Gestion de l’accès aux sources de données

CloudWatch utilise AWS CloudFormation pour créer les ressources requises dans votre compte. Nous vous recommandons d'utiliser cette cloudformation:TemplateUrl condition pour contrôler l'accès aux AWS CloudFormation modèles lorsque vous accordez CreateStack des autorisations aux utilisateurs IAM.

Avertissement

Tout utilisateur auquel vous accordez l’autorisation d’invoquer une source de données peut interroger les métriques de cette source de données même s’il ne dispose pas d’autorisations IAM directes sur la source de données. Par exemple, si vous accordez des autorisations lambda:InvokeFunction sur une fonction Lambda de la source de données Amazon Managed Service for Prometheus à un utilisateur, celui-ci pourra interroger les métriques de l’espace de travail Amazon Managed Service for Prometheus correspondant, même si vous ne lui avez pas accordé un accès IAM direct à cet espace de travail.

Vous trouverez des modèles d'URL pour les sources de données sur la page Créer une pile de la console des CloudWatch paramètres.


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect" : "Allow",
      "Action" : [ "cloudformation:CreateStack" ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "cloudformation:TemplateUrl" : [ data-source-template-url ]
        }
      }
    }
  ]
}

Pour plus d'informations sur le contrôle AWS CloudFormation d'accès, consultez Controlling access with AWS Identity and Access Management

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Interrogation de métriques d’autres sources de données

Connexion à une source de données prédéfinie à l’aide d’un assistant