共用 CloudWatch 儀表板 - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用 CloudWatch 儀表板

您可以與無法直接存取您 AWS 帳戶的使用者共用 CloudWatch 儀表板。這樣一來,您即可跨小組、與利害關係人以及組織外部人員共享儀表板。您甚至可以在小組區域的大螢幕上顯示儀表板,或將儀表板嵌入 Wiki 和其他網頁中。

警告

與您共享儀表板的所有人員都會授予帳戶 授予與您共享儀表板之人員的許可 中所列的許可。如果您公開共享許可儀表板,則擁有儀表板連結的所有人都會擁有這些許可。

cloudwatch:GetMetricDataec2:DescribeTags權限不能限制在特定量度或EC2執行個體,因此可存取儀表板的使用者可以查詢帳戶中所有EC2執行個體的所有 CloudWatch 指標以及名稱和標記。

共享儀表板時,您可以透過三種方式指定可以檢視儀表板的人員:

  • 共用單一儀表板,並指定最多五個可檢視儀表板之人員的電子郵件地址。這些使用者都會建立自己的密碼,並且他們必須輸入密碼才能檢視儀表板。

  • 公開共享單一儀表板,讓擁有該連結的任何人員都可以檢視儀表板。

  • 共用您帳戶中的所有 CloudWatch 儀表板,並指定第三方單一登入 (SSO) 提供者以存取儀表板。屬於此SSO提供者清單成員的所有使用者都可以存取帳戶中的所有儀表板。若要啟用此功能,請將SSO供應商與 Amazon Cognito 整合。提SSO供者必須支援安全性宣告標記語言 (SAML)。如需 Amazon Cognito 定價的相關資訊,請參閱 什麼是 Amazon Cognito?

共用儀表板不會產生費用,但共用儀表板內的 Widget 會以標準費 CloudWatch 率收取費用。如需有關 CloudWatch 定價的詳細資訊,請參閱 Amazon CloudWatch 定價

共用儀表板時,Amazon Cognito 資源會在美國東部 (維吉尼亞北部) 區域建立。

重要

請勿修改透過儀表板共用程序建立的資源名稱和識別符。這包括 Amazon Cognito 和IAM資源。修改這些資源可能會導致共用儀表板出現非預期和不正確的功能。

注意

如果您共用的儀表板具有帶警示註釋的指標小工具,則您與之共用儀表板的人員將不會看到這些小工具。他們將看到一個空白小工具,且文字寫著小工具不可用。自行檢視儀表板時,您仍會看到帶有警示註釋的指標小工具。

共享儀表板所需的許可

若要能夠使用下列任何方法共用儀表板並查看已共用的儀表板,您必須以使用者身分或具有特定權限的IAM角色登入。

若要能夠共用儀表板,您的使用者或IAM角色必須包含下列原則陳述式中包含的權限:

{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CWDBSharing*", "arn:aws:iam::*:policy/*" ] }, { "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*", ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetDashboard", ], "Resource": [ "*" // or the ARNs of dashboards that you want to share ] }

為了能夠查看共用哪些儀表板但無法共用儀表板,使用者或IAM角色可以包含類似下列內容的原則陳述式:

{ "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListDashboards", ], "Resource": [ "*" ] }

授予與您共享儀表板之人員的許可

當您共用控制面板時, CloudWatch 會在帳戶中建立IAM角色,該角色將下列權限授與您共用控制面板的人員:

  • cloudwatch:GetInsightRuleReport

  • cloudwatch:GetMetricData

  • cloudwatch:DescribeAlarms

  • ec2:DescribeTags

警告

與您共享儀表板的所有人員都會授予帳戶的這些許可。如果您公開共享許可儀表板,則擁有儀表板連結的所有人都會擁有這些許可。

cloudwatch:GetMetricDataec2:DescribeTags權限不能限制在特定量度或EC2執行個體,因此可存取儀表板的使用者可以查詢帳戶中所有EC2執行個體的所有 CloudWatch 指標以及名稱和標記。

當您共用儀表板時,依預設會 CloudWatch 建立僅限共用儀表板上警示和 Contributor Insights 規則的存取權限。如果您將新的警示或 Contributor Insights 規則新增至儀表板,並希望與您共享儀表板的人員也能看到這些規則,則必須更新政策以允許這些資源。

