CloudWatch는 AWS CloudFormation을 사용하여 계정에 필요한 리소스를 생성합니다. IAM 사용자에게 CreateStack 권한을 부여할 때 cloudformation:TemplateUrl 조건을 사용하여 AWS CloudFormation 템플릿에 대한 액세스를 제어하는 것이 좋습니다.
주의
데이터 소스 호출 권한을 부여받은 모든 사용자는 해당 데이터 소스에 대한 직접적인 IAM 권한이 없더라도 해당 데이터 소스에서 지표를 쿼리할 수 있습니다. 예를 들어, Amazon Managed Service for Prometheus 데이터 소스 Lambda 함수에 대한 lambda:InvokeFunction 권한을 사용자에게 부여하면 해당 작업 공간에 대한 직접적인 IAM 액세스 권한을 부여하지 않았더라도 사용자는 해당하는 Amazon Managed Service for Prometheus 작업 영역에서 지표를 쿼리할 수 있습니다.
CloudWatch 설정 콘솔의 스택 생성 페이지에서 데이터 소스의 템플릿 URL을 찾을 수 있습니다.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect" : "Allow",
"Action" : [ "cloudformation:CreateStack" ],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"cloudformation:TemplateUrl" : [ data-source-template-url ]
}
}
}
]
}AWS CloudFormation 액세스 제어에 대한 자세한 내용은 AWS Identity and Access Management를 사용한 액세스 제어를 참조하세요.
