CloudWatch Dashboards teilen - Amazon CloudWatch
Für die Freigabe eines Dashboards erforderliche BerechtigungenBerechtigungen, die Personen erteilt werden, für die Sie das Dashboard freigebenZulassen, dass Personen, mit denen Sie Inhalte teilen, zusammengesetzte Alarme sehenZulassen von Benutzern, für die Sie freigeben, zum Anzeigen von ProtokolltabellenwidgetsErlauben von Benutzern, für die Sie freigeben, dass benutzerdefinierte Widgets angezeigt werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudWatch Dashboards teilen

Sie können Ihre CloudWatch Dashboards mit Personen teilen, die keinen direkten Zugriff auf Ihre haben AWS Konto. Auf diese Weise können Sie Dashboards für Teams, für Stakeholder und für Personen außerhalb Ihrer Organisation freigeben. Sie können Dashboards sogar auf großen Bildschirmen in Teambereichen anzeigen oder in Wikis und anderen Webseiten einbetten.

Warnung

Alle Personen, für die Sie das Dashboard freigeben, erhalten die Berechtigungen, die unter Berechtigungen, die Personen erteilt werden, für die Sie das Dashboard freigeben für das Konto aufgelistet sind. Wenn Sie das Dashboard öffentlich freigeben, hat jeder, der über den Link zum Dashboard verfügt, diese Berechtigungen.

Die ec2:DescribeTags Berechtigungen cloudwatch:GetMetricData und können nicht auf bestimmte Metriken oder EC2 Instanzen beschränkt werden, sodass die Personen mit Zugriff auf das Dashboard alle CloudWatch Metriken sowie die Namen und Tags aller EC2 Instanzen im Konto abfragen können.

Wenn Sie Dashboards freigeben, können Sie auf drei Arten festlegen, wer das Dashboard anzeigen kann:

  • Teilen Sie ein einzelnes Dashboard und weisen Sie bis zu fünf E-Mail-Adressen von Personen zu, die das Dashboard einsehen können. Jeder dieser Benutzer erstellt sein eigenes Kennwort, das er eingeben muss, um das Dashboard anzuzeigen.

  • Teilen Sie ein einzelnes Dashboard öffentlich, damit jeder, der über den Link verfügt, das Dashboard anzeigen kann.

  • Teilen Sie alle CloudWatch Dashboards in Ihrem Konto und geben Sie einen Drittanbieter für Single Sign-On (SSO) für den Zugriff auf das Dashboard an. Alle Benutzer, die Mitglieder der Liste dieses SSO Anbieters sind, können auf alle Dashboards im Konto zugreifen. Um dies zu ermöglichen, integrieren Sie den SSO Anbieter in Amazon Cognito. Der SSO Anbieter muss Security Assertion Markup Language () unterstützen. SAML Weitere Informationen zu Amazon Cognito erhalten Sie unter Was ist Amazon Cognito?.

Für die gemeinsame Nutzung eines Dashboards fallen keine Gebühren an, aber für Widgets innerhalb eines gemeinsamen Dashboards fallen Gebühren zu Standardtarifen an. CloudWatch Weitere Informationen zur CloudWatch Preisgestaltung finden Sie unter CloudWatch Amazon-Preise.

Wenn Sie ein Dashboard teilen, werden Amazon Cognito Cognito-Ressourcen in der Region USA Ost (Nord-Virginia) erstellt.

Wichtig

Ändern Sie keine Ressourcennamen und -identifikatoren, die durch den Prozess der Dashboardfreigabe erstellt wurden. Dazu gehören Amazon Cognito und IAM Ressourcen. Das Ändern dieser Ressourcen kann zu unerwarteten und fehlerhaften Funktionen der gemeinsamen Dashboards führen.

Anmerkung

Wenn Sie ein Dashboard mit Metrik-Widgets mit Alarmanmerkungen freigeben, sehen die Personen, mit denen Sie das Dashboard freigeben, diese Widgets nicht. Stattdessen wird ein leeres Widget mit Text angezeigt, das besagt, dass das Widget nicht verfügbar ist. Sie werden weiterhin Metrik-Widgets mit Alarmanmerkungen sehen, wenn Sie das Dashboard selbst anzeigen.

Für die Freigabe eines Dashboards erforderliche Berechtigungen

Um Dashboards mit einer der folgenden Methoden teilen zu können und um zu sehen, welche Dashboards bereits geteilt wurden, müssen Sie als Benutzer oder mit einer IAM Rolle angemeldet sein, die über bestimmte Berechtigungen verfügt.

