CloudWatch-Dashboards freigeben - Amazon CloudWatch
Für die Freigabe eines Dashboards erforderliche BerechtigungenBerechtigungen, die Personen erteilt werden, für die Sie das Dashboard freigebenZulassen, dass Personen, mit denen Sie Inhalte teilen, zusammengesetzte Alarme sehenZulassen von Benutzern, für die Sie freigeben, zum Anzeigen von ProtokolltabellenwidgetsErlauben von Benutzern, für die Sie freigeben, dass benutzerdefinierte Widgets angezeigt werden

CloudWatch-Dashboards freigeben

Sie können Ihre CloudWatch-Dashboards für Personen freigeben, die keinen direkten Zugriff auf Ihr AWS-Konto haben. Auf diese Weise können Sie Dashboards für Teams, für Stakeholder und für Personen außerhalb Ihrer Organisation freigeben. Sie können Dashboards sogar auf großen Bildschirmen in Teambereichen anzeigen oder in Wikis und anderen Webseiten einbetten.

Warnung

Alle Personen, für die Sie das Dashboard freigeben, erhalten die Berechtigungen, die unter Berechtigungen, die Personen erteilt werden, für die Sie das Dashboard freigeben für das Konto aufgelistet sind. Wenn Sie das Dashboard öffentlich freigeben, hat jeder, der über den Link zum Dashboard verfügt, diese Berechtigungen.

Die cloudwatch:GetMetricData- und ec2:DescribeTags-Berechtigungen können nicht auf bestimmte Metriken oder EC2-Instances beschränkt werden, sodass Personen mit Zugriff auf das Dashboard alle CloudWatch-Metriken sowie die Namen und Tags aller EC2-Instances im Konto abfragen können.

Wenn Sie Dashboards freigeben, können Sie auf drei Arten festlegen, wer das Dashboard anzeigen kann:

  • Teilen Sie ein einzelnes Dashboard und geben Sie maximal fünf E-Mail-Adressen der Personen an, die das Dashboard anzeigen können. Jeder dieser Benutzer erstellt sein eigenes Kennwort, das er eingeben muss, um das Dashboard anzuzeigen.

  • Teilen Sie ein einzelnes Dashboard öffentlich, damit jeder, der über den Link verfügt, das Dashboard anzeigen kann.

  • Geben Sie alle CloudWatch-Dashboards in Ihrem Konto frei, und geben Sie einen Drittanbieter für Single Sign-On (SSO) für den Dashboard-Zugriff an. Alle Benutzer, die Mitglieder der Liste dieses SSO-Anbieters sind, können auf alle Dashboards im Konto zugreifen. Um dies zu ermöglichen, integrieren Sie den SSO-Anbieter in Amazon Cognito. Der SSO-Anbieter muss Security Assertion Markup Language (SAML) unterstützen. Weitere Informationen zu Amazon Cognito erhalten Sie unter Was ist Amazon Cognito?.

Für die gemeinsame Nutzung eines Dashboards fallen keine Gebühren an, aber für Widgets in einem freigegebenen Dashboard fallen Gebühren zu den CloudWatch-Standard-Raten an. Weitere Informationen zur Preisgestaltung von CloudWatch finden Sie unter Amazon CloudWatch – Preise.

Wenn Sie ein Dashboard freigeben, werden Amazon-Cognito-Ressourcen in der Region USA Ost (Nord-Virginia) erstellt.

Wichtig

Ändern Sie keine Ressourcennamen und -identifikatoren, die durch den Prozess der Dashboardfreigabe erstellt wurden. Dazu gehören Amazon-Cognito- und IAM-Ressourcen. Das Ändern dieser Ressourcen kann zu unerwarteten und fehlerhaften Funktionen der gemeinsamen Dashboards führen.

Anmerkung

Wenn Sie ein Dashboard mit Metrik-Widgets mit Alarmanmerkungen freigeben, sehen die Personen, mit denen Sie das Dashboard freigeben, diese Widgets nicht. Stattdessen wird ein leeres Widget mit Text angezeigt, das besagt, dass das Widget nicht verfügbar ist. Sie werden weiterhin Metrik-Widgets mit Alarmanmerkungen sehen, wenn Sie das Dashboard selbst anzeigen.

Für die Freigabe eines Dashboards erforderliche Berechtigungen

Um Dashboards mit einer der folgenden Methoden freigeben zu können und um zu sehen, welche Dashboards bereits freigegeben wurden, müssen Sie als Benutzer oder mit einer IAM-Rolle angemeldet sein, die über bestimmte Berechtigungen verfügt.

