Gestion de l’accès aux sources de données - Amazon CloudWatch

Gestion de l’accès aux sources de données

CloudWatch utilise CloudFormation pour créer les ressources requises dans votre compte. Nous vous recommandons d’utiliser cette condition cloudformation:TemplateUrl pour contrôler l’accès aux modèles CloudFormation lorsque vous accordez des autorisations CreateStack aux utilisateurs IAM.

Avertissement

Tout utilisateur auquel vous accordez l’autorisation d’invoquer une source de données peut interroger les métriques de cette source de données même s’il ne dispose pas d’autorisations IAM directes sur la source de données. Par exemple, si vous accordez des autorisations lambda:InvokeFunction sur une fonction Lambda de la source de données Amazon Managed Service for Prometheus à un utilisateur, celui-ci pourra interroger les métriques de l’espace de travail Amazon Managed Service for Prometheus correspondant, même si vous ne lui avez pas accordé un accès IAM direct à cet espace de travail.

Vous trouverez des modèles d’URL pour les sources de données sur la page Créer une pile de la console de paramètres CloudWatch.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}

Pour plus d’informations sur le contrôle de l’accès à CloudFormation, veuillez consulter la rubrique Contrôle de l’accès avec AWS Identity and Access Management.