Condivisione dei pannelli di controllo CloudWatch

Autorizzazioni necessarie per condividere un pannello di controllo Autorizzazioni concesse agli utenti con cui condividi il pannello di controllo Consentire alle persone con cui condividi di vedere allarmi compositi Consentire alle persone con cui condividi di visualizzare i widget della tabella dei log Consentire alle persone con cui condividi di visualizzare i widget personalizzati

Puoi condividere i pannelli di controllo CloudWatch con persone che non hanno accesso diretto al tuo account AWS. In questo modo puoi condividere pannelli di controllo tra i team, con le parti interessate e con persone esterne all'organizzazione. Puoi anche visualizzare pannelli di controllo su grandi schermi nelle aree del team, o incorporarli in pagine Wiki e altre pagine Web.

avvertimento

A tutte le persone con cui condividi il pannello di controllo vengono concesse le autorizzazioni elencate in Autorizzazioni concesse agli utenti con cui condividi il pannello di controllo per l'account. Se condividi pubblicamente il pannello di controllo, tutti coloro che dispongono del collegamento al pannello di controllo dispongono di queste autorizzazioni.

Le autorizzazioni cloudwatch:GetMetricData e ec2:DescribeTags non possono essere applicate a parametri specifici o istanze EC2, pertanto le persone con accesso al pannello di controllo possono eseguire query su tutti i parametri CloudWatch e sui nomi e tag di tutte le istanze EC2 nell'account.

Quando si condividono pannelli di controllo, è possibile specificare chi può visualizzare il pannello di controllo in tre modi:

Condividi un singolo pannello di controllo e designa fino a cinque indirizzi e-mail di persone che possono visualizzare il pannello di controllo. Ognuno di questi utenti crea la propria password che deve immettere per visualizzare il pannello di controllo.
Condividi pubblicamente un singolo pannello di controllo, in modo che chiunque disponga del collegamento possa visualizzarlo.
Condividi tutti i pannelli di controllo CloudWatch nel tuo account e specifica un provider Single Sign-On (SSO) di terze parti per l'accesso al pannello di controllo. Tutti gli utenti membri dell'elenco di questo provider SSO possono accedere a tutti i pannelli di controllo dell'account. Per abilitarlo, integra il provider SSO con Amazon Cognito. Il provider SSO deve supportare Security Assertion Markup Language (SAML). Per ulteriori informazioni su Amazon Cognito, consulta Che cos'è Amazon Cognito?

La condivisione di un pannello di controllo non comporta costi, ma i widget all'interno di un pannello di controllo condiviso prevedono addebiti secondo le tariffe CloudWatch standard. Per ulteriori informazioni sui prezzi di CloudWatch, consulta Prezzi di Amazon CloudWatch.

Quando condividi un pannello di controllo, le risorse di Amazon Cognito vengono create nella Regione Stati Uniti orientali (Virginia settentrionale).

Importante

Non modificare i nomi e gli identificatori delle risorse creati dal processo di condivisione del pannello di controllo. Ciò include le risorse Amazon Cognito e IAM. La modifica di queste risorse può causare funzionalità impreviste e non corrette dei pannelli di controllo condivisi.

Nota

Se condividi un pannello di controllo contenente widget parametrici con annotazioni di allarme, le persone con cui condividi il pannello di controllo non visualizzeranno tali widget. Vedranno invece un widget vuoto con un testo che indica che il widget non è disponibile. Quando visualizzi personalmente il pannello di controllo, visualizzerai comunque i widget parametrici con le annotazioni di allarme.

Per poter condividere pannelli di controllo utilizzando uno dei metodi descritti di seguito e per vedere quali pannelli di controllo sono già stati condivisi, devi essere connesso come utente IAM o con un ruolo IAM che dispone di determinate autorizzazioni.

Per poter condividere pannelli di controllo, l'utente o il ruolo IAM deve includere le autorizzazioni incluse nella seguente istruzione di policy:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:PassRole"
    ],
    "Resource": [
        "arn:aws:iam::*:role/service-role/CWDBSharing*",
        "arn:aws:iam::*:policy/*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*",
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:GetDashboard",
    ],
    "Resource": [
        "*"
        // or the ARNs of dashboards that you want to share
    ]
}

Per vedere quali pannelli di controllo sono condivisi, ma senza poterli condividere, un utente IAM o un ruolo IAM può includere un'istruzione di policy simile alla seguente:


{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*"
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:ListDashboards",
    ],
    "Resource": [
        "*" 
    ]
}

Quando si condivide un pannello di controllo, CloudWatch crea un ruolo IAM nell'account che fornisce le seguenti autorizzazioni agli utenti con cui condividi il pannello di controllo:

cloudwatch:GetInsightRuleReport
cloudwatch:GetMetricData
cloudwatch:DescribeAlarms
ec2:DescribeTags

avvertimento

A tutte le persone con cui condividi il pannello di controllo vengono concesse queste autorizzazioni per l'account. Se condividi pubblicamente il pannello di controllo, tutti coloro che dispongono del collegamento al pannello di controllo dispongono di queste autorizzazioni.