與特定使用者共享單一儀表板

使用本節中的步驟,與最多五個您選擇的電子郵件地址共用儀表板。

注意

根據預設,與您共用儀表板的人員看不到儀表板上的任何 CloudWatch Logs Widget。如需詳細資訊,請參閱 允許您與其共享的對象查看日誌表小工具

根據預設,與您共享儀表板的人員無法看見儀表板上的任何複合警示小工具。如需詳細資訊,請參閱 允許您共享的對象查看複合警示

若要與特定使用者共享儀表板
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. Share your dashboard and require a username and password (共享儀表板並要求使用者名稱和密碼) 旁,選擇 Start sharing (開始共享)。

  6. Add email addresses (新增電子郵件地址) 下,輸入您要與之共享儀表板的電子郵件地址。您最多可以包含五個電子郵件地址。

  7. 輸入所有電子郵件地址後,請閱讀合約並選取確認方塊。接著選擇 Preview policy (預覽政策)。

  8. 確認要共享的資源是您想要的,然後選擇 Confirm and generate shareable link (確認並產生可共享的連結)。

  9. 在下一頁中,選擇 Copy link to clipboard (複製連結到剪貼簿)。然後,您可以將此連結貼到電子郵件中,並將其傳送給受邀的使用者。他們會自動接收到一封電子郵件,其中包含其使用者名稱和用來連線至儀表板的臨時密碼。

公開共享單一儀表板

請遵循本節中的步驟,以公開共享儀表板。這對於在團隊會議室的大螢幕上顯示儀表板,或將其內嵌於 Wiki 頁面中都非常有用。

重要

公開共享儀表板可讓擁有該連結的任何人員存取儀表板,而不需要身分驗證。僅對不包含敏感資訊的儀表板執行此動作。

注意

根據預設,與您共用儀表板的人員看不到儀表板上的任何 CloudWatch Logs Widget。如需詳細資訊,請參閱 允許您與其共享的對象查看日誌表小工具

根據預設,與您共享儀表板的人員無法看見儀表板上的任何複合警示小工具。如需詳細資訊,請參閱 允許您共享的對象查看複合警示

若要公開共享儀表板
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. Share your dashboard publicly (公開共享儀表板) 旁,選擇 Start sharing (開始共享)。

  6. 在文字方塊中輸入 Confirm

  7. 閱讀合約並選取確認方塊。接著選擇 Preview policy (預覽政策)。

  8. 確認要共享的資源是您想要的,然後選擇 Confirm and generate shareable link (確認並產生可共享的連結)。

  9. 在下一頁中,選擇 Copy link to clipboard (複製連結到剪貼簿)。然後您可以共享此連結。您與之共享連結的任何人員都可以存取儀表板,而不需提供憑證。

使用以下方式共用帳戶中的所有 CloudWatch 儀表板 SSO

使用本節中的步驟,透過使用單一登入 (SSO) 與使用者共用您帳戶中的所有儀表板。

注意

根據預設,與您共用儀表板的人員看不到儀表板上的任何 CloudWatch Logs Widget。如需詳細資訊,請參閱 允許您與其共享的對象查看日誌表小工具

根據預設,與您共享儀表板的人員無法看見儀表板上的任何複合警示小工具。如需詳細資訊,請參閱 允許您共享的對象查看複合警示

與SSO提供者清單中的使用者共用 CloudWatch 儀表板
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. 選擇「前往 CloudWatch 設定」

  6. 如果您想要的SSO提供者未列在 [可用的提SSO供者] 中,請選擇 [管理提SSO供者],然後依照中的指示進行設定 CloudWatch 儀SSO表板共用

    然後返回 CloudWatch 控制台並刷新瀏覽器。您啟用的SSO提供者現在應該會出現在清單中。

  7. 在 [可用的SSO提供者] 清單中選擇您想要的提SSO供者。

  8. 選擇儲存變更

設定 CloudWatch 儀SSO表板共用

若要透過支援的第三方單一登入提供者設定儀表板共用SAML,請依照下列步驟執行。

重要

強烈建議您不要使用非SAMLSSO提供者共用儀表板。這樣做會導致無意中允許第三方存取您帳戶的儀表板的風險。

若要設定SSO提供者以啟用儀表板共用
  1. 將SSO供應商與 Amazon Cognito 集成。如需詳細資訊,請參閱整合第三方SAML身分識別供應商與 Amazon Cognito 使用者集區

