Gerenciar o acesso a fontes de dados
O CloudWatch usa o AWS CloudFormation para criar os recursos necessários na sua conta. Recomendamos que você use a condição cloudformation:TemplateUrl
para controlar o acesso aos modelos do AWS CloudFormation ao conceder permissões CreateStack
aos usuários do IAM.
Atenção
Qualquer usuário a quem você concede permissão para invocar a fonte de dados pode consultar métricas dessa fonte de dados, mesmo que esse usuário não tenha permissões diretas do IAM para a fonte de dados. Por exemplo, se você conceder permissões lambda:InvokeFunction
em uma função do Lambda da fonte de dados do Amazon Managed Service for Prometheus a um usuário, esse usuário poderá consultar métricas do espaço de trabalho correspondente do Amazon Managed Service for Prometheus, mesmo que você não tenha concedido a ele acesso direto do IAM a esse espaço de trabalho.
Você pode encontrar URLs de modelos para fontes de dados na página Criar pilha no console de configurações do CloudWatch.
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "StringEquals" : { "cloudformation:TemplateUrl" : [
data-source-template-url
] } } } ] }
Para obter mais informações sobre o controle de acesso ao AWS CloudFormation, consulte Controlar o acesso com o AWS Identity and Access Management