Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Berbagi CloudWatch dasbor
Anda dapat berbagi CloudWatch dasbor Anda dengan orang-orang yang tidak memiliki akses langsung ke Anda AWS akun. Hal ini akan memungkinkan Anda berbagi dasbor lintas tim, dengan pemangku kepentingan, dan dengan orang-orang yang ada di luar organisasi Anda. Bahkan, Anda dapat menampilkan dasbor pada layar-layar besar di area tim, atau menyematkannya di Wiki dan halaman web lainnya.
Awas
Semua orang yang Anda ajak berbagi dasbor akan mendapatkan izin yang tercantum di Izin-izin yang diberikan kepada orang yang Anda berbagi dasbor dengannya untuk akun tersebut. Jika Anda membagikan dasbor secara publik, maka setiap orang yang memiliki tautan ke dasbor tersebut akan mendapatkan izin-izin ini.
ec2:DescribeTagsIzin cloudwatch:GetMetricData dan tidak dapat dicakup ke metrik atau EC2 instance tertentu, sehingga orang yang memiliki akses ke dasbor dapat menanyakan semua CloudWatch metrik dan nama serta tag dari semua instance di akun. EC2
Ketika Anda berbagi dasbor, Anda akan dapat menetapkan orang yang dapat melihat dasbor dengan tiga cara:
-
Bagikan satu dasbor dan tentukan sebanyak lima alamat email orang yang dapat melihat dasbor. Masing-masing pengguna ini bisa membuat kata sandi mereka sendiri yang harus dimasukkan untuk melihat dasbor.
-
Anda bisa membagikan satu dasbor tunggal secara publik, sehingga setiap orang yang memiliki tautan akan dapat melihat dasbor tersebut.
-
Bagikan semua CloudWatch dasbor di akun Anda dan tentukan penyedia sistem masuk (SSO) tunggal pihak ketiga untuk akses dasbor. Semua pengguna yang menjadi anggota daftar SSO penyedia ini dapat mengakses semua dasbor di akun. Untuk mengaktifkan ini, Anda mengintegrasikan SSO penyedia dengan Amazon Cognito. SSOPenyedia harus mendukung Security Assertion Markup Language (). SAML Untuk informasi selengkapnya tentang Amazon Cognito, silakan lihat Apa itu Amazon Cognito?
Berbagi dasbor tidak dikenakan biaya, tetapi widget di dalam dasbor bersama dikenakan biaya dengan tarif standar. CloudWatch Untuk informasi selengkapnya tentang CloudWatch harga, lihat CloudWatch Harga Amazon
Saat Anda berbagi dasbor, sumber daya Amazon Cognito dibuat di Wilayah AS Timur (Virginia N.).
penting
Jangan mengubah nama sumber daya dan pengidentifikasi yang sudah dibuat berdasarkan proses berbagi dasbor. Ini termasuk Amazon Cognito dan IAM sumber daya. Melakukan modifikasi terhadap sumber daya ini akan dapat menyebabkan fungsionalitas dasbor yang dibagikan menjadi tidak terduga dan salah.
catatan
Jika Anda berbagi sebuah dasbor yang memiliki widget metrik dengan keterangan alarm, maka orang-orang yang berbagi dasbor dengan Anda tidak akan melihat widget tersebut. Mereka malah akan melihat sebuah widget kosong dengan tulisan yang menyampaikan bahwa widget tidak tersedia. Anda masih akan melihat widget-widget metrik dengan keterangan alarm saat Anda melihat dasbor sendiri.
Izin-izin yang diperlukan untuk berbagi sebuah dasbor
Untuk dapat berbagi dasbor menggunakan salah satu metode berikut dan untuk melihat dasbor mana yang telah dibagikan, Anda harus masuk sebagai pengguna atau dengan IAM peran yang memiliki izin tertentu.
Untuk dapat berbagi dasbor, pengguna atau IAM peran Anda harus menyertakan izin yang disertakan dalam pernyataan kebijakan berikut:
{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CWDBSharing*", "arn:aws:iam::*:policy/*" ] }, { "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*", ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetDashboard", ], "Resource": [ "*" // or the ARNs of dashboards that you want to share ] }
Untuk dapat melihat dasbor mana yang dibagikan, tetapi tidak dapat berbagi dasbor, pengguna atau IAM peran dapat menyertakan pernyataan kebijakan yang serupa dengan berikut ini:
{ "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListDashboards", ], "Resource": [ "*" ] }
Izin-izin yang diberikan kepada orang yang Anda berbagi dasbor dengannya
Saat Anda berbagi dasbor, CloudWatch buat IAM peran di akun yang memberikan izin berikut kepada orang-orang yang berbagi dasbor dengan Anda:
cloudwatch:GetInsightRuleReportcloudwatch:GetMetricDatacloudwatch:DescribeAlarmsec2:DescribeTags
Awas
Semua orang yang Anda berbagi dasbor dengannya mendapatkan izin-izin ini untuk akun tersebut. Jika Anda membagikan dasbor secara publik, maka setiap orang yang memiliki tautan ke dasbor tersebut akan mendapatkan izin-izin ini.
ec2:DescribeTagsIzin cloudwatch:GetMetricData dan tidak dapat dicakup ke metrik atau EC2 instance tertentu, sehingga orang yang memiliki akses ke dasbor dapat menanyakan semua CloudWatch metrik dan nama serta tag dari semua instance di akun. EC2
Saat Anda membagikan dasbor, secara default izin yang CloudWatch dibuat membatasi akses hanya ke alarm dan aturan Wawasan Kontributor yang ada di dasbor saat dibagikan. Jika Anda menambahkan alarm baru atau peraturan Wawasan Kontributor baru ke dasbor tersebut dan menginginkan alarm dan aturan itu juga dilihat oleh orang yang Anda ajak berbagi dasbor,maka Anda harus memperbarui kebijakan untuk mengizinkan sumber daya ini.
