CloudWatch 대시보드 공유 - Amazon CloudWatch
대시보드 공유에 필요한 권한대시보드를 공유받는 사용자에게 부여되는 권한특정 사용자와 단일 대시보드 공유공개적으로 단일 대시보드 공유SSO를 사용하여 계정의 모든 CloudWatch 대시보드 공유CloudWatch 대시보드 공유를 위한 SSO 설정공유되는 대시보드 수 확인공유되는 대시보드 확인하나 이상의 대시보드 공유 중지공유된 대시보드 권한 검토 및 권한 범위 변경공유받는 사용자가 복합 경보를 볼 수 있도록 허용공유받는 사용자가 로그 테이블 위젯을 볼 수 있도록 허용공유받는 사용자가 사용자 지정 위젯을 볼 수 있도록 허용

CloudWatch 대시보드 공유

AWS 계정에 직접 액세스할 수 없는 사용자와 CloudWatch 대시보드를 공유할 수 있습니다. 이렇게 하면 팀 간에 그리고 이해 관계자 및 조직 외부의 사람들과 대시보드를 공유할 수 있습니다. 대시보드를 팀 영역의 큰 화면에 표시하거나 Wiki 및 다른 웹 페이지에 포함할 수도 있습니다.

주의

대시보드를 공유받는 모든 사람에게는 계정의 대시보드를 공유받는 사용자에게 부여되는 권한 단원에 나열된 권한이 부여됩니다. 대시보드를 공개적으로 공유하면 대시보드에 대한 링크가 있는 모든 사람이 이러한 권한을 보유합니다.

cloudwatch:GetMetricDataec2:DescribeTags 권한의 경우 특정 지표 또는 EC2 인스턴스로 범위를 좁힐 수 없으므로 대시보드에 대한 액세스 권한이 있는 사용자는 모든 CloudWatch 지표와 계정에 있는 모든 EC2 인스턴스의 이름 및 태그를 쿼리할 수 있습니다.

대시보드를 공유할 때 다음 세 가지 방법으로 대시보드를 볼 수 있는 사용자를 지정할 수 있습니다.

  • 단일 대시보드를 공유하고 대시보드를 볼 수 있는 사용자의 이메일 주소를 최대 5개 지정합니다. 이러한 각 사용자는 대시보드를 보기 위해 입력해야 하는 고유한 암호를 생성합니다.

  • 링크가 있는 사람은 누구나 대시보드를 볼 수 있도록 단일 대시보드를 공개적으로 공유합니다.

  • 계정의 모든 CloudWatch 대시보드를 공유하고 대시보드 액세스를 위한 서드 파티 통합 인증(SSO) 공급자를 지정합니다. 이 SSO 공급자 목록의 멤버인 모든 사용자는 계정의 모든 대시보드에 액세스할 수 있습니다. 이를 사용하려면 SSO 공급자를 Amazon Cognito와 통합합니다. SSO 공급자는 Security Assertion Markup Language(SAML)를 지원해야 합니다. Amazon Cognito에 대한 자세한 내용은 Amazon Cognito란? 단원을 참조하세요.

대시보드 공유에는우 요금이 발생하지 않지만 공유 대시보드 내의 위젯에는 표준 CloudWatch 요금이 부과됩니다. CloudWatch 요금에 대한 자세한 내용은 Amazon CloudWatch 요금을 참조하세요.

대시보드를 공유하면 Amazon Cognito 리소스가 미국 동부(버지니아 북부) 리전에 생성됩니다.

중요

대시보드 공유 프로세스에서 생성된 리소스 이름 및 식별자를 수정하지 마세요. 여기에는 Amazon Cognito 및 IAM 리소스가 포함됩니다. 이러한 리소스를 수정하면 공유 대시보드의 예상치 못한 잘못된 기능이 발생할 수 있습니다.

