Gerenciamento de identidade e acesso para o Amazon CloudWatch - Amazon CloudWatch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de identidade e acesso para o Amazon CloudWatch

O acesso ao Amazon CloudWatch requer credenciais. Essas credenciais devem ter permissões para acessar oAWSRecursos da, como recuperar dados de métrica do CloudWatch sobre seus recursos de nuvem. As seguintes seções fornecem detalhes sobre como usar oAWS Identity and Access Management(IAM)E CloudWatch para ajudar a proteger seus recursos controlando quem pode acessá-los:

Authentication

Você pode acessar a AWS como alguns dos seguintes tipos de identidade:

  • AWSUsuário raiz de conta da— Quando você cadastrar-se naAWS, você fornece um endereço de e-mail e uma senha que é associada aoAWSconta. Estes são os seusAWSCredenciais de usuário daE fornecem acesso total a todas as suasAWSrecursos da AWS.

    Importante

    Por motivos de segurança, recomendamos usar oAWScredenciais de usuário da conta somente para criar umAdministrador da, que é umUsuário do IAMCom permissões totais para sua conta da. Em seguida, você pode usar esse administrador para criar outros usuários e funções do IAM com permissões limitadas. Para mais informações, consulte Melhores práticas do IAM e Criar um grupo e um usuário administrador no Guia do usuário do IAM.

  • Usuário do IAM— UmUsuário do IAMé uma identidade dentro do seuAWSConta que tem permissões personalizadas específicas (por exemplo, permissões para visualizar métricas no CloudWatch). Você pode usar uma senha e um nome do usuário do IAM para fazer login em páginas da Web seguras da AWS como AWS Management Console, Fóruns de discussão da AWS ou a Central de AWS Support.

     

    Além de um nome e senha de usuário, você também pode gerar chaves de acesso para cada usuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja com um dos vários SDKs ou usando a AWS Command Line Interface (CLI). As ferramentas de SDK e de AWS CLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não utilizar ferramentas da AWS, cadastre a solicitação você mesmo. Suporte a CloudWatchSignature versão 4, um protocolo para autenticar solicitações de API de entrada. Para mais informações sobre autenticar solicitações, consulteProcesso de assinatura do Signature versão 4noAWSReferência geral.

     

  • IAM role (Função do IAM)— UmIAM role (Função do IAM)O é outra identidade do IAM que você pode criar em sua conta que tem permissões específicas. É semelhante a um usuário do IAM, mas não está associada a uma pessoa específica. Uma função do IAM permite obter chaves de acesso temporárias que podem ser usadas para acessarAWSServiços e recursos da. As funções do IAM com credenciais temporárias são úteis nas seguintes situações:

     

    • Acesso de usuário federado— em vez de criar um usuário do IAM, você pode usar identidades já existente doAWS Directory Service, o diretório de usuário da sua empresa ou um provedor de identidades da web (IdP). Estes são conhecidos comousuários federados.AWSA atribui uma função a um usuário federado quando o acesso é solicitado por meio de umIdP. Para obter mais informações, consulte Usuários federados e funções no Guia do usuário do IAM.

       

    • Acesso entre contas— Você pode usar uma função do IAM em sua conta para conceder outraAWSPermissões de acesso aos recursos da sua conta. Para ver um exemplo, consulteTutorial: Delegar acesso entre os doAWSContas usando funções do IAMnoIAM User Guide.

       

    • AWSAcesso a serviços da— Você pode usar uma função do IAM em sua conta para conceder umaAWSAtende as permissões necessárias para acessar os recursos da sua conta. Por exemplo, você pode criar uma função que permita ao Amazon Redshift acessar um bucket do Amazon S3 em seu nome e carregar os dados armazenados nesse bucket em um cluster do Amazon Redshift. Para obter mais informações, consulteCriar uma função para delegar permissões a umaAWSServiçonoIAM User Guide.

       

    • Aplicativos em execução no Amazon EC2— Em vez de armazenar chaves de acesso na instância do EC2 para serem usadas em aplicativos em execução na instância e fazer solicitações de API da, você pode usar uma função do IAM para gerenciar credenciais temporárias para esses aplicativos. Para atribuir uma função de AWS a uma instância de EC2 e disponibilizá-la para todas as suas aplicações, crie um perfil de instância que esteja anexado à instância. Um perfil de instância contém a função e permite que programas em execução na instância EC2 obtenham credenciais temporárias. Para obter mais informações, consulte Uso de funções para aplicativos no Amazon EC2 no Guia do usuário do IAM.

Controle de acesso

Você pode ter credenciais válidas para autenticar as solicitações, mas, a menos que tenha permissões, não pode criar nem acessar os recursos do CloudWatch. Por exemplo: você deve ter permissões para criar widgets do painel do CloudWatch, visualizar métricas etc.

As seções a seguir descrevem como gerenciar permissões para o CloudWatch. Recomendamos que você leia a visão geral primeiro.