Berbagi CloudWatch dasbor - Amazon CloudWatch

Izin-izin yang diperlukan untuk berbagi sebuah dasbor Izin-izin yang diberikan kepada orang yang Anda berbagi dasbor dengannya Berbagi sebuah dasbor tunggal dengan pengguna tertentu Berbagi sebuah dasbor tunggal secara publik Bagikan semua CloudWatch dasbor di akun dengan menggunakan SSO Siapkan SSO untuk berbagi CloudWatch dasbor Melihat berapa banyak dasbor Anda yang dibagikan Melihat dasbor mana yang Anda dibagikan Berhenti berbagi satu atau beberapa dasbor Meninjau izin dasbor yang dibagikan dan mengubah cakupan izin Memungkinkan orang yang Anda ajak berbagi dasbor melihat alarm gabungan Mengizinkan orang yang Anda ajak berbagi dasbor melihat widget tabel log Mengizinkan orang yang Anda ajak berbagi untuk melihat widget kustom

Anda dapat membagikan CloudWatch dasbor Anda dengan orang-orang yang tidak memiliki akses langsung ke AWS akun Anda. Hal ini akan memungkinkan Anda berbagi dasbor lintas tim, dengan pemangku kepentingan, dan dengan orang-orang yang ada di luar organisasi Anda. Bahkan, Anda dapat menampilkan dasbor pada layar-layar besar di area tim, atau menyematkannya di Wiki dan halaman web lainnya.

Awas

Semua orang yang Anda ajak berbagi dasbor akan mendapatkan izin yang tercantum di Izin-izin yang diberikan kepada orang yang Anda berbagi dasbor dengannya untuk akun tersebut. Jika Anda membagikan dasbor secara publik, maka setiap orang yang memiliki tautan ke dasbor tersebut akan mendapatkan izin-izin ini.

ec2:DescribeTagsIzin cloudwatch:GetMetricData dan tidak dapat dicakup ke metrik tertentu atau instans EC2, sehingga orang yang memiliki akses ke dasbor dapat menanyakan semua CloudWatch metrik dan nama serta tag dari semua instans EC2 di akun.

Ketika Anda berbagi dasbor, Anda akan dapat menetapkan orang yang dapat melihat dasbor dengan tiga cara:

Bagikan satu dasbor dan tentukan sebanyak lima alamat email orang yang dapat melihat dasbor. Masing-masing pengguna ini bisa membuat kata sandi mereka sendiri yang harus dimasukkan untuk melihat dasbor.
Anda bisa membagikan satu dasbor tunggal secara publik, sehingga setiap orang yang memiliki tautan akan dapat melihat dasbor tersebut.
Bagikan semua CloudWatch dasbor di akun Anda dan tentukan penyedia sistem masuk tunggal (SSO) pihak ketiga untuk akses dasbor. Semua pengguna yang merupakan anggota dari daftar penyedia SSO ini akan dapat mengakses semua dasbor yang ada di akun. Untuk memungkinkan hal ini, Anda harus mengintegrasikan penyedia SSO tersebut dengan Amazon Cognito. Penyedia SSO harus mendukung Security Assertion Markup Language (SAML). Untuk informasi selengkapnya tentang Amazon Cognito, silakan lihat Apa itu Amazon Cognito?

Berbagi dasbor tidak dikenakan biaya, tetapi widget di dalam dasbor bersama dikenakan biaya dengan tarif standar. CloudWatch Untuk informasi selengkapnya tentang CloudWatch harga, lihat CloudWatch Harga Amazon.

Saat Anda berbagi dasbor, sumber daya Amazon Cognito dibuat di Wilayah AS Timur (Virginia N.).

penting

Jangan mengubah nama sumber daya dan pengidentifikasi yang sudah dibuat berdasarkan proses berbagi dasbor. Ini termasuk sumber daya Amazon Cognito dan IAM. Melakukan modifikasi terhadap sumber daya ini akan dapat menyebabkan fungsionalitas dasbor yang dibagikan menjadi tidak terduga dan salah.

catatan

Jika Anda berbagi sebuah dasbor yang memiliki widget metrik dengan keterangan alarm, maka orang-orang yang berbagi dasbor dengan Anda tidak akan melihat widget tersebut. Mereka malah akan melihat sebuah widget kosong dengan tulisan yang menyampaikan bahwa widget tidak tersedia. Anda masih akan melihat widget-widget metrik dengan keterangan alarm saat Anda melihat dasbor sendiri.

