Compartir paneles de CloudWatch

Permisos necesarios para compartir un panel Permisos que se conceden a las personas con las que se comparte el panel Comparta un único panel con usuarios específicos Comparta un único panel de manera pública Comparta todos los paneles de CloudWatch en la cuenta mediante SSO Configure SSO para compartir el panel de CloudWatch Vea cuántos de sus paneles se comparten Vea qué paneles se comparten Detener el uso compartido de uno o varios paneles Revise los permisos de los paneles compartidos y cambie el alcance de permisos Permitir ver alarmas compuestas a las personas con las que comparte Se concede permiso a las personas con las que se comparten los paneles para que vean los widgets de las tablas de registros Se concede permiso a las personas con las que comparte para que vean los widgets personalizados

Puede compartir los paneles de CloudWatch con quienes no tienen acceso directo a su cuenta de AWS. Esto le permite compartir paneles entre equipos, con inversores y con personas externas a su organización. Incluso puede mostrar paneles en pantallas grandes en áreas de equipo o integrarlos en Wikis y otras páginas web.

aviso

A todas las personas con las que comparta el panel se les conceden los permisos enumerados en Permisos que se conceden a las personas con las que se comparte el panel para la cuenta. Si comparte el panel públicamente, todos aquellos que cuenten con el vínculo al panel tendrán estos permisos.

Los permisos cloudwatch:GetMetricData y ec2:DescribeTags no se pueden limitar a métricas específicas o a instancias EC2, por lo que quienes cuenten con acceso al panel pueden consultar todas las métricas de CloudWatch y los nombres y etiquetas de todas las instancias EC2 de la cuenta.

Cuando comparte paneles, puede designar quién puede ver el panel de tres maneras:

Compartir un único panel y designar hasta cinco direcciones de email de quienes pueden ver el panel. Cada uno de estos usuarios crea su propia contraseña que deben ingresar para ver el panel.
Compartir un único panel de control de manera pública para que cualquiera que cuente con el enlace pueda verlo.
Compartir todos los paneles de CloudWatch de su cuenta y especificar un proveedor de inicio de sesión único (SSO) de terceros para acceder al panel. Todos los usuarios que son miembros de la lista de proveedores de este SSO pueden acceder a todos los paneles de la cuenta. Para habilitarlo, integre el proveedor de SSO con Amazon Cognito. El proveedor de SSO debe admitir Security Assertion Markup Language (SAML) (Lenguaje de Marcado para Confirmaciones de Seguridad). Para obtener más información acerca de Amazon Cognito, consulte What is Amazon Cognito? (¿Qué es Amazon Cognito?)

Compartir un panel de control no conlleva cargos, pero los widgets dentro de un panel compartido sí se cobran según las tarifas estándar de CloudWatch. Para obtener más información sobre los precios de CloudWatch, consulte Precios de Amazon CloudWatch.

Al compartir un panel, los recursos de Amazon Cognito se crean en la región Este de EE. UU. (Norte de Virginia).

importante

No modifique los nombres ni los identificadores de los recursos creados por el proceso de uso compartido del panel. Esto incluye los recursos de Amazon Cognito e IAM. Modificar estos recursos puede provocar un funcionamiento inesperado e incorrecto de los paneles compartidos.

nota

Si comparte un panel que tiene widgets de métricas con anotaciones de alarmas, las personas con las que comparte el panel no verán esos widgets. En su lugar, verán un widget en blanco con texto que indica que el widget no está disponible. Podrá seguir viendo widgets de métricas con anotaciones de alarma cuando usted mismo vea el panel.

Para poder compartir paneles con cualquiera de los siguientes métodos y ver qué paneles ya se han compartido, debe iniciar sesión en un usuario de IAM o rol de IAM que tenga determinados permisos.

Para poder compartir paneles, su usuario o rol de IAM debe incluir los permisos incluidos en la siguiente declaración de políticas:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:PassRole"
    ],
    "Resource": [
        "arn:aws:iam::*:role/service-role/CWDBSharing*",
        "arn:aws:iam::*:policy/*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*",
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:GetDashboard",
    ],
    "Resource": [
        "*"
        // or the ARNs of dashboards that you want to share
    ]
}

Para poder ver qué paneles se comparten, pero no compartir paneles, su usuario o rol de IAM puede incluir una declaración de políticas similar a la siguiente:


{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*"
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:ListDashboards",
    ],
    "Resource": [
        "*" 
    ]
}

Cuando se comparte un panel, CloudWatch crea un rol de IAM en la cuenta que otorga los siguientes permisos a las personas con las que se comparte el panel:

cloudwatch:GetInsightRuleReport
cloudwatch:GetMetricData
cloudwatch:DescribeAlarms
ec2:DescribeTags

aviso

Todas las personas con las que comparte el panel de control reciben estos permisos para la cuenta. Si comparte el panel públicamente, todas las personas que cuenten con el enlace al panel tendrán estos permisos.

