CloudWatch 공유 - Amazon CloudWatch

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudWatch 공유

CloudWatch 대시보드를 직접 액세스할 수 없는 사용자와 공유할 수 있습니다.AWS계정을 선택합니다. 이렇게 하면 팀 간, 이해 관계자 및 조직 외부의 사용자와 대시보드를 공유할 수 있습니다. 팀 영역의 큰 화면에 대시보드를 표시하거나 Wiki 및 기타 웹 페이지에 포함할 수도 있습니다.

주의

대시보드를 공유하는 모든 사용자에게대시보드를 공유하는 사용자에게 부여된 사용 권한계정에 대해 대시보드를 공개적으로 공유하는 경우 대시보드에 대한 링크가 있는 모든 사용자에게 이러한 권한이 부여됩니다.

cloudwatch:GetMetricDataec2:DescribeTags권한은 특정 지표 또는 EC2 인스턴스로 범위를 지정할 수 없으므로 대시보드에 액세스할 수 있는 사용자는 계정에 있는 모든 EC2 인스턴스의 모든 CloudWatch 지표와 이름과 태그를 쿼리할 수 있습니다.

대시보드를 공유할 때 다음 세 가지 방법으로 대시보드를 볼 수 있는 사용자를 지정할 수 있습니다.

  • 단일 대시보드를 공유하고 대시보드를 볼 수 있는 사용자의 특정 전자 메일 주소를 지정합니다. 이러한 각 사용자는 대시보드를 보기 위해 입력해야 하는 고유한 암호를 만듭니다.

  • 링크를 가진 모든 사용자가 대시보드를 볼 수 있도록 단일 대시보드를 공개적으로 공유합니다.

  • 계정의 모든 CloudWatch 대시보드를 공유하고 대시보드 액세스를 위한 타사 SSO (Single Sign-On) 공급자를 지정합니다. 이 SSO 공급자 목록의 구성원인 모든 사용자는 계정의 모든 대시보드에 액세스할 수 있습니다. 이를 활성화하려면 SSO 공급자를 Amazon Cognito 와 통합합니다. SSO 공급자가 SAML (Security Assertion Markup Language) 을 지원해야 Amazon Cognito 에 대한 자세한 내용은 단원을 참조하십시오.Amazon Cognito 는 무엇입니까?

대시보드를 공유하는 데 필요한 권한

다음 방법 중 하나를 사용하여 대시보드를 공유하고 이미 공유된 대시보드를 확인하려면 특정 권한이 있는 IAM 사용자 또는 IAM 역할에 로그온해야 합니다.

대시보드를 공유하려면 IAM 사용자 또는 IAM 역할에 다음 정책 설명에 포함된 권한이 포함되어야 합니다.

{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CWDBSharing*", "arn:aws:iam::*:policy/*" ] }, { "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*", ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetDashboard", ], "Resource": [ "*" // or the ARNs of dashboards that you want to share ] }

공유되는 대시보드를 확인할 수 있지만 대시보드를 공유할 수 없는 경우 IAM 사용자 또는 IAM 역할에 다음과 유사한 정책 설명이 포함될 수 있습니다.

{ "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListDashboards", ], "Resource": [ "*" ] }

대시보드를 공유하는 사용자에게 부여된 사용 권한

대시보드를 공유하면 CloudWatch 가 계정에 IAM 역할을 생성하여 대시보드를 공유하는 사용자에게 다음과 같은 권한을 부여합니다.

  • cloudwatch:GetInsightRuleReport

  • cloudwatch:GetMetricData

  • cloudwatch:DescribeAlarms

  • ec2:DescribeTags

주의

대시보드를 공유하는 모든 사용자에게는 계정에 대한 이러한 권한이 부여됩니다. 대시보드를 공개적으로 공유하는 경우 대시보드에 대한 링크가 있는 모든 사용자에게 이러한 권한이 부여됩니다.

cloudwatch:GetMetricDataec2:DescribeTags권한은 특정 지표 또는 EC2 인스턴스로 범위를 지정할 수 없으므로 대시보드에 액세스할 수 있는 사용자는 계정에 있는 모든 EC2 인스턴스의 모든 CloudWatch 지표와 이름과 태그를 쿼리할 수 있습니다.

대시보드를 공유하는 경우 기본적으로 CloudWatch 에서 생성하는 권한은 대시보드가 공유될 때 대시보드에 있는 경보 및 기여자 통찰력 규칙에만 대한 액세스를 제한합니다. 대시보드에 새 경보 또는 기여자 인사이트 규칙을 추가하고 대시보드를 공유한 사용자도 이 규칙을 표시하도록 하려면 이러한 리소스를 허용하도록 정책을 업데이트해야 합니다.