  2. 從您的供應商下載中繼資料XML檔SSO案。

  3. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  4. 在導覽窗格中,選擇設定

  5. Dashboard sharing (共享儀表板) 區段中,選擇 Configure (設定)。

  6. 選擇管理SSO提供者

    這會在美國東部 (維吉尼亞北部) 區域 (us-east-1) 中開啟 Amazon Cognito 主控台。如果您沒有看到使用者集區,則 Amazon Cognito 主控台可能已在不同的區域中開啟。如果是這樣,請將區域變更為美國東部 (維吉尼亞北部) us-east-1,然後繼續進行後續步驟。

  7. 選擇CloudWatchDashboardSharing池。

  8. 在導覽窗格中,請選擇 Identity providers (身分提供者)。

  9. 選擇SAML

  10. 在SSO提供者名稱中輸入您的提供者名稱

  11. 選擇 「選取檔案」,然後選取您在步驟 1 中下載的中繼資料XML檔案。

  12. 選擇 Create provider (建立供應商)。

查看共享的儀表板數目

您可以使用主 CloudWatch 控台來查看目前有多少 CloudWatch 儀表板正在與其他人共用。

若要查看共享的儀表板數目
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇設定

  3. 儀表板共享區段會顯示共享的儀表板數目。

  4. 若要查看共用的控制面板,請選擇 number 在 [使用名稱] 和 [密碼] 下以及 [公用] 儀表板

查看要共享哪些儀表板

您可以使用主 CloudWatch 控台來查看目前正在與其他人共用的儀表板。

若要查看要共享哪些儀表板
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 在儀表板清單中,請參閱 Share (共享) 欄。已填入此欄中的圖示的儀表板目前正在共享中。

  4. 若要查看與哪些使用者共享儀表板,請選擇儀表板名稱,然後選擇 Actions (動作)、Share dashboard (共享儀表板)。

    共用儀表板 dashboard name頁面顯示儀表板的共用方式。如果需要,您可以選擇 Stop sharing (停止共享),進而停止共享儀表板。

停止共享一個或多個儀表板

您可以停止共享單一共享儀表板,或一次停止共享所有共享儀表板。

若要停止共享單一儀表板
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇共享儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. 選擇 Stop sharing (停止共享)。

  6. 在確認對話方塊中,選擇 Stop sharing (停止共享)。

若要停止共享所有共享儀表板
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Settings (設定)。

  3. Dashboard sharing (儀表板共享) 區段中,選擇 Stop sharing all dashboards (停止共享所有儀表板)。

  4. 在確認對話方塊中,選擇 Stop sharing all dashboards (停止共享所有儀表板)。

檢閱共享儀表板許可並變更許可範圍

如果您想要檢閱共享儀表板的使用者許可,或變更共享儀表板許可的範圍,請使用本節中的步驟。

若要檢閱共享儀表板許可
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇共享儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. 資源下,選擇IAM角色

  6. 在IAM主控台中,選擇顯示的策略。

  7. (選擇性) 若要限制共用儀表板使用者可以看見的警示,請選擇 [編輯原則],然後將cloudwatch:DescribeAlarms權限從其目前位置移至新Allow陳述式,該陳述式僅列出共用儀表板使用者想要查看的警示。ARNs請參閱以下範例。

    { "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "AlarmARN1", "AlarmARN2" ] }

    如果您執行此動作,請務必從目前政策的區段中移除 cloudwatch:DescribeAlarms 許可,例如:

    { "Effect": "Allow", "Action": [ "cloudwatch:GetInsightRuleReport", "cloudwatch:GetMetricData", "cloudwatch:DescribeAlarms", "ec2:DescribeTags" ], "Resource": "*" }
  8. (選擇性) 若要限制共用儀表板使用者可以看到的 Contributor Insights 規則範圍,請選擇編輯原則,然後cloudwatch:GetInsightRuleReport從其目前位置移至僅列出共用儀表板使用者想要查看的 Contributor Insights 規則的新Allow陳述式。ARNs請參閱以下範例。

