Gestione dell'accesso alle origini dati - Amazon CloudWatch

Gestione dell'accesso alle origini dati

CloudWatch utilizza CloudFormation per creare le risorse necessarie nel tuo account. Ti consigliamo di utilizzare la condizione cloudformation:TemplateUrl per controllare l'accesso ai modelli CloudFormation quando concedi le autorizzazioni CreateStack agli utenti IAM.

avvertimento

Qualsiasi utente a cui concedi l'autorizzazione per richiamare l'origine dati può interrogare i parametri di tale origine di dati anche se non dispone delle autorizzazioni IAM dirette per quest'ultima. Ad esempio, se concedi le autorizzazioni lambda:InvokeFunction per una funzione Lambda dell'origine dati Amazon Managed Service per Prometheus a un utente, quell'utente sarà in grado di eseguire query sui parametri dall'area di lavoro Amazon Managed Service per Prometheus corrispondente anche se non gli hai concesso l'accesso IAM diretto a quell'area di lavoro.

Puoi trovare gli URL dei modelli per le origini dati nella pagina Crea stack nella console delle impostazioni di CloudWatch.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}

Per ulteriori informazioni sul controllo degli accessi CloudFormation, consulta Controllo degli accessi con AWS Identity and Access Management.