Gerenciar o acesso a fontes de dados - Amazon CloudWatch

Gerenciar o acesso a fontes de dados

O CloudWatch usa o AWS CloudFormation para criar os recursos necessários na sua conta. Recomendamos que você use a condição cloudformation:TemplateUrl para controlar o acesso aos modelos do AWS CloudFormation ao conceder permissões CreateStack aos usuários do IAM.

Atenção

Qualquer usuário a quem você concede permissão para invocar a fonte de dados pode consultar métricas dessa fonte de dados, mesmo que esse usuário não tenha permissões diretas do IAM para a fonte de dados. Por exemplo, se você conceder permissões lambda:InvokeFunction em uma função do Lambda da fonte de dados do Amazon Managed Service for Prometheus a um usuário, esse usuário poderá consultar métricas do espaço de trabalho correspondente do Amazon Managed Service for Prometheus, mesmo que você não tenha concedido a ele acesso direto do IAM a esse espaço de trabalho.

Você pode encontrar URLs de modelos para fontes de dados na página Criar pilha no console de configurações do CloudWatch.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}

Para obter mais informações sobre o controle de acesso ao AWS CloudFormation, consulte Controlar o acesso com o AWS Identity and Access Management