참고

경보 주석이 포함된 지표 위젯이 있는 대시보드를 공유하는 경우 대시보드가 공유된 사용자들에게는 해당 위젯이 표시되지 않습니다. 대신 위젯을 사용할 수 없다는 텍스트가 포함된 빈 위젯이 표시됩니다. 대시보드를 본인이 직접 확인하는 경우 경보 주석이 포함된 지표 위젯이 계속 표시됩니다.

대시보드 공유에 필요한 권한

다음 방법 중 하나를 사용하여 대시보드를 공유하고 이미 공유된 대시보드를 확인하려면 사용자로 로그인하거나 특정 권한이 있는 IAM 역할로 로그인해야 합니다.

대시보드를 공유할 수 있으려면 사용자 또는 IAM 역할에 다음 정책 설명에 포함된 권한이 포함되어 있어야 합니다.

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:PassRole"
    ],
    "Resource": [
        "arn:aws:iam::*:role/service-role/CWDBSharing*",
        "arn:aws:iam::*:policy/*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*",
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:GetDashboard",
    ],
    "Resource": [
        "*"
        // or the ARNs of dashboards that you want to share
    ]
}

어떤 대시보드가 공유되는지 볼 수 있지만 대시보드를 공유할 수 없도록 하려면 사용자 또는 IAM 역할에 다음과 유사한 정책 설명을 포함하세요.

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*"
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:ListDashboards",
    ],
    "Resource": [
        "*" 
    ]
}

대시보드를 공유받는 사용자에게 부여되는 권한

대시보드를 공유할 때 CloudWatch는 대시보드를 공유받는 사용자에게 다음 권한을 부여하는 IAM 역할을 계정에 생성합니다.

  • cloudwatch:GetInsightRuleReport

  • cloudwatch:GetMetricData

  • cloudwatch:DescribeAlarms

  • ec2:DescribeTags

주의

대시보드를 공유받는 모든 사람에게는 계정의 이러한 권한이 부여됩니다. 대시보드를 공개적으로 공유하면 대시보드에 대한 링크가 있는 모든 사람이 이러한 권한을 보유합니다.

cloudwatch:GetMetricDataec2:DescribeTags 권한의 경우 특정 지표 또는 EC2 인스턴스로 범위를 좁힐 수 없으므로 대시보드에 대한 액세스 권한이 있는 사용자는 모든 CloudWatch 지표와 계정에 있는 모든 EC2 인스턴스의 이름 및 태그를 쿼리할 수 있습니다.

대시보드를 공유할 때 기본적으로 CloudWatch가 생성하는 권한은 대시보드가 ​​공유될 때 대시보드에 있는 경보 및 Contributor Insights 규칙에 대한 액세스만 제한합니다. 대시보드에 새 경보 또는 Contributor Insights 규칙을 추가하고 대시보드를 공유받은 사용자도 해당 경보 또는 규칙을 볼 수 있도록 하려면 이러한 리소스를 허용하도록 정책을 업데이트해야 합니다.

특정 사용자와 단일 대시보드 공유

이 단원의 단계에 따라 선택한 최대 5개의 이메일 주소와 대시보드를 공유할 수 있습니다.

참고

기본적으로 대시보드의 CloudWatch Logs 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 자세한 내용은 공유받는 사용자가 로그 테이블 위젯을 볼 수 있도록 허용 단원을 참조하세요.

기본적으로 대시보드의 복합 경보 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 자세한 내용은 공유받는 사용자가 복합 경보를 볼 수 있도록 허용 단원을 참조하세요.

특정 사용자와 대시보드를 공유하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드(Dashboards)를 선택합니다.

  3. 대시보드 이름을 선택합니다.

  4. [작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.

  5. [대시보드를 공유하며 사용자 이름 및 암호가 필요함(Share your dashboard and require a username and password)] 옆에 있는 [공유 시작(Start sharing)]을 선택합니다.

  6. [이메일 주소 추가(Add email addresses)]에서 대시보드를 공유하려는 이메일 주소를 입력합니다. 최대 5개의 이메일 주소를 포함할 수 있습니다.

  7. 이메일 주소를 모두 입력했으면 동의를 읽고 확인 상자를 선택합니다. 그런 다음, [정책 미리 보기(Preview policy)]를 선택합니다.

