Verwalten des Zugriffs auf Datenquellen - Amazon CloudWatch

Verwalten des Zugriffs auf Datenquellen

CloudWatch verwendet CloudFormation, um die erforderlichen Ressourcen in Ihrem Konto zu erstellen. Wir empfehlen, dass Sie die cloudformation:TemplateUrl-Bedingung verwenden, um den Zugriff auf CloudFormation-Vorlagen zu kontrollieren, wenn Sie IAM-Benutzern CreateStack-Berechtigungen erteilen.

Warnung

Jeder Benutzer, dem Sie die Berechtigung zum Aufrufen von Datenquellen erteilen, kann Metriken aus dieser Datenquelle abfragen, auch wenn dieser Benutzer keine direkten IAM-Berechtigungen für die Datenquelle besitzt. Wenn Sie beispielsweise einem Benutzer lambda:InvokeFunction-Berechtigungen für eine Lambda-Funktion der Datenquelle Amazon Managed Service für Prometheus gewähren, kann dieser Benutzer Metriken aus dem entsprechenden Workspace von Amazon Managed Service für Prometheus abfragen, auch wenn Sie ihm keinen direkten IAM-Zugriff auf diesen Workspace gewährt haben.

Vorlagen-URLs für Datenquellen finden Sie auf der Seite Stack erstellen in der CloudWatch-Einstellungskonsole.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}

Weitere Informationen über das Steuern des Zugriffs auf CloudFormation finden Sie unter Steuern des Zugriffs mit AWS Identity and Access Management.