Cuando comparte un panel, de forma predeterminada, los permisos que crea CloudWatch restringen el acceso solo a las alarmas y a las reglas de Contributor Insights que se encuentran en el panel cuando se comparte. Si agrega nuevas alarmas o reglas de Contributor Insights al panel y desea que también las vean las personas con las que compartió el panel, debe actualizar la política para permitir estos recursos.

Siga los pasos de esta sección para compartir un panel con hasta cinco direcciones de email que usted elija.

nota

De forma predeterminada, los widgets de CloudWatch Logs del panel no son visibles para las personas con las que comparte el panel. Para obtener más información, consulte Se concede permiso a las personas con las que se comparten los paneles para que vean los widgets de las tablas de registros.

De forma predeterminada, los widgets de alarma compuestos del panel no son visibles para las personas con las que comparte el panel. Para obtener más información, consulte Permitir ver alarmas compuestas a las personas con las que comparte .

Para compartir un panel con usuarios específicos

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel.
Seleccione Actions (Acciones), luego Share dashboard (Compartir panel).
Junto a Share your dashboard and require a username and password (Compartir panel y solicitar un nombre de usuario y una contraseña), elija Start sharing (Comenzar a compartir).
En Add email addresses (Agregar direcciones de email), ingrese las direcciones de email con las que desea compartir el panel. Puede incluir hasta cinco direcciones de email.
Cuando haya ingresado todas las direcciones de email, lea el acuerdo y seleccione la casilla de confirmación. A continuación, elija Review policy (Revisar política).
Confirme que los recursos que se compartirán son los que desea y elija Confirm and generate shareable link (Confirmar y generar enlaces compartibles).
En la siguiente página, elija Copy link to clipboard (Copiar enlace al portapapeles). A continuación, puede pegar este enlace en el email y enviarlo a los usuarios invitados. Los usuarios reciben automáticamente un email por separado con el nombre de usuario y una contraseña temporal para conectarse al panel.

Siga los pasos de esta sección para compartir un panel públicamente. Puede ser útil para mostrar el panel en una pantalla grande en una sala de equipo o integrarlo en una página Wiki.

importante

Compartir un panel de manera pública hace que sea accesible para cualquier persona que tenga el enlace, sin autenticación. Realícelo sólo con paneles que no contienen información confidencial.

nota

Para compartir un panel de forma pública

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel.
Seleccione Actions (Acciones), luego Share dashboard (Compartir panel).
Junto a Share your dashboard publicly (Compartir panel públicamente), elija Start sharing (Comenzar a compartir).
Escriba Confirm en el cuadro de texto.
Lea el acuerdo y seleccione la casilla de confirmación. A continuación, elija Review policy (Revisar política).
Confirme que los recursos que se compartirán son los que desea y elija Confirm and generate shareable link (Confirmar y generar enlaces compartibles).
En la siguiente página, elija Copy link to clipboard (Copiar enlace al portapapeles). A continuación, puede compartir este enlace. Cualquier persona con la que comparta el vínculo puede acceder al panel, sin proporcionar credenciales.

Siga los pasos de esta sección para compartir todos los paneles de su cuenta con los usuarios mediante el inicio de sesión único (SSO).

nota

Para compartir los paneles de CloudWatch con los usuarios que se encuentran en la lista de proveedores de SSO

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel.
Seleccionar Actions (Acciones), Share dashboard (Compartir panel).
Seleccione Go to CloudWatch Settings (Ir a la configuración de CloudWatch).
Si el proveedor SSO que desea no aparece en Available SSO providers (Proveedores SSO disponibles), elija Manage SSO providers (Administrar proveedores SSO) y siga las instrucciones en Configure SSO para compartir el panel de CloudWatch.

A continuación, vuelva a la consola de CloudWatch y actualice el navegador. Ahora debería aparecer en la lista el proveedor SSO que ha habilitado
Elija el proveedor SSO que desee en la lista Available SSO providers (Proveedores SSO disponibles).
Elija Guardar cambios.

Para configurar el uso compartido del panel a través de un proveedor de inicio de sesión único de terceros que admita SAML, siga estos pasos.

importante

Se recomienda que no comparta paneles mediante un proveedor SSO que no sea SAML. Al hacerlo, se corre el riesgo de permitir que terceros accedan inadvertidamente a los paneles de su cuenta.