  8. 공유할 리소스가 원하는 리소스인지 확인하고 [확인 및 공유 가능한 링크 생성(Confirm and generate shareable link)]을 선택합니다.

  9. 다음 페이지에서 [클립보드에 링크 복사(Copy link to clipboard)]를 선택합니다. 그런 다음, 이 링크를 이메일에 붙여넣고 초대한 사용자에게 전송할 수 있습니다. 해당 사용자는 대시보드에 연결하는 데 사용할 사용자 이름 및 임시 암호가 포함된 별도의 이메일을 자동으로 받습니다.

공개적으로 단일 대시보드 공유

이 단원의 단계에 따라 대시보드를 공개적으로 공유할 수 있습니다. 이 방법은 대시보드를 팀 공간의 큰 화면에 표시하거나 Wiki 페이지에 포함하는 데 유용할 수 있습니다.

중요

대시보드를 공개적으로 공유하면 링크가 있는 사람은 누구나 인증 없이 대시보드에 액세스할 수 있습니다. 따라서 민감한 정보가 포함되지 않은 대시보드에 대해서만 이 작업을 수행해야 합니다.

참고

기본적으로 대시보드의 CloudWatch Logs 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 자세한 내용은 공유받는 사용자가 로그 테이블 위젯을 볼 수 있도록 허용 단원을 참조하세요.

기본적으로 대시보드의 복합 경보 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 자세한 내용은 공유받는 사용자가 복합 경보를 볼 수 있도록 허용 단원을 참조하세요.

대시보드를 공개적으로 공유하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드(Dashboards)를 선택합니다.

  3. 대시보드 이름을 선택합니다.

  4. [작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.

  5. [공개적으로 대시보드 공유(Share your dashboard publicly)] 옆에 있는 [공유 시작(Start sharing)]을 선택합니다.

  6. 텍스트 상자에 Confirm를 입력합니다.

  7. 동의를 읽고 확인 상자를 선택합니다. 그런 다음, [정책 미리 보기(Preview policy)]를 선택합니다.

  8. 공유할 리소스가 원하는 리소스인지 확인하고 [확인 및 공유 가능한 링크 생성(Confirm and generate shareable link)]을 선택합니다.

  9. 다음 페이지에서 [클립보드에 링크 복사(Copy link to clipboard)]를 선택합니다. 그런 다음, 이 링크를 공유할 수 있습니다. 링크를 공유받는 사람은 누구나 자격 증명을 제공하지 않고도 대시보드에 액세스할 수 있습니다.

SSO를 사용하여 계정의 모든 CloudWatch 대시보드 공유

이 단원의 단계에 따라 통합 인증(SSO)을 사용하여 계정의 모든 대시보드를 사용자와 공유할 수 있습니다.

참고

기본적으로 대시보드의 CloudWatch Logs 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 자세한 내용은 공유받는 사용자가 로그 테이블 위젯을 볼 수 있도록 허용 단원을 참조하세요.

기본적으로 대시보드의 복합 경보 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 자세한 내용은 공유받는 사용자가 복합 경보를 볼 수 있도록 허용 단원을 참조하세요.

SSO 공급자 목록에 있는 사용자와 CloudWatch 대시보드를 공유하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드(Dashboards)를 선택합니다.

  3. 대시보드 이름을 선택합니다.

  4. [작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.

  5. [CloudWatch 설정으로 이동(Go to CloudWatch Settings)]을 선택합니다.

  6. 원하는 SSO 공급자가 [사용 가능한 SSO 공급자(Available SSO providers)] 목록에 없다면 [SSO 공급자 관리(Manage SSO providers)]를 선택하고 CloudWatch 대시보드 공유를 위한 SSO 설정 단원의 지침을 따릅니다.

    그런 다음, CloudWatch 콘솔로 돌아와서 브라우저를 새로 고칩니다. 이제 사용 설정한 SSO 공급자가 목록에 표시됩니다.