Untuk dapat membagikan dasbor menggunakan salah satu metode berikut dan untuk melihat dasbor yang telah dibagikan, Anda harus masuk sebagai seorang pengguna atau Anda memiliki peran IAM yang memiliki izin tertentu.

Agar dapat berbagi dasbor, pengguna atau peran IAM Anda harus menyertakan izin-izin yang disertakan dalam pernyataan kebijakan berikut:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:PassRole"
    ],
    "Resource": [
        "arn:aws:iam::*:role/service-role/CWDBSharing*",
        "arn:aws:iam::*:policy/*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*",
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:GetDashboard",
    ],
    "Resource": [
        "*"
        // or the ARNs of dashboards that you want to share
    ]
}

Untuk dapat melihat dasbor yang dibagikan, tetapi tidak dapat membagikan dasbor, seorang pengguna atau pemilik peran IAM dapat menyertakan sebuah pernyataan kebijakan yang serupa dengan hal berikut:


{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*"
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:ListDashboards",
    ],
    "Resource": [
        "*" 
    ]
}

Saat Anda berbagi dasbor, CloudWatch buat peran IAM di akun yang memberikan izin berikut kepada orang-orang yang berbagi dasbor dengan Anda:

cloudwatch:GetInsightRuleReport
cloudwatch:GetMetricData
cloudwatch:DescribeAlarms
ec2:DescribeTags

Awas

Semua orang yang Anda berbagi dasbor dengannya mendapatkan izin-izin ini untuk akun tersebut. Jika Anda membagikan dasbor secara publik, maka setiap orang yang memiliki tautan ke dasbor tersebut akan mendapatkan izin-izin ini.

Saat Anda membagikan dasbor, secara default izin yang CloudWatch dibuat membatasi akses hanya ke alarm dan aturan Wawasan Kontributor yang ada di dasbor saat dibagikan. Jika Anda menambahkan alarm baru atau peraturan Wawasan Kontributor baru ke dasbor tersebut dan menginginkan alarm dan aturan itu juga dilihat oleh orang yang Anda ajak berbagi dasbor,maka Anda harus memperbarui kebijakan untuk mengizinkan sumber daya ini.

Gunakan langkah-langkah di bagian ini untuk berbagi dasbor dengan sebanyak lima alamat email yang Anda pilih.

catatan

Secara default, widget CloudWatch Log apa pun di dasbor tidak terlihat oleh orang yang berbagi dasbor dengan Anda. Untuk informasi selengkapnya, lihat Mengizinkan orang yang Anda ajak berbagi dasbor melihat widget tabel log.

Secara bawaan, widget alarm gabungan apa pun yang ada di dasbor tidak akan terlihat oleh orang yang Anda ajak berbagi dasbor. Untuk informasi selengkapnya, lihat Memungkinkan orang yang Anda ajak berbagi dasbor melihat alarm gabungan.

Cara berbagi sebuah dasbor dengan pengguna tertentu

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor Anda.
Pilih Tindakan, Bagikan dasbor.
Di samping Bagikan dasbor Anda dan minta nama pengguna dan kata sandi, pilih Mulai berbagi.
Pada Tambahkan alamat email, masukkan alamat-alamat email yang Anda ingin berbagi dasbor dengannya. Anda dapat memasukkan sebanyak lima alamat email.
Ketika semua alamat email sudah Anda masukkan, baca perjanjian dan pilih kotak konfirmasi. Kemudian pilih Pratinjau kebijakan.
Konfirmasi bahwa sumber daya yang akan dibagikan adalah apa yang Anda inginkan, kemudian pilih Konfirmasi dan buat tautan yang dapat dibagikan.
Pada halaman berikutnya, pilih Salin tautan ke clipboard. Kemudian, Anda dapat menempelkan tautan ini ke dalam email dan mengirimkannya kepada para pengguna yang ingin Anda undang. Mereka secara otomatis akan menerima email terpisah dengan nama pengguna dan kata sandi sementara yang bisa digunakan untuk terhubung ke dasbor.

