇建立政策
  4. 選擇 JSON
  5. 建立自訂策略。
    範例政策:
    {    
        "Version": "2012-10-17",  
        "Statement": [  
            {  
                "Sid": "Description_1",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            },  
            {  
                "Sid": "Description_2",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            },  
            .  
            .  
            .  
            .  
            {  
                "Sid": "Description_n",   
                "Effect": "Allow",  
                "Action": [permissions required],  
                "Resource": "*"  
            }  
        ]  
    }
    **注意:由於 CloudWatch 不支援資源型政策,因此您無法將 CloudWatch ARN 用於 IAM 政策中。撰寫政策來控制 CloudWatch 動作的存取權時,請使用「*」**作為資源。
  6. (選用) 將標籤新增至您的政策。
  7. 選擇檢閱政策
  8. 輸入政策名稱和說明,例如 CWPermissions。
  9. 選擇建立政策

將自訂政策附加至 IAM 使用者

請完成下列步驟:

  1. 開啟 IAM 主控台
  2. 在導覽窗格中,選擇使用者
  3. 選取您要新增權限的使用者。
  4. 選擇新增權限
  5. 選擇直接附加現有政策
  6. 選取自訂的 CloudWatch 政策。
  7. 選擇下一步: 檢閱
  8. 選擇新增權限

以下範例政策可讓使用者在 CloudWatch 中建立和視覺化警示:

{  
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Sid": "CreateAlarms",  
            "Effect": "Allow",  
            "Action": [  
                "cloudwatch:PutMetricAlarm",  
                "cloudwatch:DescribeAlarmHistory",  
                "cloudwatch:EnableAlarmActions",  
                "cloudwatch:DeleteAlarms",  
                "cloudwatch:DisableAlarmActions",  
                "cloudwatch:DescribeAlarms",  
                "cloudwatch:SetAlarmState"  
            ],  
            "Resource": "*"  
        },  
        {  
            "Sid": "visualizeAlarms",  
            "Effect": "Allow",  
            "Action": [  
                "cloudwatch:DescribeAlarmsForMetric",  
                "cloudwatch:ListMetrics"  
                "cloudwatch:GetMetricData"  
            ],  
            "Resource": "*"  
        }  
    ]  
}

注意

  • 若要限制 CloudWatch 命名空間的存取權,請使用條件鍵
  • 若要限制使用者對 CloudWatch 指標的存取權,請使用 PutMetricData,而不是 GetPutMetricData
AWS 官方
AWS 官方已更新 4 個月前