Um Dashboards freigeben zu können, muss Ihr Benutzer oder Ihre IAM-Rolle über die Berechtigungen verfügen, die in der folgenden Richtlinie aufgeführt sind:

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:PassRole"
    ],
    "Resource": [
        "arn:aws:iam::*:role/service-role/CWDBSharing*",
        "arn:aws:iam::*:policy/*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*",
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:GetDashboard",
    ],
    "Resource": [
        "*"
        // or the ARNs of dashboards that you want to share
    ]
}

Um sehen zu können, welche Dashboards freigegeben sind, aber keine Dashboards freigeben können, kann ein Benutzer oder eine IAM-Rolle eine Richtlinie wie die folgende enthalten:

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*"
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:ListDashboards",
    ],
    "Resource": [
        "*" 
    ]
}

Berechtigungen, die Personen erteilt werden, für die Sie das Dashboard freigeben

Wenn Sie ein Dashboard freigeben, erstellt CloudWatch eine IAM-Rolle im Konto, die den Personen, für die Sie das Dashboard freigeben, folgende Berechtigungen erteilt:

  • cloudwatch:GetInsightRuleReport

  • cloudwatch:GetMetricData

  • cloudwatch:DescribeAlarms

  • ec2:DescribeTags

Warnung

Allen Personen, mit denen Sie das Dashboard teilen, werden diese Berechtigungen für das Konto erteilt. Wenn Sie das Dashboard öffentlich freigeben, hat jeder, der über den Link zum Dashboard verfügt, diese Berechtigungen.

Die cloudwatch:GetMetricData- und ec2:DescribeTags-Berechtigungen können nicht auf bestimmte Metriken oder EC2-Instances beschränkt werden, sodass Personen mit Zugriff auf das Dashboard alle CloudWatch-Metriken sowie die Namen und Tags aller EC2-Instances im Konto abfragen können.

Wenn Sie ein Dashboard freigeben, beschränken die von CloudWatch erstellten Berechtigungen standardmäßig den Zugriff auf die Alarme und Contributor-Insights-Regeln, die sich auf dem Dashboard befinden, wenn es freigegeben wird. Wenn Sie dem Dashboard neue Alarme oder Contributor-Insights-Regeln hinzufügen und diese auch von den Personen angezeigt werden sollen, für die Sie das Dashboard freigegeben haben, müssen Sie die Richtlinie aktualisieren, um diese Ressourcen zuzulassen.

Zulassen, dass Personen, mit denen Sie Inhalte teilen, zusammengesetzte Alarme sehen

Wenn Sie ein Dashboard freigeben, sind die zusammengesetzten Alarm-Widgets auf dem Dashboard standardmäßig nicht für die Personen sichtbar, für die Sie das Dashboard freigeben. Damit zusammengesetzte Alarm-Widgets sichtbar sind, müssen Sie der Dashboard-Freigaberichtlinie eine DescribeAlarms: *-Berechtigung hinzufügen. Diese Berechtigung würde wie folgt aussehen:

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
}
Warnung

Die vorhergehende Richtlinienanweisung gewährt Zugriff auf alle Alarme im Konto. Um den Gültigkeitsbereich von cloudwatch:DescribeAlarms zu reduzieren, müssen Sie eine Deny-Anweisung verwenden. Sie können der Richtlinie eine Deny-Anweisung hinzufügen und die ARNs der Alarme angeben, die Sie sperren möchten. Diese Zugriffsverweigerungs-Anweisung sollte folgendermaßen oder ähnlich aussehen:

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
},
{   
    "Effect": "Deny",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "SensitiveAlarm1ARN",
        "SensitiveAlarm1ARN"
    ]
}

Zulassen von Benutzern, für die Sie freigeben, zum Anzeigen von Protokolltabellenwidgets

Wenn Sie ein Dashboard freigeben, sind die CloudWatch-Logs-Insights-Widgets, die sich auf dem Dashboard befinden, standardmäßig für die Personen, für die Sie das Dashboard freigeben, nicht sichtbar. Dies betrifft sowohl CloudWatch-Logs-Insights-Widgets, die jetzt vorhanden sind, als auch alle, die dem Dashboard hinzugefügt werden, nachdem Sie es freigegeben haben.