  7. [사용 가능한 SSO 공급자(Available SSO providers)] 목록에서 원하는 SSO 공급자를 선택합니다.

  8. Save changes(변경 사항 저장)를 선택합니다.

CloudWatch 대시보드 공유를 위한 SSO 설정

SAML을 지원하는 서드 파티 통합 인증(SSO) 공급자를 통한 대시보드 공유를 설정하려면 다음 단계를 따릅니다.

중요

SAML SSO 공급자가 아닌 공급자를 사용하여 대시보드를 공유하지 않는 것이 좋습니다. 그렇게 하면 의도치 않게 서드 파티가 계정의 대시보드에 액세스하도록 허용할 위험이 발생할 수 있습니다.

대시보드 공유를 사용하기 위해 SSO 공급자를 설정하려면

  1. SSO 공급자를 Amazon Cognito와 통합합니다. 자세한 내용은 서드 파티 SAML 자격 증명 공급자와 Amazon Cognito 사용자 풀 통합 단원을 참조하세요.

  2. SSO 공급자에서 메타데이터 XML 파일을 다운로드합니다.

  3. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  4. 탐색 창에서 설정을 선택합니다.

  5. [대시보드 공유(Dashboard sharing)] 섹션에서 [구성(Configure)]을 선택합니다.

  6. [SSO 공급자 관리(Manage SSO providers)]를 선택합니다.

    그러면 미국 동부(버지니아 북부) 리전(us-east-1)의 Amazon Cognito 콘솔이 열립니다. 어느 [사용자 풀(User Pools)]도 표시되지 않으면 다른 리전의 Amazon Cognito 콘솔이 열렸을 수 있습니다. 그렇다면 리전을 [미국 동부(버지니아 북부) us-east-1(US East (N. Virginia) us-east-1)]으로 변경하고 다음 단계를 진행합니다.

  7. [CloudWatchDashboardSharing] 풀을 선택합니다.

  8. 탐색 창에서 [자격 증명 공급자(Identity providers)]를 선택합니다.

  9. SAML을 선택합니다.

  10. [공급자 이름(Provider name)]에 SSO 공급자 이름을 입력합니다.

  11. [파일 선택(Select file)]을 선택하고 1단계에서 다운로드한 메타데이터 XML 파일을 선택합니다.

  12. 공급자 생성(Create provider)을 선택합니다.

공유되는 대시보드 수 확인

CloudWatch 콘솔을 사용하여 현재 다른 사용자와 공유되고 있는 CloudWatch 대시보드 수를 확인할 수 있습니다.

공유되고 있는 대시보드 수를 확인하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택합니다.

  3. [대시보드 공유(Dashboard sharing)] 섹션에 공유된 대시보드 수가 표시됩니다.

  4. 어떤 대시보드가 ​​공유되는지 확인하려면 [사용자 이름 및 암호(Username and password)]와 [공개 대시보드(Public dashboards)]에서 공유된 대시보드 수(number dashboards shared)]를 선택합니다.

공유되는 대시보드 확인

CloudWatch 콘솔을 사용하여 현재 다른 사용자와 공유되고 있는 대시보드를 확인할 수 있습니다.

공유되고 있는 대시보드를 확인하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드(Dashboards)를 선택합니다.

  3. 대시보드 목록에서 [공유(Share)] 열을 확인합니다. 이 열의 아이콘이 채워진 대시보드는 현재 공유되고 있는 것입니다.

  4. 대시보드가 어느 사용자와 공유되고 있는지 확인하려면 대시보드 이름을 선택한 다음, [작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.

    [‘대시보드 이름’ 대시보드 공유(Share dashboard dashboard name)] 페이지에는 대시보드가 ​​어떻게 공유되고 있는지 표시됩니다. 원하는 경우 [공유 중지(Stop sharing)]를 선택하여 대시보드 공유를 중지할 수 있습니다.

하나 이상의 대시보드 공유 중지

공유된 단일 대시보드의 공유를 중지하거나 공유된 모든 대시보드의 공유를 동시에 중지할 수 있습니다.

