Gerenciamento de Identidade e Acesso para o Amazon CloudWatch - Amazon CloudWatch

Gerenciamento de Identidade e Acesso para o Amazon CloudWatch

O acesso ao Amazon CloudWatch necessita de credenciais. Essas credenciais devem ter permissões para acessar os recursos da AWS, como recuperar dados de métricas do CloudWatch sobre seus recursos de nuvem. As seções a seguir fornecem detalhes sobre como é possível usar o AWS Identity and Access Management (IAM) e o CloudWatch para ajudar a proteger seus recursos controlando quem pode acessá-los:

Autenticação

Você pode acessar a AWS usando qualquer um dos seguintes tipos de identidade:

  • Usuário raiz da conta da AWS: ao se cadastrar na AWS, você fornece um endereço de e-mail e uma senha que são associados à sua conta da AWS. Essas são suas credenciais de usuário da conta da AWS, que fornecem acesso total a todos os recursos da AWS.

    Importante

    Por motivos de segurança, recomendamos usar as credenciais de usuário da conta da AWS para criar somente um administrador, que é um usuário do IAM com permissões totais a sua conta. Em seguida, você pode usar esse administrador para criar outros usuários e funções do IAM com permissões limitadas. Para mais informações, consulte Melhores práticas do IAM e Criar um grupo e um usuário administrador no Guia do usuário do IAM.

  • Usuário do IAM: um usuário do IAM é uma identidade na qual sua conta da AWS tem permissões personalizadas específicas (por exemplo, permissões para visualizar métricas no CloudWatch). Você pode usar uma senha e um nome de usuário do IAM para fazer login em páginas da Web seguras da AWS, como AWS Management Console, fóruns de discussão da AWS ou o AWS Support Center.

     

    Além de um nome e senha de usuário, você também pode gerar chaves de acesso para cada usuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja com um dos vários SDKs ou usando a AWS Command Line Interface (CLI). As ferramentas de SDK e de AWS CLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não utilizar as ferramentas da AWS, cadastre a solicitação você mesmo. O CloudWatch é compatível com o Signature Version 4, um protocolo para autenticar solicitações de API de entrada. Para obter mais informações sobre solicitações de autenticação, consulte Processo de assinatura do Signature Version 4 na Referência geral da AWS.

     

  • Função do IAM: uma função do IAM é outra identidade do IAM que você pode criar em sua conta que tenha permissões específicas. É semelhante a um usuário do IAM, mas não está associada a uma pessoa específica. Uma função do IAM permite obter chaves de acesso temporárias que podem ser usadas para acessar os produtos e recursos da AWS. As funções do IAM com credenciais temporárias são úteis nas seguintes situações:

     

    • Acesso de usuário federado: em vez de criar um usuário do IAM, você pode usar identidades já existentes do AWS Directory Service, o diretório de usuário da sua empresa ou um provedor de identidades da Web (IdP). Eles são conhecidos como usuários federados. A AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um IdP. Para obter mais informações, consulte Usuários federados e funções no Guia do usuário do IAM.

       

    • Acesso entre contas: você pode usar uma função do IAM em sua conta para conceder, a outra conta da AWS, permissões de acesso aos recursos de sua conta. Para ver um exemplo, consulte o Tutorial: Delegar acesso em contas da AWS usando funções do IAM no Manual do usuário do IAM.

       

    • Acesso de serviço da AWS: é possível usar uma função do IAM em sua conta para conceder as permissões de serviço da AWS necessárias para acessar os recursos de sua conta. Por exemplo, é possível criar uma função que permita ao Amazon Redshift acessar um bucket do Amazon S3 em seu nome e carregar dados armazenados no bucket em um cluster do Amazon Redshift. Para obter mais informações, consulte Criar uma função para delegar permissões a um serviço da AWS no Manual do usuário do IAM.

       

    • Aplicações executadas no Amazon EC2: em vez de armazenar chaves de acesso na instância do EC2 para serem usadas em aplicações em execução na instância e fazer solicitações de API, você pode usar uma função do IAM para gerenciar credenciais temporárias para essas aplicações. Para atribuir uma função de AWS a uma instância de EC2 e disponibilizá-la para todas as suas aplicações, crie um perfil de instância que esteja anexado à instância. Um perfil de instância contém a função e permite que programas em execução na instância EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Uso de funções para aplicações no Amazon EC2 no Manual do usuário do IAM.

Controle de acesso

É possível ter credenciais válidas para autenticar suas solicitações. No entanto, a menos que tenha permissões, você não pode criar nem acessar os recursos do CloudWatch. Por exemplo, é necessário ter permissões para criar widgets do painel do CloudWatch, visualizar métricas etc.

As seções a seguir descrevem como gerenciar permissões para o CloudWatch. Recomendamos que você leia a visão geral primeiro.