Lakukan langkah-langkah yang diuraikan dalam bagian ini untuk berbagi sebuah dasbor secara publik. Hal ini berguna untuk menampilkan sebuah dasbor di layar besar di sebuah ruang tim, atau Anda dapat menyematkannya di halaman Wiki.

penting

Berbagi dasbor secara publik akan membuat dasbor dapat diakses oleh orang-orang yang memiliki tautan, tanpa ada autentikasi. Lakukan ini hanya untuk dasbor-dasbor yang tidak memuat informasi sensitif.

catatan

Cara berbagi sebuah dasbor secara publik

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor Anda.
Pilih Tindakan, Bagikan dasbor.
Di samping Bagikan dasbor Anda secara publik, pilih Mulai berbagi.
Masukkan Confirm di kotak teks.
Baca perjanjian dan pilih kotak konfirmasi. Kemudian pilih Pratinjau kebijakan.
Konfirmasi bahwa sumber daya yang akan dibagikan adalah apa yang Anda inginkan, kemudian pilih Konfirmasi dan buat tautan yang dapat dibagikan.
Pada halaman berikutnya, pilih Salin tautan ke clipboard. Kemudian, Anda akan dapat membagikan tautan ini. Setiap orang yang berbagi tautan dengan Anda akan dapat mengakses dasbor, tanpa perlu memberikan kredensial.

Gunakan langkah-langkah di bagian ini untuk berbagi semua dasbor yang ada di akun Anda dengan para pengguna dengan menggunakan sistem masuk tunggal (SSO).

catatan

Untuk berbagi CloudWatch dasbor Anda dengan pengguna yang ada dalam daftar penyedia SSO

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor Anda.
Pilih Tindakan, Bagikan dasbor.
Pilih Buka CloudWatch Pengaturan.
Jika penyedia SSO yang Anda inginkan tidak tercantum dalam Penyedia SSO yang tersedia, pilih Kelola penyedia SSO dan ikuti petunjuk-petunjuk yang dijelaskan di Siapkan SSO untuk berbagi CloudWatch dasbor.

Kemudian kembali ke CloudWatch konsol dan segarkan browser. Penyedia SSO yang Anda aktifkan sekarang akan dimunculkan dalam daftar tersebut.
Pilih penyedia layanan SSO yang Anda kehendaki di daftar Penyedia SSO yang tersedia.
Pilih Simpan perubahan.

Untuk menyiapkan berbagi dasbor melalui penyedia masuk tunggal pihak ketiga yang mendukung SAML, Anda harus menyelesaikan langkah-langkah ini.

penting

Kami sangat menyarankan agar Anda tidak membagikan dasbor dengan menggunakan penyedia SSO non-SAML. Karena hal tersebut akan menimbulkan risiko di mana Anda membiarkan pihak ketiga dapat mengakses dasbor akun Anda.secara tidak sengaja.

Cara mengatur penyedia SSO agar memungkinkan berbagi dasbor

Integrasikan penyedia SSO dengan Amazon Cognito. Untuk informasi selengkapnya, silakan lihat Mengintegrasikan Penyedia Identitas SAML Pihak Ketiga dengan Kolam Pengguna Amazon Cognito.
Unduh file XML metadata dari penyedia SSO Anda.
Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Pengaturan.
Di bagian Berbagi dasbor, pilih Konfigurasikan.
Pilih Kelola penyedia SSO.

Langkah ini akan membuka konsol Amazon Cognito di Wilayah AS Timur (Virginia Utara) (us-east-1). Jika Anda tidak melihat Kolam Pengguna, ada kemungkinan konsol Amazon Cognito telah dibuka di Wilayah yang berbeda. Jika demikian, Anda harus mengubah Wilayah menjadi AS Timur ( Virginia Utara) us-east-1 dan melanjutkan dengan langkah selanjutnya.
Pilih CloudWatchDashboardSharing kumpulan.
Pada panel navigasi, silakan pilih Penyedia identitas.
Pilih SAML.
Masukkan nama untuk penyedia SSO Anda di Nama penyedia.
Pilih Pilih file, kemudian pilih berkas XML metadata yang Anda unduh di langkah 1.
Pilih Buat penyedia.

Anda dapat menggunakan CloudWatch konsol untuk melihat berapa banyak CloudWatch dasbor Anda yang saat ini dibagikan dengan orang lain.

Cara melihat berapa banyak dasbor Anda yang sedang dibagikan

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Pengaturan.
Bagian Berbagi dasbor menampilkan berapa banyak dasbor yang Anda bagikan.
Untuk melihat dasbor mana yang Anda bagikan, pilih nomor dasbor bersama di Nama pengguna dan kata sandi dan di Dasbor publik.

Anda dapat menggunakan CloudWatch konsol untuk melihat dasbor mana yang sedang dibagikan dengan orang lain.