Para configurar un proveedor SSO para habilitar el uso compartido del panel

Integre el proveedor SSO con Amazon Cognito. Para obtener más información, consulte Integrating Third-Party SAML Identity Providers with Amazon Cognito User Pools (Integración de proveedores de identidad SAML de terceros con Grupos de usuarios de Amazon Cognito).
Descargue el archivo XML de metadatos del proveedor SSO.
Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, seleccione Configuración.
En la sección Dashboard sharing (Uso compartido de paneles), elija Configure (Configurar).
Seleccione Manage SSO providers (Administrar proveedores SSO).

De esta forma, abre la consola de Amazon Cognito en la región Este de EE. UU. (Norte de Virginia) (us-east-1). Si no ve User Pools (Grupos de usuarios), es posible que la consola de Amazon Cognito se haya abierto en una Región diferente. Si es así, cambie la Región a EE. UU. Este (Norte de Virginia) us-east-1 y continúe con los siguientes pasos.
Elija el grupo CloudWatchDashboardSharing.
En el panel de navegación, elija Proveedores de identidades.
Elija SAML.
Ingrese un nombre para el proveedor SSO en Provider name (Nombre del proveedor).
Elija Select file (Seleccionar archivo) y seleccione el archivo XML de metadatos que descargó en el paso 1.
Elija Create provider (Crear proveedor).

Puede utilizar la consola de CloudWatch para ver cuántos de sus paneles de CloudWatch se están compartiendo actualmente con otros usuarios.

Para ver cuántos de sus paneles se están compartiendo

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, seleccione Configuración.
La sección Dashboard sharing (Uso compartido de paneles) muestra cuántos paneles se comparten.
Para ver qué paneles se comparten, elija number dashboards shared (Número de paneles compartidos) en Username and password (Nombre de usuario y contraseña) y en Public dashboards (Paneles públicos).

Puede usar la consola de CloudWatch para ver qué paneles se están compartiendo actualmente con otros usuarios.

Para ver qué paneles se están compartiendo

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Dashboards (Paneles).
En la lista de paneles, consulte la columna Share (Compartir). Los paneles que tienen rellenado el icono de esta columna se están compartiendo actualmente.
Para ver con qué usuarios se comparte un panel, elija el nombre del panel y, a continuación, elija Actions (Acciones), Share dashboards (Compartir panel).

La página Share dashboard dashboard name (Compartir panel [nombre del panel]) muestra cómo se comparte el panel. Si lo desea, puede dejar de compartir el panel al seleccionar Stop sharing (Dejar de compartir).

Puede dejar de compartir un solo panel o dejar de compartir todos los paneles a la vez.

Para detener el uso compartido de un panel

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel compartido.
Seleccione Actions (Acciones), Share dashboard (Compartir panel).
Seleccione Stop sharing (Dejar de compartir).
En el cuadro de confirmación, elija Stop sharing (Dejar de compartir).

Para detener el uso compartido de todos los paneles

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, seleccione Configuración.
En la sección Dashboard sharing (Uso compartido de paneles), elija Stop sharing all dashboards (Dejar de compartir todos los paneles).
En el cuadro de confirmación, elija Stop sharing all dashboards (Dejar de compartir todos los paneles).

Siga los pasos descritos en esta sección si desea revisar los permisos de los usuarios de los paneles compartidos o cambiar el alcance de los permisos de los paneles compartidos.

Para revisar los permisos de los paneles compartidos

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel compartido.
Elija Actions (Acciones) y, luego, Share dashboard (Compartir panel).
En Resources (Recursos), elija Rol de IAM.
En la consola de IAM, elija la política que se muestra.
(Opcional) Para limitar las alarmas que pueden ver los usuarios del panel compartido, elija Edit policy (Editar política) y mueva el permiso cloudwatch:DescribeAlarms desde su posición actual a una declaración nueva de Allow que enumera los ARN de sólo las alarmas que desea que los usuarios del panel compartido vean. Consulte el siguiente ejemplo.
```
{
   "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "AlarmARN1",
        "AlarmARN2"
    ]
}
```
Si hace esto, asegúrese de eliminar el permiso cloudwatch:DescribeAlarms desde una sección de la política actual que se ve así:
```
{ 
   "Effect": "Allow",
    "Action": [
        "cloudwatch:GetInsightRuleReport",
        "cloudwatch:GetMetricData",
        "cloudwatch:DescribeAlarms",
        "ec2:DescribeTags"
    ],
    "Resource": "*"
}
```
(Opcional) Para limitar el alcance de las reglas de Contributor Insights que los usuarios del panel compartido pueden ver, elija Edit policy (Editar política) y mueva cloudwatch:GetInsightRuleReport desde su posición actual a una declaración nueva de Allow que enumera los ARN de sólo las reglas de Contributor Insights que desea que los usuarios del panel compartido vean. Consulte el siguiente ejemplo.
```
{
   "Effect": "Allow",
    "Action": "cloudwatch:GetInsightRuleReport",
    "Resource": [
        "PublicContributorInsightsRuleARN1",
        "PublicContributorInsightsRuleARN2"
    ]
}
```
Si lo hace, asegúrese de eliminar cloudwatch:GetInsightRuleReport de una sección de la política actual que tiene un aspecto similar al siguiente:
```
{
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetInsightRuleReport",
                "cloudwatch:GetMetricData",
                "cloudwatch:DescribeAlarms",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        }
```