Wenn Sie möchten, dass diese Benutzer CloudWatch-Logs-Widgets anzeigen können, müssen Sie der IAM-Rolle Berechtigungen für die Dashboard-Freigabe hinzufügen.

So lassen Sie den Personen, für die Sie ein Dashboard freigeben, die CloudWatch-Logs-Widgets anzeigen

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Dashboards aus.

  3. Wählen Sie den Namen des freigegebenen Dashboards aus.

  4. Klicken Sie auf Aktionen,Freigeben von Dashboards.

  5. Wählen Sie unter Ressourcen die Option IAM-Rolle aus.

  6. Wählen Sie in der IAM-Konsole die angezeigte Richtlinie aus.

  7. Wählen Sie Richtlinie bearbeiten und fügen Sie die folgende Anweisung hinzu. Es wird empfohlen, in der neuen Anweisung nur die ARNs der Protokollgruppen anzugeben, die freigegeben werden sollen. Sehen Sie sich das folgende Beispiel an.

    {
            "Effect": "Allow",
            "Action": [
                "logs:FilterLogEvents",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetLogRecord",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "SharedLogGroup1ARN",
                "SharedLogGroup2ARN"
           ]
        },

  8. Wählen Sie Save Changes.

Wenn Ihre IAM-Richtlinie für die Dashboard-Freigabe bereits diese fünf Berechtigungen mit * als Ressource enthält, empfehlen wir Ihnen dringend, die Richtlinie zu ändern und nur die ARNs der Protokollgruppen anzugeben, die freigegeben werden sollen. Wenn Ihr Resource-Abschnitt für diese Berechtigungen beispielsweise wie folgt lautet:

"Resource": "*"

Ändern Sie die Richtlinie, um nur die ARNs der Protokollgruppen anzugeben, die freigegeben werden sollen, wie im folgenden Beispiel gezeigt:

"Resource": [
  "SharedLogGroup1ARN",
  "SharedLogGroup2ARN"
]

Erlauben von Benutzern, für die Sie freigeben, dass benutzerdefinierte Widgets angezeigt werden

Wenn Sie ein Dashboard freigeben, sind die benutzerdefinierten Widgets, die sich auf dem Dashboard befinden, standardmäßig für die Personen, für die Sie das Dashboard freigeben, nicht sichtbar. Dies betrifft sowohl benutzerdefinierte Widgets, die jetzt vorhanden sind, als auch alle, die dem Dashboard hinzugefügt werden, nachdem Sie es freigegeben haben.

Wenn diese Personen benutzerdefinierte Widgets anzeigen können, müssen Sie der IAM-Rolle Berechtigungen für die Dashboard-Freigabe hinzufügen.

So lassen Sie den Personen, für die Sie ein Dashboard freigeben, die benutzerdefinierten Widgets anzeigen

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Dashboards aus.

  3. Wählen Sie den Namen des freigegebenen Dashboards aus.

  4. Klicken Sie auf Aktionen,Freigeben von Dashboards.

  5. Wählen Sie unter Ressourcen die Option IAM-Rolle aus.

  6. Wählen Sie in der IAM-Konsole die angezeigte Richtlinie aus.

  7. Wählen Sie Richtlinie bearbeiten und fügen Sie die folgende Anweisung hinzu. In der neuen Anweisung wird empfohlen, die ARNs nur der Lambda-Funktionen anzugeben, die freigegeben werden sollen. Sehen Sie sich das folgende Beispiel an.

    {
  "Sid": "Invoke",
  "Effect": "Allow",
  "Action": [
      "lambda:InvokeFunction"
  ],
  "Resource": [
    "LambdaFunction1ARN",
    "LambdaFunction2ARN"
  ]
 }

  8. Wählen Sie Save Changes.

Wenn Ihre IAM-Richtlinie für die Dashboard-Freigabe diese Berechtigung bereits mit * als Ressource enthält, empfehlen wir Ihnen dringend, die Richtlinie zu ändern und nur die ARNs der Lambda-Funktionen anzugeben, die freigegeben werden sollen. Wenn Ihr Resource-Abschnitt für diese Berechtigungen beispielsweise wie folgt lautet:

"Resource": "*"

Ändern Sie die Richtlinie, um nur die ARNs der benutzerdefinierten Widgets anzugeben, die freigegeben werden sollen, wie im folgenden Beispiel gezeigt:

"Resource": [
  "LambdaFunction1ARN",
  "LambdaFunction2ARN"
]