Cara melihat dasbor mana yang sedang Anda bagikan

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Dasbor.
Dalam daftar dasbor, silakan lihat kolom Bagikan. Dasbor yang memiliki ikon terisi di kolom ini, artinya dasbor itu saat ini sedang dibagikan.
Untuk melihat pengguna mana yang sedang berbagi dasbor, pilih nama dasbor, kemudian pilih Tindakan, Bagikan dasbor.

Halaman Bagikan dasbor nama dasbor menampilkan bagaimana dasbor-dasbor itu dibagikan. Jika Anda mau, Anda bisa berhenti berbagi dasbor dengan memilih Berhenti berbagi.

Anda dapat berhenti berbagi satu dasbor yang sudah Anda bagikan, atau berhenti berbagi semua dasbor yang sudah Anda bagikan secara sekaligus.

Cara berhenti berbagi satu dasbor tunggal

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor yang Anda bagikan.
Pilih Tindakan, Bagikan dasbor.
Pilih Berhenti berbagi.
Di kotak konfirmasi, pilih Hentikan berbagi.

Cara berhenti berbagi semua dasbor yang sudah Anda bagikan

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Pengaturan.
Di bagian Berbagi dasbor, pilih Berhenti berbagi semua dasbor.
Dalam kotak konfirmasi, pilih Berhenti berbagi semua dasbor.

Gunakan langkah-langkah yang diuraikan di bagian ini jika Anda ingin meninjau izin pengguna dasbor yang sudah Anda bagikan, atau mengubah cakupan izin dasbor yang sudah Anda bagikan.

Cara meninjau izin dasbor yang sudah Anda bagikan

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor yang Anda bagikan.
Pilih Tindakan, Bagikan dasbor.
Di Sumber Daya, pilih Peran IAM.
Di konsol IAM, pilih kebijakan yang ditampilkan.
(Opsional) Untuk membatasi alarm mana yang dapat dilihat pengguna dasbor yang sudah Anda bagikan, pilih Edit kebijakan dan pindahkan izin cloudwatch:DescribeAlarms dari posisi saat ini ke sebuah pernyataan Allow baru yang berisi ARN hanya dari alarm yang Anda inginkan untuk dilihat oleh pengguna dasbor yang sudah Anda bagikan. Lihat contoh berikut ini.
```
{
   "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "AlarmARN1",
        "AlarmARN2"
    ]
}
```
Jika Anda melakukan hal ini, Anda harus memastikan untuk menghapus izin cloudwatch:DescribeAlarms dari bagian kebijakan saat ini yang terlihat seperti ini:
```
{ 
   "Effect": "Allow",
    "Action": [
        "cloudwatch:GetInsightRuleReport",
        "cloudwatch:GetMetricData",
        "cloudwatch:DescribeAlarms",
        "ec2:DescribeTags"
    ],
    "Resource": "*"
}
```
(Opsional) Untuk membatasi cakupan aturan-aturan Wawasan Kontributor yang dapat dilihat oleh pengguna dasbor yang sudah Anda bagikan, pilih Edit kebijakan dan pindahkan cloudwatch:GetInsightRuleReport dari posisinya saat ini ke sebuah pernyataan Allow baru yang mencantumkan ARN hanya dari aturan-aturan Wawasan Kontributor yang Anda inginkan untuk dilihat oleh pengguna dasbor yang sudah Anda bagikan. Lihat contoh berikut ini.
```
{
   "Effect": "Allow",
    "Action": "cloudwatch:GetInsightRuleReport",
    "Resource": [
        "PublicContributorInsightsRuleARN1",
        "PublicContributorInsightsRuleARN2"
    ]
}
```
Jika Anda melakukan hal ini, Anda harus memastikan untuk menghapus cloudwatch:GetInsightRuleReport dari bagian kebijakan saat ini yang terlihat seperti ini:
```
{
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetInsightRuleReport",
                "cloudwatch:GetMetricData",
                "cloudwatch:DescribeAlarms",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        }
```

Saat Anda berbagi dasbor, secara default widget alarm gabungan yang ada di dasbor tidak akan terlihat oleh orang yang Anda ajak berbagi dasbor. Agar widget alarm gabungan terlihat oleh mereka, Anda perlu menambahkan sebuah izin DescribeAlarms: * pada kebijakan berbagi dasbor. Izin itu akan terlihat seperti ini:


{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
}

Awas

Pernyataan kebijakan sebelumnya memberikan akses ke semua alarm yang ada di akun. Untuk mengurangi ruang lingkup cloudwatch:DescribeAlarms, Anda harus menggunakan sebuah pernyataan Deny. Anda dapat menambahkan sebuah pernyataan Deny ke kebijakan tersebut dan menentukan ARN alarm yang ingin Anda kunci. Pernyataan penolakan itu akan terlihat seperti berikut ini:


{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
},
{   
    "Effect": "Deny",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "SensitiveAlarm1ARN",
        "SensitiveAlarm1ARN"
    ]
}

Saat Anda berbagi dasbor, secara default widget Wawasan CloudWatch Log yang ada di dasbor tidak terlihat oleh orang-orang yang berbagi dasbor dengan Anda. Ini memengaruhi widget Wawasan CloudWatch Log yang ada sekarang dan semua yang ditambahkan ke dasbor setelah Anda membagikannya.

Jika Anda ingin orang-orang ini dapat melihat widget CloudWatch Log, Anda harus menambahkan izin ke peran IAM untuk berbagi dasbor.

Untuk memungkinkan orang yang berbagi dasbor dengan Anda melihat widget CloudWatch Log

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor yang Anda bagikan.
Pilih Tindakan, Bagikan dasbor.
Di Sumber Daya, pilih Peran IAM.
Di konsol IAM, pilih kebijakan yang ditampilkan.

Pilih Edit kebijakan dan tambahkan pernyataan berikut. Di dalam pernyataan baru ini, kami menyarankan Anda untuk menentukan ARN hanya dari grup log yang ingin Anda bagikan. Lihat contoh berikut ini.


{
            "Effect": "Allow",
            "Action": [
                "logs:FilterLogEvents",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetLogRecord",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "SharedLogGroup1ARN",
                "SharedLogGroup2ARN"
           ]
        },

Pilih Simpan Perubahan.

Jika kebijakan IAM Anda yang digunakan untuk berbagi dasbor sudah mencakup lima izin tersebut dengan * sebagai sumber daya, maka kami sangat menyarankan Anda untuk mengubah kebijakan dan menentukan hanya ARN grup log yang Anda ingin bagikan. Sebagai contoh, jika bagian Resource Anda untuk izin-izin ini adalah sebagai berikut:


"Resource": "*"

Ubah kebijakan itu sehingga menentukan hanya ARN grup log yang Anda ingin bagikan, seperti dalam contoh berikut:


"Resource": [
  "SharedLogGroup1ARN",
  "SharedLogGroup2ARN"
]

Saat Anda berbagi dasbor, secara default widget kustom yang ada di dasbor tidak akan terlihat oleh orang yang Anda ajak berbagi dasbor. Hal ini memengaruhi widget kustom yang ada sekarang dan setiap widget yang ditambahkan ke dasbor setelah Anda berbagi dasbor tersebut.

Jika Anda ingin orang tersebut dapat melihat widget kustom, maka Anda harus menambahkan izin ke peran IAM yang digunakan untuk berbagi dasbor.

Cara memungkinkan orang yang Anda berbagi dasbor dengannya untuk melihat widget kustom

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Pada panel navigasi, silakan pilih Dasbor.
Pilih nama dasbor yang Anda bagikan.
Pilih Tindakan, Bagikan dasbor.
Di Sumber Daya, pilih Peran IAM.
Di konsol IAM, pilih kebijakan yang ditampilkan.
Pilih Edit kebijakan dan tambahkan pernyataan berikut. Dalam pernyataan baru ini, kami menyarankan Anda untuk menentukan ARN hanya dari fungsi Lambda yang ingin Anda bagikan. Lihat contoh berikut ini.
```
{
  "Sid": "Invoke",
  "Effect": "Allow",
  "Action": [
      "lambda:InvokeFunction"
  ],
  "Resource": [
    "LambdaFunction1ARN",
    "LambdaFunction2ARN"
  ]
 }
```
Pilih Simpan Perubahan.

Jika kebijakan IAM Anda yang digunakan untuk berbagi dasbor sudah mencakup izin tersebut * sebagai sumber daya, maka kami sangat menyarankan Anda untuk mengubah kebijakan itu dan menentukan hanya ARN fungsi Lambda yang ingin Anda bagikan. Sebagai contoh, jika bagian Resource Anda untuk izin-izin ini adalah sebagai berikut:


"Resource": "*"

Mengubah kebijakan untuk menentukan hanya ARN widget kustom yang ingin Anda bagikan saja, seperti dalam contoh berikut:


"Resource": [
  "LambdaFunction1ARN",
  "LambdaFunction2ARN"
]

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menautkan dan membatalkan tautan grafik

Menggunakan data langsung