Cuando comparte un panel, de forma predeterminada, los widgets de alarmas compuestas del panel no son visibles para las personas con las que comparte el panel. Para que los widgets de alarmas compuestas sean visibles, debe agregar un permiso DescribeAlarms: * a la política de uso compartido del panel. Ese permiso tendría el siguiente aspecto:


{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
}

aviso

La declaración de política anterior da acceso a todas las alarmas de la cuenta. Para reducir el alcance de cloudwatch:DescribeAlarms, debe utilizar una declaración de Deny. Puede añadir una declaración de Deny a la política y especificar los ARN de las alarmas que desea bloquear. Esa declaración de denegación debería tener un aspecto similar al siguiente:


{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
},
{   
    "Effect": "Deny",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "SensitiveAlarm1ARN",
        "SensitiveAlarm1ARN"
    ]
}

Cuando comparte un panel, de forma predeterminada los widgets de CloudWatch Logs Insights que se encuentran en el panel no son visibles para las personas con las que comparte el panel. Esto afecta tanto a los widgets de CloudWatch Logs Insights existentes como a los que se agregan al panel después de compartirlo.

Si desea que puedan ver los widgets de CloudWatch Logs, debe agregar permisos al rol de IAM para el uso compartido de paneles.

Para permitir que las personas con las que comparte un panel vean los widgets de CloudWatch Logs

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel compartido.
Elija Actions (Acciones) y, luego, Share dashboard (Compartir panel).
En Resources (Recursos), elija Rol de IAM.
En la consola de IAM, elija la política que se muestra.

Seleccione Edit policy (Editar política) y agregue la siguiente declaración. En la nueva declaración, se recomienda que especifique los ARN de sólo los grupos de registro que desea compartir. Consulte el siguiente ejemplo.


{
            "Effect": "Allow",
            "Action": [
                "logs:FilterLogEvents",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetLogRecord",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "SharedLogGroup1ARN",
                "SharedLogGroup2ARN"
           ]
        },

Elija Save changes (Guardar cambios).

Si la política de IAM para el uso compartido de paneles ya incluye esos cinco permisos con * como el recurso, se recomienda encarecidamente que cambie la política y especifique solo los ARN de los grupos de registro que desea compartir. Por ejemplo, si la sección Resource para estos permisos fuera la siguiente:


"Resource": "*"

Cambie la política para especificar sólo los ARN de los grupos de registros que desea compartir, como en el siguiente ejemplo:


"Resource": [
  "SharedLogGroup1ARN",
  "SharedLogGroup2ARN"
]

Cuando comparte un panel, de forma predeterminada los widgets personalizados que están en el panel no son visibles para las personas con las que comparte el panel. Esto afecta tanto a los widgets personalizados existentes como a los que se agregan al panel después de compartirlo.

Si desea que puedan ver los widgets personalizados, agregue permisos al rol de IAM para compartir el panel.

Para permitir que las personas con las que comparte un panel vean los widgets personalizados

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel compartido.
Elija Actions (Acciones) y, luego, Share dashboard (Compartir panel).
En Resources (Recursos), elija Rol de IAM.
En la consola de IAM, elija la política que se muestra.
Seleccione Edit policy (Editar política) y agregue la siguiente declaración. En la nueva declaración, se recomienda que especifique los ARN de sólo las funciones de Lambda que desea compartir. Consulte el siguiente ejemplo.
```
{
  "Sid": "Invoke",
  "Effect": "Allow",
  "Action": [
      "lambda:InvokeFunction"
  ],
  "Resource": [
    "LambdaFunction1ARN",
    "LambdaFunction2ARN"
  ]
 }
```
Elija Save changes (Guardar cambios).

Si la política de IAM para compartir el panel ya incluye ese permiso con * como recurso, se le recomienda encarecidamente que cambie la política y especifique sólo los ARN de las funciones de Lambda que desea compartir. Por ejemplo, si la sección Resource para estos permisos fuera la siguiente:


"Resource": "*"

Cambie la política para especificar sólo los ARN de los widgets personalizados que desea compartir, como en el ejemplo siguiente:


"Resource": [
  "LambdaFunction1ARN",
  "LambdaFunction2ARN"
]

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Vincule y desvincule gráficos

Utilizar datos en directo