단일 대시보드 공유를 중지하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드(Dashboards)를 선택합니다.

  3. 공유된 대시보드의 이름을 선택합니다.

  4. [작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.

  5. [공유 중지(Stop sharing)]를 선택합니다.

  6. 확인 상자에서 [공유 중지(Stop sharing)]를 선택합니다.

공유된 모든 대시보드의 공유를 중지하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택합니다.

  3. [대시보드 공유(Dashboard sharing)] 섹션에서 [모든 대시보드 공유 중지(Stop sharing all dashboards)]를 선택합니다.

  4. 확인 상자에서 [모든 대시보드 공유 중지(Stop sharing all dashboards)]를 선택합니다.

공유된 대시보드 권한 검토 및 권한 범위 변경

공유된 대시보드 사용자의 권한을 검토하거나 공유된 대시보드의 권한 범위를 변경하려는 경우 이 단원의 단계에 따릅니다.

공유된 대시보드 권한을 검토하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드(Dashboards)를 선택합니다.

  3. 공유된 대시보드의 이름을 선택합니다.

  4. [작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.

  5. [리소스(Resources)]에서 [IAM 역할(IAM Role)]을 선택합니다.

  6. IAM 콘솔에서 표시된 정책을 선택합니다.

  7. (선택 사항) 공유된 대시보드 사용자가 볼 수 있는 경보를 제한하려면 [정책 편집(Edit policy)]을 선택하고 cloudwatch:DescribeAlarms 권한을 현재 위치에서 공유된 대시보드 사용자에게 표시하려는 경보의 ARN만 나열하는 새로운 Allow 문으로 이동합니다. 다음 예를 참조하세요.

    {
   "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "AlarmARN1",
        "AlarmARN2"
    ]
}

    이렇게 하는 경우 다음과 같은 현재 정책 섹션에서 cloudwatch:DescribeAlarms 권한을 제거해야 합니다.

    { 
   "Effect": "Allow",
    "Action": [
        "cloudwatch:GetInsightRuleReport",
        "cloudwatch:GetMetricData",
        "cloudwatch:DescribeAlarms",
        "ec2:DescribeTags"
    ],
    "Resource": "*"
}

  8. (선택 사항) 공유된 대시보드 사용자가 볼 수 있는 Contributor Insights 규칙의 범위를 제한하려면 [정책 편집(Edit policy)]을 선택하고 cloudwatch:GetInsightRuleReport를 현재 위치에서 공유된 대시보드 사용자에게 표시하려는 Contributor Insights 규칙의 ARN만 나열하는 새로운 Allow 문으로 이동합니다. 다음 예를 참조하세요.

    {
   "Effect": "Allow",
    "Action": "cloudwatch:GetInsightRuleReport",
    "Resource": [
        "PublicContributorInsightsRuleARN1",
        "PublicContributorInsightsRuleARN2"
    ]
}

    이렇게 하는 경우 다음과 같은 현재 정책 섹션에서 cloudwatch:GetInsightRuleReport를 제거해야 합니다.

    {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetInsightRuleReport",
                "cloudwatch:GetMetricData",
                "cloudwatch:DescribeAlarms",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        }

공유받는 사용자가 복합 경보를 볼 수 있도록 허용

대시보드를 공유할 때 기본적으로 대시보드의 복합 경보 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 복합 경보 위젯을 표시하려면 대시보드 공유 정책에 DescribeAlarms: * 권한을 추가해야 합니다. 해당 권한은 다음과 같습니다.

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
}
주의

앞의 정책 문은 계정의 모든 경보에 대한 액세스 권한을 부여합니다. cloudwatch:DescribeAlarms의 범위를 줄이려면 Deny 문을 사용해야 합니다. 정책에 Deny 문을 추가하고 잠그려는 경보의 ARN을 지정할 수 있습니다. 해당 Deny 문은 다음과 비슷합니다.