특정 사용자와 단일 대시보드 공유

이 섹션의 단계를 사용하여 선택한 특정 전자 메일 주소와 대시보드를 공유합니다.

참고

기본적으로 대시보드의 CloudWatch Logs 위젯은 대시보드를 공유하는 사용자에게는 표시되지 않습니다. 자세한 정보는 공유하는 사용자에게 로그 테이블 위젯을 볼 수 있도록 허용을 참조하십시오.

기본적으로 대시보드의 모든 복합 경보 위젯은 대시보드를 공유하는 사용자에게는 표시되지 않습니다. 자세한 정보는 공유한 사용자가 복합 경보를 볼 수 있도록 허용을 참조하십시오.

특정 사용자와 대시보드를 공유하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드를 선택합니다.

  3. 대시보드의 이름을 선택합니다.

  4. 선택작업,대시보드 공유.

  5. [] 옆에대시보드를 공유하고 사용자 이름과 암호 필요를 선택하고공유 시작.

  6. []이메일 주소 추가에서 대시보드를 공유할 이메일 주소를 입력합니다.

  7. 모든 이메일 주소를 입력했으면 계약서를 읽고 확인 상자를 선택하십시오. 그런 다음정책 미리 보기 정책.

  8. 공유될 리소스가 원하는 리소스인지 확인하고공유 가능한 링크 확인 및 생성.

  9. 다음 페이지에서 [] 를 선택합니다.클립보드에 링크 복사. 그런 다음 이 링크를 이메일에 붙여넣고 초대된 사용자에게 보낼 수 있습니다. 대시보드에 연결하는 데 사용할 사용자 이름과 임시 암호가 포함된 별도의 전자 메일을 자동으로 받습니다.

단일 대시보드를 공개적으로 공유

대시보드를 공개적으로 공유하려면 이 섹션의 단계를 따르십시오. 대시보드를 팀실의 큰 화면에 표시하거나 Wiki 페이지에 포함할 때 유용할 수 있습니다.

중요

대시보드를 공개적으로 공유하면 인증 없이 링크가 있는 모든 사용자가 대시보드에 액세스할 수 있습니다. 민감한 정보가 포함되어 있지 않은 대시보드에만 이 작업을 수행합니다.

참고

기본적으로 대시보드의 CloudWatch Logs 위젯은 대시보드를 공유하는 사용자에게는 표시되지 않습니다. 자세한 정보는 공유하는 사용자에게 로그 테이블 위젯을 볼 수 있도록 허용을 참조하십시오.

기본적으로 대시보드의 모든 복합 경보 위젯은 대시보드를 공유하는 사용자에게는 표시되지 않습니다. 자세한 정보는 공유한 사용자가 복합 경보를 볼 수 있도록 허용을 참조하십시오.

대시보드를 공개적으로 공유하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드를 선택합니다.

  3. 대시보드의 이름을 선택합니다.

  4. 선택작업,대시보드 공유.

  5. [] 옆에대시보드를 공개적으로 공유하려면를 선택하고공유 시작.

  6. EnterConfirm텍스트 상자에 입력합니다.

  7. 계약서를 읽고 확인 상자를 선택합니다. 그런 다음정책 미리 보기 정책.

  8. 공유될 리소스가 원하는 리소스인지 확인하고공유 가능한 링크 확인 및 생성.

  9. 다음 페이지에서 [] 를 선택합니다.클립보드에 링크 복사. 그런 다음 이 링크를 공유할 수 있습니다. 링크를 공유하는 사람은 누구나 자격 증명을 제공하지 않고도 대시보드에 액세스할 수 있습니다.

SSO를 사용하여 계정에 있는 모든 CloudWatch 대시보드 공유

SSO (Single Sign-On) 를 사용하여 계정의 모든 대시보드를 사용자와 공유하려면 이 섹션의 단계를 따릅니다.

참고

기본적으로 대시보드의 CloudWatch Logs 위젯은 대시보드를 공유하는 사용자에게는 표시되지 않습니다. 자세한 정보는 공유하는 사용자에게 로그 테이블 위젯을 볼 수 있도록 허용을 참조하십시오.

기본적으로 대시보드의 모든 복합 경보 위젯은 대시보드를 공유하는 사용자에게는 표시되지 않습니다. 자세한 정보는 공유한 사용자가 복합 경보를 볼 수 있도록 허용을 참조하십시오.

SSO 공급자 목록에 있는 사용자와 CloudWatch 대시보드를 공유하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드를 선택합니다.

  3. 대시보드의 이름을 선택합니다.

  4. 선택작업,대시보드 공유.

  5. 선택CloudWatch 설정으로 이동합니다..

  6. 원하는 SSO 공급자가사용 가능한 SSO 공급자를 선택하고공급자 관리에 있는 지침을 따릅니다.CloudWatch 대시보드 공유를 위한 SSO 설정.

