データソースへのアクセスの管理 - Amazon CloudWatch

データソースへのアクセスの管理

CloudWatch は、AWS CloudFormation を使用して、アカウントで必要になるリソースを作成します。IAM ユーザーに CreateStack アクセス許可を付与する場合は、cloudformation:TemplateUrl 条件を使用して AWS CloudFormation テンプレートへのアクセスを制御することをお勧めします。

警告

データソース呼び出しアクセス許可をユーザーに付与した場合、そのユーザーはデータソースに対して直接 IAM アクセス許可を持っていなくても、そのデータソースのメトリクスをクエリできます。例えば、Amazon Managed Service for Prometheus データソース Lambda 関数に対する lambda:InvokeFunction アクセス許可をユーザーに付与した場合、そのユーザーは対応する Amazon Managed Service for Prometheus ワークスペースに対して直接 IAM アクセスを持っていなくても、そのワークスペースからメトリクスをクエリできます。

データソースのテンプレート URL は、CloudWatch Settings Console の [スタックを作成] ページにあります。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}

AWS CloudFormation アクセスを制御する方法の詳細については、「AWS Identity and Access Management によるアクセスの制御」を参照してください。