    { "Effect": "Allow", "Action": "cloudwatch:GetInsightRuleReport", "Resource": [ "PublicContributorInsightsRuleARN1", "PublicContributorInsightsRuleARN2" ] }

    如果您執行此動作,請務必從目前政策的區段中移除 cloudwatch:GetInsightRuleReport,例如:

    { "Effect": "Allow", "Action": [ "cloudwatch:GetInsightRuleReport", "cloudwatch:GetMetricData", "cloudwatch:DescribeAlarms", "ec2:DescribeTags" ], "Resource": "*" }

允許您共享的對象查看複合警示

當您共享儀表板時,根據預設,與您共享儀表板的人員無法看見儀表板上的任何複合警示小工具。為了使複合警示小工具可見,您需要將 DescribeAlarms: * 許可新增至儀表板共享政策。該許可如下所示:

{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }
警告

上述政策陳述式可讓您存取帳戶中所有警示。若要減少 cloudwatch:DescribeAlarms 的範圍,您必須使用 Deny 陳述式。您可以將Deny陳述式新增至原則,並指定要鎖定ARNs的警示。拒絕陳述式應類似以下內容:

{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Effect": "Deny", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "SensitiveAlarm1ARN", "SensitiveAlarm1ARN" ] }

允許您與其共享的對象查看日誌表小工具

當您共用儀表板時,預設情況下,您共用儀表板的人員看不到儀表板上的「 CloudWatch 記錄見解」Widget。這會影響現在存在的「 CloudWatch 記錄見解」Widget,以及在您共用之後新增至儀表板的任何小器具。

如果您希望這些使用者能夠看到 CloudWatch 記錄 Widget,則必須為控制面板共用的IAM角色新增權限。

允許與您共用控制面板的人員查看記 CloudWatch 錄 Widget
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇共享儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. 資源下,選擇IAM角色

  6. 在IAM主控台中,選擇顯示的策略。

  7. 選擇 Edit policy (編輯政策),然後新增下列陳述式。在新的陳述式中,建議您僅指定要共用ARNs的記錄群組。請參閱以下範例。

    { "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:StartQuery", "logs:StopQuery", "logs:GetLogRecord", "logs:DescribeLogGroups" ], "Resource": [ "SharedLogGroup1ARN", "SharedLogGroup2ARN" ] },
  8. 選擇 Save Changes (儲存變更)。

如果您的儀表板共用IAM政策已包含這五個權限*作為資源,我們強烈建議您變更原則,並僅指定要共用的記錄群組。ARNs例如,如果這些許可的 Resource 區段如下所示:

"Resource": "*"

變更原則以僅指定您要共用ARNs的記錄群組,如下列範例所示:

"Resource": [ "SharedLogGroup1ARN", "SharedLogGroup2ARN" ]

允許您與其共享的對象查看自訂小工具

當您共享儀表板時,根據預設,與您共享儀表板的人員無法看見儀表板上的自訂小工具。這會影響現在存在的自訂小工具,以及您共享後新增至儀表板的任何小工具。

如果您希望這些使用者能夠看到自訂 Widget,則必須為控制面板共用的IAM角色新增權限。

若要允許您共享儀表板的對象查看自訂小工具
  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Dashboards (儀表板)。

  3. 選擇共享儀表板的名稱。

  4. 選擇 Actions (動作),Share dashboard (共享儀表板)。

  5. 資源下,選擇IAM角色

  6. 在IAM主控台中,選擇顯示的策略。

  7. 選擇 Edit policy (編輯政策),然後新增下列陳述式。在新陳述式中,我們建議您僅指定要共用ARNs的 Lambda 函數。請參閱以下範例。

    { "Sid": "Invoke", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "LambdaFunction1ARN", "LambdaFunction2ARN" ] }
  8. 選擇 Save Changes (儲存變更)。

如果您的儀表板共用IAM政策已包含該權限*作為資源,我們強烈建議您變更政策,並僅指定要共用ARNs的 Lambda 函數。例如,如果這些許可的 Resource 區段如下所示:

"Resource": "*"

變更原則以僅指定您要共用ARNs的自訂 Widget,如下列範例所示:

"Resource": [ "LambdaFunction1ARN", "LambdaFunction2ARN" ]