共用 CloudWatch 儀表板 - Amazon CloudWatch
共享儀表板所需的許可授予與您共享儀表板之人員的許可允許您共享的對象查看複合警示允許您與其共享的對象查看日誌表小工具允許您與其共享的對象查看自訂小工具

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用 CloudWatch 儀表板

您可以與無法直接存取您的 CloudWatch 儀表板的人員共用您的儀表板 AWS 帳戶。這樣一來,您即可跨小組、與利害關係人以及組織外部人員共享儀表板。您甚至可以在小組區域的大螢幕上顯示儀表板,或將儀表板嵌入 Wiki 和其他網頁中。

警告

與您共享儀表板的所有人員都會授予帳戶 授予與您共享儀表板之人員的許可 中所列的許可。如果您公開共享許可儀表板,則擁有儀表板連結的所有人都會擁有這些許可。

cloudwatch:GetMetricDataec2:DescribeTags權限不能限制在特定量度或EC2執行個體,因此可存取儀表板的使用者可以查詢帳戶中所有EC2執行個體的所有 CloudWatch 指標以及名稱和標記。

共享儀表板時,您可以透過三種方式指定可以檢視儀表板的人員:

  • 共用單一儀表板,並指定最多五個可檢視儀表板之人員的電子郵件地址。這些使用者都會建立自己的密碼,並且他們必須輸入密碼才能檢視儀表板。

  • 公開共享單一儀表板,讓擁有該連結的任何人員都可以檢視儀表板。

  • 共用您帳戶中的所有 CloudWatch 儀表板,並指定第三方單一登入 (SSO) 提供者以存取儀表板。屬於此SSO提供者清單成員的所有使用者都可以存取帳戶中的所有儀表板。若要啟用此功能,您可以將SSO供應商與 Amazon Cognito 整合。SSO提供者必須支援安全性判斷提示標記語言 (SAML)。如需 Amazon Cognito 定價的相關資訊,請參閱 什麼是 Amazon Cognito?

共用儀表板不會產生任何費用,但共用儀表板內的 Widget 會以標準費 CloudWatch 率收費。如需有關 CloudWatch 定價的詳細資訊,請參閱 Amazon CloudWatch 定價

共用儀表板時,Amazon Cognito 資源會在美國東部 (維吉尼亞北部) 區域建立。

重要

請勿修改透過儀表板共用程序建立的資源名稱和識別符。這包括 Amazon Cognito 和IAM資源。修改這些資源可能會導致共用儀表板出現非預期和不正確的功能。

注意

如果您共用的儀表板具有帶警示註釋的指標小工具,則您與之共用儀表板的人員將不會看到這些小工具。他們將看到一個空白小工具,且文字寫著小工具不可用。自行檢視儀表板時,您仍會看到帶有警示註釋的指標小工具。

共享儀表板所需的許可

若要能夠使用下列任何方法共用儀表板並查看已共用的儀表板,您必須以使用者身分或具有特定權限的IAM角色登入。

若要能夠共用儀表板,您的使用者或IAM角色必須包含下列原則陳述式中包含的權限:

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:PassRole"
    ],
    "Resource": [
        "arn:aws:iam::*:role/service-role/CWDBSharing*",
        "arn:aws:iam::*:policy/*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*",
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:GetDashboard",
    ],
    "Resource": [
        "*"
        // or the ARNs of dashboards that you want to share
    ]
}

為了能夠查看共用哪些儀表板但無法共用儀表板,使用者或IAM角色可以包含類似下列內容的原則陳述式:

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*"
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:ListDashboards",
    ],
    "Resource": [
        "*" 
    ]
}

授予與您共享儀表板之人員的許可

當您共用控制面板時, CloudWatch 會在帳戶中建立IAM角色,以將下列權限授與您共用控制面板的人員:

  • cloudwatch:GetInsightRuleReport

  • cloudwatch:GetMetricData

  • cloudwatch:DescribeAlarms

  • ec2:DescribeTags

警告

與您共享儀表板的所有人員都會授予帳戶的這些許可。如果您公開共享許可儀表板,則擁有儀表板連結的所有人都會擁有這些許可。

cloudwatch:GetMetricDataec2:DescribeTags權限不能限制在特定量度或EC2執行個體,因此可存取儀表板的使用者可以查詢帳戶中所有EC2執行個體的所有 CloudWatch 指標以及名稱和標記。