Memungkinkan orang yang Anda ajak berbagi dasbor melihat alarm gabungan
Saat Anda berbagi dasbor, secara default widget alarm gabungan yang ada di dasbor tidak akan terlihat oleh orang yang Anda ajak berbagi dasbor. Agar widget alarm gabungan terlihat oleh mereka, Anda perlu menambahkan sebuah izin DescribeAlarms: * pada kebijakan berbagi dasbor. Izin itu akan terlihat seperti ini:
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }
Awas
Pernyataan kebijakan sebelumnya memberikan akses ke semua alarm yang ada di akun. Untuk mengurangi ruang lingkup cloudwatch:DescribeAlarms, Anda harus menggunakan sebuah pernyataan Deny. Anda dapat menambahkan Deny pernyataan ke kebijakan dan menentukan ARNs alarm yang ingin dikunci. Pernyataan penolakan itu akan terlihat seperti berikut ini:
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Effect": "Deny", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "SensitiveAlarm1ARN", "SensitiveAlarm1ARN" ] }
Mengizinkan orang yang Anda ajak berbagi dasbor melihat widget tabel log
Saat Anda berbagi dasbor, secara default widget Wawasan CloudWatch Log yang ada di dasbor tidak terlihat oleh orang-orang yang berbagi dasbor dengan Anda. Ini memengaruhi widget Wawasan CloudWatch Log yang ada sekarang dan semua yang ditambahkan ke dasbor setelah Anda membagikannya.
Jika Anda ingin orang-orang ini dapat melihat widget CloudWatch Log, Anda harus menambahkan izin ke IAM peran untuk berbagi dasbor.
Untuk memungkinkan orang yang berbagi dasbor dengan Anda melihat widget CloudWatch Log
Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/
. Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor yang Anda bagikan.
Pilih Tindakan, Bagikan dasbor.
Di bawah Sumber Daya, pilih IAMPeran.
Di IAM konsol, pilih kebijakan yang ditampilkan.
Pilih Edit kebijakan dan tambahkan pernyataan berikut. Dalam pernyataan baru, kami sarankan Anda menentukan ARNs hanya grup log yang ingin Anda bagikan. Lihat contoh berikut ini.
{ "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:StartQuery", "logs:StopQuery", "logs:GetLogRecord", "logs:DescribeLogGroups" ], "Resource": [ "SharedLogGroup1ARN", "SharedLogGroup2ARN" ] },Pilih Simpan Perubahan.
Jika IAM kebijakan Anda untuk berbagi dasbor sudah menyertakan lima izin tersebut * sebagai sumber daya, kami sangat menyarankan Anda mengubah kebijakan dan hanya menentukan grup log yang ingin Anda bagikan. ARNs Sebagai contoh, jika bagian Resource Anda untuk izin-izin ini adalah sebagai berikut:
"Resource": "*"
Ubah kebijakan untuk menentukan ARNs hanya grup log yang ingin Anda bagikan, seperti pada contoh berikut:
"Resource": [ "SharedLogGroup1ARN", "SharedLogGroup2ARN" ]
Mengizinkan orang yang Anda ajak berbagi untuk melihat widget kustom
Saat Anda berbagi dasbor, secara default widget kustom yang ada di dasbor tidak akan terlihat oleh orang yang Anda ajak berbagi dasbor. Hal ini memengaruhi widget kustom yang ada sekarang dan setiap widget yang ditambahkan ke dasbor setelah Anda berbagi dasbor tersebut.
Jika Anda ingin orang-orang ini dapat melihat widget khusus, Anda harus menambahkan izin ke IAM peran untuk berbagi dasbor.
Cara memungkinkan orang yang Anda berbagi dasbor dengannya untuk melihat widget kustom
Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/
. Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor yang Anda bagikan.
Pilih Tindakan, Bagikan dasbor.
Di bawah Sumber Daya, pilih IAMPeran.
Di IAM konsol, pilih kebijakan yang ditampilkan.
Pilih Edit kebijakan dan tambahkan pernyataan berikut. Dalam pernyataan baru, kami sarankan Anda menentukan hanya ARNs fungsi Lambda yang ingin Anda bagikan. Lihat contoh berikut ini.
{ "Sid": "Invoke", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "LambdaFunction1ARN", "LambdaFunction2ARN" ] }Pilih Simpan Perubahan.
Jika IAM kebijakan Anda untuk berbagi dasbor sudah menyertakan izin tersebut * sebagai sumber daya, kami sangat menyarankan Anda mengubah kebijakan dan hanya menentukan fungsi Lambda yang ingin Anda bagikan. ARNs Sebagai contoh, jika bagian Resource Anda untuk izin-izin ini adalah sebagai berikut:
"Resource": "*"
Ubah kebijakan untuk menentukan hanya widget ARNs kustom yang ingin Anda bagikan, seperti pada contoh berikut:
"Resource": [ "LambdaFunction1ARN", "LambdaFunction2ARN" ]