    그런 다음 CloudWatch 콘솔로 돌아가서 브라우저를 새로 고칩니다. 이제 활성화한 SSO 공급자가 목록에 표시됩니다.

  7. 속성 매니저에서 원하는 SSO 공급자를 선택합니다.사용 가능한 SSO 공급자목록을 선택합니다.

  8. [변경 사항 저장(Save changes)]을 선택합니다.

CloudWatch 대시보드 공유를 위한 SSO 설정

SAML을 지원하는 타사 Single Sign-On 공급자를 통해 대시보드 공유를 설정하려면 다음 단계를 수행합니다.

중요

SAML SSO 공급자를 사용하지 않는 것이 좋습니다. 이렇게 하면 실수로 제3자가 계정의 대시보드에 액세스하도록 허용할 위험이 있습니다.

대시보드 공유를 사용하도록 SSO 공급자를 설정하려면

  1. SSO 공급자를 Amazon Cognito 와 통합합니다. 자세한 내용은 단원을 참조하십시오.타사 SAML 자격 증명 공급자와 Amazon Cognito 사용자 풀 통합.

  2. SSO 공급자에서 메타데이터 XML 파일을 다운로드합니다.

  3. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  4. 탐색 창에서 [ Settings]을 선택합니다.

  5. 에서대시보드 공유섹션에서구성.

  6. 선택공급자 관리.

    그러면 미국 동부 (버지니아 북부) 리전 (us-east-1) 에서 Amazon Cognito 콘솔이 열립니다. 아무 것도 보이지 않는 경우사용자 풀를 사용하는 경우 Amazon Cognito 콘솔이 다른 지역에서 열었을 수 있습니다. 그렇다면 리전을미국 동부(버지니아 북부) us-east-1을 클릭하고 다음 단계를 진행하십시오.

  7. 선택을 선택합니다.클라우드워치대시보드 공유수영장.

  8. 탐색 창에서 [자격 증명 공급자(Identity providers)]를 선택합니다.

  9. SAML을 선택합니다.

  10. SSO 공급자의 이름을 입력합니다.공급자 이름.

  11. 선택파일 선택을 클릭하고 1단계에서 다운로드한 메타데이터 XML 파일을 선택합니다.

  12. 공급자 생성을 선택합니다.

공유되는 대시보드 수 보기

CloudWatch 콘솔을 사용하여 현재 다른 사용자와 공유 중인 CloudWatch 대시보드 수를 확인할 수 있습니다.

공유되는 대시보드의 수를 확인하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 [ Settings]을 선택합니다.

  3. 대시보드 공유섹션에는 공유되는 대시보드 수가 표시됩니다.

  4. 공유되는 대시보드를 보려면숫자대시보드 공유[]사용자 이름 및 암호[] 을 선택하고공용 대시보드

공유되는 대시보드 보기

CloudWatch 콘솔을 사용하여 현재 다른 사용자와 공유 중인 대시보드를 확인할 수 있습니다.

공유 중인 대시보드를 확인하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드를 선택합니다.

  3. 대시보드 목록에서공유열을 선택합니다. 이 열에 아이콘이 채워진 대시보드는 현재 공유 중입니다.

  4. 대시보드가 공유되는 사용자를 확인하려면 대시보드 이름을 선택한 다음작업,대시보드 공유.

    대시보드 공유대시보드 이름페이지에는 대시보드 공유 방법이 표시됩니다. 원하는 경우 대시보드 공유를 중지할 수 있습니다.공유 중지.

대시보드를 하나 이상 공유하지 않도록

단일 공유 대시보드 공유를 중지하거나 모든 공유 대시보드 공유를 한 번에 중지할 수 있습니다.

단일 대시보드의 공유를 중지하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드를 선택합니다.

  3. 공유 대시보드의 이름을 선택합니다.

  4. 선택작업,대시보드 공유.

  5. 선택공유 중지.

  6. 확인 상자에서 [] 를 선택합니다.공유 중지.

모든 공유 대시보드를 공유하지 않으려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 [ Settings]을 선택합니다.

  3. 에서대시보드 공유섹션에서모든 대시보드 공유 중지.

  4. 확인 상자에서 [] 를 선택합니다.모든 대시보드 공유 중지.

공유 대시보드 사용 권한 검토 및 사용 권한 범위 변경

공유 대시보드 사용자의 사용 권한을 검토하거나 공유 대시보드 사용 권한의 범위를 변경하려면 이 섹션의 단계를 사용합니다.

공유 대시보드 사용 권한을 검토하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드를 선택합니다.

  3. 공유 대시보드의 이름을 선택합니다.

  4. 선택작업,대시보드 공유.

  5. []리소스를 선택하고IAM 역할.