Quando condividi un pannello di controllo, per impostazione predefinita le autorizzazioni create da CloudWatch limitano l'accesso solo agli avvisi e alle regole di Contributor Insights presenti nel pannello di controllo quando è condiviso. Se si aggiungono nuovi avvisi o regole di Contributor Insights dei collaboratori al pannello di controllo e si desidera che vengano visualizzati anche dagli utenti con cui è stato condiviso il pannello di controllo, devi aggiornare la policy per consentire queste risorse.

Quando condividi un pannello di controllo, per impostazione predefinita i widget di allarme composito sul pannello di controllo non sono visibili agli utenti con cui si condivide il pannello di controllo. Affinché i widget di allarme composito siano visibili, devi aggiungere un'autorizzazione DescribeAlarms: * alle policy di condivisione del pannello di controllo. L'autorizzazione avrebbe il seguente aspetto:


{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
}

avvertimento

L'istruzione precedente offre l'accesso a tutti gli allarmi presenti nell'account. Per ridurre l'ambito di cloudwatch:DescribeAlarms, devi utilizzare un'istruzione Deny. È possibile aggiungere un'istruzione Deny alla policy e specificare gli ARN degli allarmi che desideri bloccare. Questa istruzione di negazione dovrebbe essere simile alla seguente:


{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
},
{   
    "Effect": "Deny",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "SensitiveAlarm1ARN",
        "SensitiveAlarm1ARN"
    ]
}

Quando condividi un pannello di controllo, per impostazione predefinita i widget di CloudWatch Logs Insights sul pannello di controllo non sono visibili agli utenti con cui condividi il pannello di controllo. Ciò influisce sia sui widget di CloudWatch Logs Insights esistenti che su quelli aggiunti al pannello di controllo dopo averlo condiviso.

Se desideri che queste persone siano in grado di visualizzare i widget di CloudWatch Logs, devi aggiungere autorizzazioni al ruolo IAM per la condivisione del pannello di controllo.

Per consentire agli utenti con cui condividi un pannello di controllo di visualizzare i widget CloudWatch Logs

Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.
Nel pannello di navigazione seleziona Dashboards (Pannelli di controllo).
Scegli il nome del pannello di controllo condiviso.
Scegli Actions (Operazioni), Share dashboard (Condividi pannello di controllo).
In Resources (Risorse), scegli IAM Role (Ruolo IAM).
Nella console IAM, scegli la policy visualizzata.

Scegli Edit policy (Modifica policy) e aggiungi la seguente istruzione. Nella nuova istruzione, ti consigliamo di specificare gli ARN solo dei gruppi di log che desideri condividere. Guarda l'esempio seguente.


{
            "Effect": "Allow",
            "Action": [
                "logs:FilterLogEvents",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetLogRecord",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "SharedLogGroup1ARN",
                "SharedLogGroup2ARN"
           ]
        },

Seleziona Salva modifiche.

Se la policy IAM per la condivisione del pannello di controllo include già queste cinque autorizzazioni con * come risorsa, ti consigliamo vivamente di modificare la policy e specificare solo gli ARN dei gruppi di log che desideri condividere. Ad esempio, se la sezione Resource per queste autorizzazioni era la seguente:


"Resource": "*"

Modifica la policy per specificare solo gli ARN dei gruppi di log che desideri condividere, come nell'esempio seguente:


"Resource": [
  "SharedLogGroup1ARN",
  "SharedLogGroup2ARN"
]

Quando condividi un pannello di controllo, per impostazione predefinita i widget personalizzati presenti nel pannello di controllo non sono visibili agli utenti con cui condividi il pannello di controllo. Ciò influisce sia sui widget personalizzati esistenti che su quelli aggiunti al pannello di controllo dopo la condivisione.

Se desideri che queste persone siano in grado di visualizzare widget personalizzati, devi aggiungere autorizzazioni al ruolo IAM per la condivisione del pannello di controllo.

Per consentire agli utenti con cui condividi un pannello di controllo di visualizzare i widget personalizzati

Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.
Nel pannello di navigazione seleziona Dashboards (Pannelli di controllo).
Scegli il nome del pannello di controllo condiviso.
Scegli Actions (Operazioni), Share dashboard (Condividi pannello di controllo).
In Resources (Risorse), scegli IAM Role (Ruolo IAM).
Nella console IAM, scegli la policy visualizzata.
Scegli Edit policy (Modifica policy) e aggiungi la seguente istruzione. Nella nuova istruzione, ti consigliamo di specificare gli ARN solo delle funzioni Lambda che desideri condividere. Guarda l'esempio seguente.
```
{
  "Sid": "Invoke",
  "Effect": "Allow",
  "Action": [
      "lambda:InvokeFunction"
  ],
  "Resource": [
    "LambdaFunction1ARN",
    "LambdaFunction2ARN"
  ]
 }
```
Seleziona Salva modifiche.

Se la policy IAM per la condivisione del pannello di controllo include già tale autorizzazione con *come risorsa, ti consigliamo vivamente di modificare la olicy e di specificare solo gli ARN delle funzioni Lambda che desideri condividere. Ad esempio, se la sezione Resource per queste autorizzazioni era la seguente:


"Resource": "*"

Modifica la policy per specificare solo gli ARN dei widget personalizzati che desideri condividere, come nell'esempio seguente:


"Resource": [
  "LambdaFunction1ARN",
  "LambdaFunction2ARN"
]

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Scollegamento di grafici

Condivisione di un pannello di controllo con utenti specifici