CloudWatch Dashboard di condivisione - Amazon CloudWatch
Autorizzazioni necessarie per condividere un pannello di controlloAutorizzazioni concesse agli utenti con cui condividi il pannello di controlloConsentire alle persone con cui condividi di vedere allarmi compositiConsentire alle persone con cui condividi di visualizzare i widget della tabella dei logConsentire alle persone con cui condividi di visualizzare i widget personalizzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudWatch Dashboard di condivisione

Puoi condividere le tue CloudWatch dashboard con persone che non hanno accesso diretto al tuo AWS account. In questo modo puoi condividere pannelli di controllo tra i team, con le parti interessate e con persone esterne all'organizzazione. Puoi anche visualizzare pannelli di controllo su grandi schermi nelle aree del team, o incorporarli in pagine Wiki e altre pagine Web.

avvertimento

A tutte le persone con cui condividi il pannello di controllo vengono concesse le autorizzazioni elencate in Autorizzazioni concesse agli utenti con cui condividi il pannello di controllo per l'account. Se condividi pubblicamente il pannello di controllo, tutti coloro che dispongono del collegamento al pannello di controllo dispongono di queste autorizzazioni.

Le ec2:DescribeTags autorizzazioni cloudwatch:GetMetricData e non possono essere limitate a metriche o EC2 istanze specifiche, quindi le persone con accesso alla dashboard possono interrogare tutte le CloudWatch metriche e i nomi e i tag di tutte le istanze dell'account. EC2

Quando si condividono pannelli di controllo, è possibile specificare chi può visualizzare il pannello di controllo in tre modi:

  • Condividi un'unica dashboard e designa fino a cinque indirizzi email di persone che possono visualizzarla. Ognuno di questi utenti crea la propria password che deve immettere per visualizzare il pannello di controllo.

  • Condividi pubblicamente un singolo pannello di controllo, in modo che chiunque disponga del collegamento possa visualizzarlo.

  • Condividi tutte le CloudWatch dashboard del tuo account e specifica un provider Single Sign-On (SSO) di terze parti per l'accesso alla dashboard. Tutti gli utenti membri dell'elenco di questo provider SSO possono accedere a tutti i pannelli di controllo dell'account. Per abilitarlo, integra il provider SSO con Amazon Cognito. Il provider SSO deve supportare Security Assertion Markup Language (SAML). Per ulteriori informazioni su Amazon Cognito, consulta Che cos'è Amazon Cognito?

La condivisione di una dashboard non comporta costi, ma i widget all'interno di una dashboard condivisa comportano addebiti a tariffe standard. CloudWatch Per ulteriori informazioni sui CloudWatch prezzi, consulta la pagina CloudWatch dei prezzi di Amazon.

Quando condividi una dashboard, le risorse di Amazon Cognito vengono create nella regione Stati Uniti orientali (Virginia settentrionale).

Importante

Non modificare i nomi e gli identificatori delle risorse creati dal processo di condivisione del pannello di controllo. Ciò include le risorse Amazon Cognito e IAM. La modifica di queste risorse può causare funzionalità impreviste e non corrette dei pannelli di controllo condivisi.

Nota

Se condividi un pannello di controllo contenente widget parametrici con annotazioni di allarme, le persone con cui condividi il pannello di controllo non visualizzeranno tali widget. Vedranno invece un widget vuoto con un testo che indica che il widget non è disponibile. Quando visualizzi personalmente il pannello di controllo, visualizzerai comunque i widget parametrici con le annotazioni di allarme.

Autorizzazioni necessarie per condividere un pannello di controllo

Per poter condividere pannelli di controllo utilizzando uno dei metodi descritti di seguito e per vedere quali pannelli di controllo sono già stati condivisi, devi essere connesso come utente IAM o con un ruolo IAM che dispone di determinate autorizzazioni.

Per poter condividere pannelli di controllo, l'utente o il ruolo IAM deve includere le autorizzazioni incluse nella seguente istruzione di policy:

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:PassRole"
    ],
    "Resource": [
        "arn:aws:iam::*:role/service-role/CWDBSharing*",
        "arn:aws:iam::*:policy/*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*",
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:GetDashboard",
    ],
    "Resource": [
        "*"
        // or the ARNs of dashboards that you want to share
    ]
}

Per vedere quali pannelli di controllo sono condivisi, ma senza poterli condividere, un utente IAM o un ruolo IAM può includere un'istruzione di policy simile alla seguente:

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*"
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:ListDashboards",
    ],
    "Resource": [
        "*" 
    ]
}

Autorizzazioni concesse agli utenti con cui condividi il pannello di controllo

Quando condividi una dashboard, CloudWatch crea un ruolo IAM nell'account che concede le seguenti autorizzazioni alle persone con cui condividi la dashboard:

  • cloudwatch:GetInsightRuleReport

  • cloudwatch:GetMetricData

  • cloudwatch:DescribeAlarms

  • ec2:DescribeTags

avvertimento

A tutte le persone con cui condividi il pannello di controllo vengono concesse queste autorizzazioni per l'account. Se condividi pubblicamente il pannello di controllo, tutti coloro che dispongono del collegamento al pannello di controllo dispongono di queste autorizzazioni.

Le ec2:DescribeTags autorizzazioni cloudwatch:GetMetricData e non possono essere limitate a metriche o EC2 istanze specifiche, quindi le persone con accesso alla dashboard possono interrogare tutte le CloudWatch metriche e i nomi e i tag di tutte le istanze dell'account. EC2

Quando condividi una dashboard, per impostazione predefinita le autorizzazioni CloudWatch create limitano l'accesso solo agli allarmi e alle regole di Contributor Insights presenti nella dashboard quando è condivisa. Se si aggiungono nuovi avvisi o regole di Contributor Insights dei collaboratori al pannello di controllo e si desidera che vengano visualizzati anche dagli utenti con cui è stato condiviso il pannello di controllo, devi aggiornare la policy per consentire queste risorse.