  6. IAM 콘솔에서 표시된 정책을 선택합니다.

  7. (선택 사항) 공유 대시보드 사용자가 볼 수 있는 경보를 제한하려면정책 편집을 선택하고cloudwatch:DescribeAlarms권한을 현재 위치에서 새Allow문을 사용하여 공유 대시보드 사용자가 표시하려는 경보의 ARN만 나열합니다. 다음 예를 참조하십시오.

    { "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "AlarmARN1", "AlarmARN2" ] }

    이렇게 하려면 반드시cloudwatch:DescribeAlarms권한을 다음과 같은 현재 정책의 섹션에서

    { "Effect": "Allow", "Action": [ "cloudwatch:GetInsightRuleReport", "cloudwatch:GetMetricData", "cloudwatch:DescribeAlarms", "ec2:DescribeTags" ], "Resource": "*" }
  8. (선택 사항) 공유 대시보드 사용자가 볼 수 있는 기여자 인사이트 규칙의 범위를 제한하려면정책 편집을 선택하고cloudwatch:GetInsightRuleReport현재 위치에서 새Allow문은 공유 대시보드 사용자가 표시하려는 기여자 인사이트 규칙의 ARN만 나열합니다. 다음 예를 참조하십시오.

    { "Effect": "Allow", "Action": "cloudwatch:GetInsightRuleReport", "Resource": [ "PublicContributorInsightsRuleARN1", "PublicContributorInsightsRuleARN2" ] }

    이 작업을 수행 하는 경우 제거 해야 합니다.cloudwatch:GetInsightRuleReport현재 정책의 섹션에서 다음과 같은 섹션을 추가합니다.

    { "Effect": "Allow", "Action": [ "cloudwatch:GetInsightRuleReport", "cloudwatch:GetMetricData", "cloudwatch:DescribeAlarms", "ec2:DescribeTags" ], "Resource": "*" }

공유한 사용자가 복합 경보를 볼 수 있도록 허용

대시보드를 공유하는 경우 기본적으로 대시보드의 복합 경보 위젯은 대시보드를 공유하는 사용자에게 표시되지 않습니다. 복합 알람 위젯을 볼 수 있으려면DescribeAlarms: *권한을 대시보드 공유 정책에 추가합니다. 해당 권한은 다음과 같습니다.

{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }
주의

앞의 정책 설명을 통해 계정의 모든 경보에 액세스할 수 있습니다. 의 범위를 줄이려면cloudwatch:DescribeAlarms를 사용하는 경우Deny문을 사용합니다. 추가할 수 있습니다.Deny문을 정책에 추가하고 잠글 경보의 ARN을 지정합니다. 해당 거부 문은 다음과 비슷할 것입니다.

{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Effect": "Deny", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "SensitiveAlarm1ARN", "SensitiveAlarm1ARN" ] }

공유하는 사용자에게 로그 테이블 위젯을 볼 수 있도록 허용

대시보드를 공유하는 경우 대시보드에 있는 CloudWatch Logs 인사이트 위젯은 기본적으로 대시보드를 공유하는 사용자에게 표시되지 않습니다. 이는 현재 존재하는 CloudWatch Logs 인사이트 위젯과 공유 후 대시보드에 추가된 위젯에 모두 영향을 줍니다.

이러한 사용자가 CloudWatch Logs 위젯을 볼 수 있게 하려면 대시보드 공유를 위한 IAM 역할에 권한을 추가해야 합니다.

대시보드를 공유하는 사용자가 CloudWatch Logs 위젯을 볼 수 있도록 하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드를 선택합니다.

  3. 공유 대시보드의 이름을 선택합니다.

  4. 선택작업,대시보드 공유.

  5. []리소스를 선택하고IAM 역할.

  6. IAM 콘솔에서 표시된 정책을 선택합니다.

  7. 선택정책 편집를 클릭하고 다음 문을 추가합니다. 새 문에서는 공유할 로그 그룹의 ARN만 지정하는 것이 좋습니다. 다음 예를 참조하십시오.

    { "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:StartQuery", "logs:StopQuery", "logs:GetLogRecord" ], "Resource": [ "SharedLogGroup1ARN", "SharedLogGroup2ARN" ] },
  8. 변경 사항 저장을 선택합니다.

대시보드 공유에 대한 IAM 정책에 이미*를 리소스로 사용하려면 정책을 변경하고 공유할 로그 그룹의 ARN만 지정하는 것이 좋습니다. 예를 들어,Resource섹션은 다음과 같습니다.

"Resource": "*"

다음 예와 같이 공유할 로그 그룹의 ARN만 지정하도록 정책을 변경합니다.

"Resource": [ "SharedLogGroup1ARN", "SharedLogGroup2ARN" ]