Información general sobre la administración de permisos de acceso a los recursos de CloudWatch - Amazon CloudWatch

Información general sobre la administración de permisos de acceso a los recursos de CloudWatch

Cada recurso de AWS es propiedad de una Cuenta de AWS y los permisos para crear u obtener acceso a un recurso se rigen por las políticas de los permisos. Los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios (como AWS Lambda) también permiten asociar políticas de permisos con los recursos.

nota

Un administrador de la cuenta (o usuario IAM administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

Recursos y operaciones de CloudWatch

Puede restringir el acceso a alarmas y paneles específicos mediante el uso de sus nombres de recurso de Amazon (ARN) en sus políticas. Para obtener más información, consulte Actions, Resources, and Condition Keys for Amazon CloudWatch (Acciones, recursos y claves de condición para Amazon CloudWatch) en la Guía del usuario de IAM.

Utilice un * (asterisco) como recurso a la hora de ingresar una política para controlar el acceso a las acciones de CloudWatch. Por ejemplo:

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["cloudwatch:GetMetricData","cloudwatch:ListMetrics"], "Resource":"*", "Condition":{ "Bool":{ "aws:SecureTransport":"true" } } } ] }

Para obtener más información sobre los ARN, consulte ARN en la Guía del usuario de IAM. Para obtener más información acerca de los ARN de CloudWatch Logs, consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS en la Referencia general de Amazon Web Services. Para ver un ejemplo de una política que abarca las acciones de CloudWatch, consulte Uso de políticas basadas en identidades (políticas de IAM) para CloudWatch.

Acción ARN (con Región) ARN (para su uso con rol de IAM)

Stop

arn:aws:automate:us-east-1:ec2:stop

arn:aws:swf:us-east-1:cuenta-cliente:action/actions/AWS_EC2.InstanceId.Stop/1.0

Terminate

arn:aws:automate:us-east-1:ec2:terminate

arn:aws:swf:us-east-1:cuenta-cliente:action/actions/AWS_EC2.InstanceId.Terminate/1.0

Reboot

arn:aws:automate:us-east-1:ec2:reboot

arn:aws:swf:us-east-1:cuenta-cliente:action/actions/AWS_EC2.InstanceId.Reboot/1.0

Recover

arn:aws:automate:us-east-1:ec2:recover

arn:aws:swf:us-east-1:customer-account:action/actions/AWS_EC2.InstanceId.Recover/1.0

Titularidad de los recursos

La cuenta de AWS es la propietaria de los recursos que se crean en ella, independientemente de quién los haya creado. En concreto, el propietario de los recursos es la cuenta de AWS de la principal entity (identidad principal) (es decir, la cuenta raíz de AWS, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. CloudWatch no cuenta con ningún recurso que usted puede poseer.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se explica el uso de IAM en el contexto de CloudWatch. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte What is IAM? (¿Qué es IAM?) en la Guía del usuario de IAM. Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte IAM policy reference (Referencia de la política de IAM) en la Guía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. CloudWatch solo admite políticas basadas en identidades.

Políticas basadas en identidad (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

  • Adjuntar una política de permisos a un usuario o un grupo en su cuenta: para conceder permisos a un usuario a fin de que cree un recurso de Amazon CloudWatch, como una métrica, puede adjuntar una política de permisos a un usuario o a un grupo al que el usuario pertenezca.

  • Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de la cuenta A puede crear un rol para conceder permisos para cuentas cruzadas a otra Cuenta de AWS (por ejemplo, a la cuenta B) o a un Servicio de AWS, tal y como se indica a continuación:

    1. El administrador de la Cuenta A crea un rol de IAM y adjunta una política de permisos al rol que concede permisos sobre los recursos de la Cuenta A.

    2. El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como la entidad principal que puede asumir el rol.

    3. A continuación, el administrador de la cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B podrán crear recursos y obtener acceso a ellos en la cuenta A. La entidad principal de la política de confianza también puede ser la entidad principal de un Servicio de AWS si desea conceder permisos para asumir el rol a un Servicio de AWS.

    Para obtener más información sobre el uso de IAM para delegar permisos, consulte Access management (Administración de accesos) en la Guía del usuario de IAM.

Para obtener más información acerca del uso de políticas basadas en identidades con CloudWatch, consulte Uso de políticas basadas en identidades (políticas de IAM) para CloudWatch. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas basadas en recursos (políticas de IAM)

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede adjuntar una política a un bucket de Amazon S3 para administrar los permisos de acceso a dicho bucket. CloudWatch no admite políticas basadas en recursos.

Especificar elementos de la política: acciones, efectos y entidades de seguridad

Para cada recurso de CloudWatch, el servicio define un conjunto de operaciones de la API. Para conceder permisos para estas operaciones de la API, CloudWatch define un conjunto de acciones que usted puede especificar en una política. Algunas operaciones de API pueden requerir permisos para más de una acción para poder realizar la operación de API. Para obtener más información sobre los recursos y las operaciones de la API, consulte Recursos y operaciones de CloudWatch y las Actions (Acciones) de CloudWatch.

A continuación, se indican los elementos básicos de la política:

  • Recurso: utilice un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. CloudWatch no tiene ningún recurso para que pueda controlar el uso de recursos de políticas, por lo tanto, utilice el carácter comodín (*) en las políticas de IAM. Para obtener más información, consulte Recursos y operaciones de CloudWatch .

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, el permiso cloudwatch:ListMetrics concede permiso a los usuarios para realizar la operación ListMetrics.

  • Efecto: especifique el efecto, permitir o denegar, cuando el usuario solicite la acción específica. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). CloudWatch no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte AWS IAM JSON Policy Reference (Referencia de la política JSON de IAM) en la Guía del usuario de IAM.

Para ver una tabla con todas las acciones de la API de CloudWatch y los recursos a los que se aplican, consulte Referencia de permisos de Amazon CloudWatch.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.

Para expresar condiciones, se usan claves de condición predefinidas. Para obtener una lista de las claves de contexto que admite cada servicio de AWS y una lista de las claves de política generales de AWS, consulte Actions, resources, and condition keys for services (Claves de acciones, recursos y condiciones para servicios de AWS) y Global and IAM Condition Context Keys (Claves de contexto globales y de condición de IAM) en la Guía del usuario de IAM.