管理資料來源的存取 - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理資料來源的存取

CloudWatch 會使用 AWS CloudFormation 在您的帳戶中建立所需的資源。當您將CreateStack許可授予 IAM 使用者時,建議您使用 cloudformation:TemplateUrl條件來控制 AWS CloudFormation 範本的存取。

警告

被授予資料來源調用許可的任何使用者都可以從該資料來源中查詢指標,即使該使用者沒有資料來源的直接 IAM 許可。例如,如果您將 Amazon Managed Service for Prometheus 資料來源 Lambda 函數的 lambda:InvokeFunction 許可授予給使用者,該使用者將能夠從對應的 Amazon Managed Service for Prometheus 工作區中查詢指標,即使您沒有授予該工作區的直接 IAM 存取權。

可以在 CloudWatch 設定主控台的建立堆疊頁面上找到資料來源的範本 URL。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}

如需控制 AWS CloudFormation 存取的詳細資訊,請參閱使用 AWS Identity and Access Management 控制存取