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
},
{   
    "Effect": "Deny",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "SensitiveAlarm1ARN",
        "SensitiveAlarm1ARN"
    ]
}

공유받는 사용자가 로그 테이블 위젯을 볼 수 있도록 허용

대시보드를 공유할 때 기본적으로 대시보드에 있는 CloudWatch Logs Insights 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 이는 현재 존재하는 CloudWatch Logs Insights 위젯과 공유 이후에 대시보드에 추가되는 항목에 모두 적용됩니다.

이러한 사용자가 CloudWatch Logs 위젯을 볼 수 있도록 하려면 대시보드 공유를 위한 IAM 역할에 권한을 추가해야 합니다.

대시보드를 공유받는 사용자가 CloudWatch Logs 위젯을 볼 수 있도록 허용하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드(Dashboards)를 선택합니다.

  3. 공유된 대시보드의 이름을 선택합니다.

  4. [작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.

  5. [리소스(Resources)]에서 [IAM 역할(IAM Role)]을 선택합니다.

  6. IAM 콘솔에서 표시된 정책을 선택합니다.

  7. [정책 편집(Edit policy)]을 선택하고 다음 명령문을 추가합니다. 새 명령문에서, 공유하려는 로그 그룹의 ARN만 지정하는 것이 좋습니다. 다음 예를 참조하세요.

    {
            "Effect": "Allow",
            "Action": [
                "logs:FilterLogEvents",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetLogRecord",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "SharedLogGroup1ARN",
                "SharedLogGroup2ARN"
           ]
        },

  8. 변경 사항 저장을 선택합니다.

대시보드 공유에 대한 IAM 정책에 *를 리소스로 사용하는 5가지 권한이 이미 포함되어 있는 경우 정책을 변경하고 공유하려는 로그 그룹의 ARN만 지정하는 것이 좋습니다. 예를 들어 이러한 권한의 Resource 섹션이 다음과 같은 경우

"Resource": "*"

다음 예와 같이 공유하려는 로그 그룹의 ARN만 지정하도록 정책을 변경합니다.

"Resource": [
  "SharedLogGroup1ARN",
  "SharedLogGroup2ARN"
]

공유받는 사용자가 사용자 지정 위젯을 볼 수 있도록 허용

대시보드를 공유할 때 기본적으로 대시보드에 있는 사용자 지정 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 이는 현재 존재하는 사용자 지정 위젯과 공유 이후에 대시보드에 추가되는 항목에 모두 적용됩니다.

이러한 사용자가 사용자 지정 위젯을 볼 수 있도록 하려면 대시보드 공유를 위한 IAM 역할에 권한을 추가해야 합니다.

대시보드를 공유받는 사용자가 사용자 지정 위젯을 볼 수 있도록 허용하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 대시보드(Dashboards)를 선택합니다.

  3. 공유된 대시보드의 이름을 선택합니다.

  4. [작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.

  5. [리소스(Resources)]에서 [IAM 역할(IAM Role)]을 선택합니다.

  6. IAM 콘솔에서 표시된 정책을 선택합니다.

  7. [정책 편집(Edit policy)]을 선택하고 다음 명령문을 추가합니다. 새 명령문에서, 공유하려는 Lambda 함수의 ARN만 지정하는 것이 좋습니다. 다음 예를 참조하세요.

    {
  "Sid": "Invoke",
  "Effect": "Allow",
  "Action": [
      "lambda:InvokeFunction"
  ],
  "Resource": [
    "LambdaFunction1ARN",
    "LambdaFunction2ARN"
  ]
 }

  8. 변경 사항 저장을 선택합니다.

대시보드 공유를 위한 IAM 정책에 *를 리소스로 지정하는 해당 권한이 이미 포함되어 있는 경우 정책을 변경하고 공유하려는 Lambda 함수의 ARN만 지정하는 것이 좋습니다. 예를 들어 이러한 권한의 Resource 섹션이 다음과 같은 경우

"Resource": "*"

다음 예와 같이 공유하려는 사용자 지정 위젯의 ARN만 지정하도록 정책을 변경합니다.

"Resource": [
  "LambdaFunction1ARN",
  "LambdaFunction2ARN"
]