Consentire alle persone con cui condividi di vedere allarmi compositi

Quando condividi un pannello di controllo, per impostazione predefinita i widget di allarme composito sul pannello di controllo non sono visibili agli utenti con cui si condivide il pannello di controllo. Affinché i widget di allarme composito siano visibili, devi aggiungere un'autorizzazione DescribeAlarms: * alle policy di condivisione del pannello di controllo. L'autorizzazione avrebbe il seguente aspetto:

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
}
avvertimento

L'istruzione precedente offre l'accesso a tutti gli allarmi presenti nell'account. Per ridurre l'ambito di cloudwatch:DescribeAlarms, devi utilizzare un'istruzione Deny. Puoi aggiungere una Deny dichiarazione alla politica e specificare gli ARNs allarmi che desideri bloccare. Questa istruzione di negazione dovrebbe essere simile alla seguente:

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
},
{   
    "Effect": "Deny",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "SensitiveAlarm1ARN",
        "SensitiveAlarm1ARN"
    ]
}

Consentire alle persone con cui condividi di visualizzare i widget della tabella dei log

Quando condividi una dashboard, per impostazione predefinita i widget di CloudWatch Logs Insights presenti nella dashboard non sono visibili alle persone con cui condividi la dashboard. Ciò influisce sia sui widget di CloudWatch Logs Insights esistenti sia su quelli aggiunti alla dashboard dopo la condivisione.

Se vuoi che queste persone possano vedere CloudWatch i widget di Logs, devi aggiungere le autorizzazioni al ruolo IAM per la condivisione della dashboard.

Per consentire alle persone con cui condividi una dashboard di visualizzare i widget Logs CloudWatch

  1. Apri la CloudWatch console all'indirizzo. https://console.aws.amazon.com/cloudwatch/

  2. Nel pannello di navigazione seleziona Dashboards (Pannelli di controllo).

  3. Scegli il nome del pannello di controllo condiviso.

  4. Scegli Actions (Operazioni), Share dashboard (Condividi pannello di controllo).

  5. In Resources (Risorse), scegli IAM Role (Ruolo IAM).

  6. Nella console IAM, scegli la policy visualizzata.

  7. Scegli Edit policy (Modifica policy) e aggiungi la seguente istruzione. Nella nuova dichiarazione, ti consigliamo di specificare solo i gruppi ARNs di log che desideri condividere. Guarda l'esempio seguente.

    {
            "Effect": "Allow",
            "Action": [
                "logs:FilterLogEvents",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetLogRecord",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "SharedLogGroup1ARN",
                "SharedLogGroup2ARN"
           ]
        },

  8. Seleziona Salva modifiche.

Se la tua policy IAM per la condivisione della dashboard include già quelle cinque autorizzazioni * come risorsa, ti consigliamo vivamente di modificare la policy e specificare solo i gruppi ARNs di log che desideri condividere. Ad esempio, se la sezione Resource per queste autorizzazioni era la seguente:

"Resource": "*"

Modifica la policy per specificare solo i gruppi ARNs di log che desideri condividere, come nell'esempio seguente:

"Resource": [
  "SharedLogGroup1ARN",
  "SharedLogGroup2ARN"
]

Consentire alle persone con cui condividi di visualizzare i widget personalizzati

Quando condividi un pannello di controllo, per impostazione predefinita i widget personalizzati presenti nel pannello di controllo non sono visibili agli utenti con cui condividi il pannello di controllo. Ciò influisce sia sui widget personalizzati esistenti che su quelli aggiunti al pannello di controllo dopo la condivisione.

Se desideri che queste persone siano in grado di visualizzare widget personalizzati, devi aggiungere autorizzazioni al ruolo IAM per la condivisione del pannello di controllo.

Per consentire agli utenti con cui condividi un pannello di controllo di visualizzare i widget personalizzati

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione seleziona Dashboards (Pannelli di controllo).

  3. Scegli il nome del pannello di controllo condiviso.

  4. Scegli Actions (Operazioni), Share dashboard (Condividi pannello di controllo).

  5. In Resources (Risorse), scegli IAM Role (Ruolo IAM).

  6. Nella console IAM, scegli la policy visualizzata.

  7. Scegli Edit policy (Modifica policy) e aggiungi la seguente istruzione. Nella nuova dichiarazione, ti consigliamo ARNs di specificare solo le funzioni Lambda che desideri condividere. Guarda l'esempio seguente.

    {
  "Sid": "Invoke",
  "Effect": "Allow",
  "Action": [
      "lambda:InvokeFunction"
  ],
  "Resource": [
    "LambdaFunction1ARN",
    "LambdaFunction2ARN"
  ]
 }

  8. Seleziona Salva modifiche.

Se la tua policy IAM per la condivisione della dashboard include già tale autorizzazione * come risorsa, ti consigliamo vivamente ARNs di modificare la policy e specificare solo le funzioni Lambda che desideri condividere. Ad esempio, se la sezione Resource per queste autorizzazioni era la seguente:

"Resource": "*"

Modifica la policy per specificare solo ARNs i widget personalizzati che desideri condividere, come nell'esempio seguente:

"Resource": [
  "LambdaFunction1ARN",
  "LambdaFunction2ARN"
]