當您共用儀表板時,依預設會 CloudWatch 建立僅限共用儀表板上警示和 Contributor Insights 規則的存取權限。如果您將新的警示或 Contributor Insights 規則新增至儀表板,並希望與您共享儀表板的人員也能看到這些規則,則必須更新政策以允許這些資源。

允許您共享的對象查看複合警示

當您共享儀表板時,根據預設,與您共享儀表板的人員無法看見儀表板上的任何複合警示小工具。為了使複合警示小工具可見,您需要將 DescribeAlarms: * 許可新增至儀表板共享政策。該許可如下所示:

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
}
警告

上述政策陳述式可讓您存取帳戶中所有警示。若要減少 cloudwatch:DescribeAlarms 的範圍,您必須使用 Deny 陳述式。您可以將Deny陳述式新增至原則,並指定要鎖定ARNs的警示。拒絕陳述式應類似以下內容:

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
},
{   
    "Effect": "Deny",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "SensitiveAlarm1ARN",
        "SensitiveAlarm1ARN"
    ]
}

允許您與其共享的對象查看日誌表小工具

當您共用儀表板時,預設情況下,您共用儀表板的人員看不到儀表板上的「 CloudWatch 記錄見解」Widget。這會影響現在存在的「 CloudWatch 記錄見解」Widget,以及在您共用之後新增至儀表板的任何小器具。

如果您希望這些使用者能夠看到 CloudWatch 記錄 Widget,則必須為控制面板共用的IAM角色新增權限。

允許與您共用控制面板的人員查看記 CloudWatch 錄 Widget

  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇共享儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. 資源下,選擇IAM角色

  6. 在IAM主控台中,選擇顯示的策略。

  7. 選擇 Edit policy (編輯政策),然後新增下列陳述式。在新的陳述式中,建議您僅指定要共用ARNs的記錄群組。請參閱以下範例。

    {
            "Effect": "Allow",
            "Action": [
                "logs:FilterLogEvents",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetLogRecord",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "SharedLogGroup1ARN",
                "SharedLogGroup2ARN"
           ]
        },

  8. 選擇 Save Changes (儲存變更)。

如果您的儀表板共用IAM政策已包含這五個權限*作為資源,我們強烈建議您變更原則,並僅指定要共用的記錄群組。ARNs例如,如果這些許可的 Resource 區段如下所示:

"Resource": "*"

變更原則以僅指定您要共用ARNs的記錄群組,如下列範例所示:

"Resource": [
  "SharedLogGroup1ARN",
  "SharedLogGroup2ARN"
]

允許您與其共享的對象查看自訂小工具

當您共享儀表板時,根據預設,與您共享儀表板的人員無法看見儀表板上的自訂小工具。這會影響現在存在的自訂小工具,以及您共享後新增至儀表板的任何小工具。

如果您希望這些使用者能夠看到自訂 Widget,則必須為控制面板共用的IAM角色新增權限。

若要允許您共享儀表板的對象查看自訂小工具

  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇共享儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. 資源下,選擇IAM角色

  6. 在IAM主控台中,選擇顯示的策略。

  7. 選擇 Edit policy (編輯政策),然後新增下列陳述式。在新陳述式中,我們建議您僅指定要共用ARNs的 Lambda 函數。請參閱以下範例。

    {
  "Sid": "Invoke",
  "Effect": "Allow",
  "Action": [
      "lambda:InvokeFunction"
  ],
  "Resource": [
    "LambdaFunction1ARN",
    "LambdaFunction2ARN"
  ]
 }

  8. 選擇 Save Changes (儲存變更)。

如果您的儀表板共用IAM政策已包含該權限*作為資源,我們強烈建議您變更政策,並僅指定要共用ARNs的 Lambda 函數。例如,如果這些許可的 Resource 區段如下所示:

"Resource": "*"

變更原則以僅指定您要共用ARNs的自訂 Widget,如下列範例所示:

"Resource": [
  "LambdaFunction1ARN",
  "LambdaFunction2ARN"
]