Um Dashboards teilen zu können, muss Ihr Benutzer oder Ihre IAM Rolle die in der folgenden Richtlinienerklärung enthaltenen Berechtigungen enthalten:

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:AttachRolePolicy",
        "iam:PassRole"
    ],
    "Resource": [
        "arn:aws:iam::*:role/service-role/CWDBSharing*",
        "arn:aws:iam::*:policy/*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*",
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:GetDashboard",
    ],
    "Resource": [
        "*"
        // or the ARNs of dashboards that you want to share
    ]
}

Um zu sehen, welche Dashboards geteilt werden, aber keine Dashboards teilen zu können, kann ein Benutzer oder eine IAM Rolle eine Richtlinienerklärung enthalten, die der folgenden ähnelt:

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:*",
        "cognito-identity:*"
    ],
    "Resource": [
        "*"
    ]
},
{
    "Effect": "Allow",
    "Action": [
        "cloudwatch:ListDashboards",
    ],
    "Resource": [
        "*" 
    ]
}

Berechtigungen, die Personen erteilt werden, für die Sie das Dashboard freigeben

Wenn Sie ein Dashboard teilen, CloudWatch wird im Konto eine IAM Rolle erstellt, die den Personen, mit denen Sie das Dashboard teilen, die folgenden Berechtigungen gewährt:

  • cloudwatch:GetInsightRuleReport

  • cloudwatch:GetMetricData

  • cloudwatch:DescribeAlarms

  • ec2:DescribeTags

Warnung

Allen Personen, mit denen Sie das Dashboard teilen, werden diese Berechtigungen für das Konto erteilt. Wenn Sie das Dashboard öffentlich freigeben, hat jeder, der über den Link zum Dashboard verfügt, diese Berechtigungen.

Die ec2:DescribeTags Berechtigungen cloudwatch:GetMetricData und können nicht auf bestimmte Metriken oder EC2 Instanzen beschränkt werden, sodass die Personen mit Zugriff auf das Dashboard alle CloudWatch Metriken sowie die Namen und Tags aller EC2 Instanzen im Konto abfragen können.

Wenn Sie ein Dashboard teilen, beschränken die CloudWatch erstellten Berechtigungen standardmäßig nur den Zugriff auf die Alarme und Contributor Insights-Regeln, die sich auf dem Dashboard befinden, wenn es geteilt wird. Wenn Sie dem Dashboard neue Alarme oder Contributor-Insights-Regeln hinzufügen und diese auch von den Personen angezeigt werden sollen, für die Sie das Dashboard freigegeben haben, müssen Sie die Richtlinie aktualisieren, um diese Ressourcen zuzulassen.

Zulassen, dass Personen, mit denen Sie Inhalte teilen, zusammengesetzte Alarme sehen

Wenn Sie ein Dashboard freigeben, sind die zusammengesetzten Alarm-Widgets auf dem Dashboard standardmäßig nicht für die Personen sichtbar, für die Sie das Dashboard freigeben. Damit zusammengesetzte Alarm-Widgets sichtbar sind, müssen Sie der Dashboard-Freigaberichtlinie eine DescribeAlarms: *-Berechtigung hinzufügen. Diese Berechtigung würde wie folgt aussehen:

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
}
Warnung

Die vorhergehende Richtlinienanweisung gewährt Zugriff auf alle Alarme im Konto. Um den Gültigkeitsbereich von cloudwatch:DescribeAlarms zu reduzieren, müssen Sie eine Deny-Anweisung verwenden. Sie können der Richtlinie eine Deny Erklärung hinzufügen und die ARNs Alarme angeben, die Sie sperren möchten. Diese Zugriffsverweigerungs-Anweisung sollte folgendermaßen oder ähnlich aussehen:

{
    "Effect": "Allow",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": "*"
},
{   
    "Effect": "Deny",
    "Action": "cloudwatch:DescribeAlarms",
    "Resource": [
        "SensitiveAlarm1ARN",
        "SensitiveAlarm1ARN"
    ]
}

Zulassen von Benutzern, für die Sie freigeben, zum Anzeigen von Protokolltabellenwidgets

Wenn Sie ein Dashboard teilen, sind die CloudWatch Logs Insights-Widgets, die sich auf dem Dashboard befinden, standardmäßig nicht für die Personen sichtbar, mit denen Sie das Dashboard teilen. Dies wirkt sich sowohl auf CloudWatch Logs Insights-Widgets aus, die jetzt existieren, als auch auf alle Widgets, die dem Dashboard hinzugefügt werden, nachdem Sie es geteilt haben.

Wenn Sie möchten, dass diese Personen CloudWatch Logs-Widgets sehen können, müssen Sie der IAM Rolle Berechtigungen für die gemeinsame Nutzung von Dashboards hinzufügen.

Damit die Personen, mit denen Sie ein Dashboard teilen, die CloudWatch Logs-Widgets sehen können

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Dashboards aus.

  3. Wählen Sie den Namen des freigegebenen Dashboards aus.

  4. Klicken Sie auf Aktionen,Freigeben von Dashboards.

  5. Wählen Sie unter Ressourcen die Option IAMRolle aus.

  6. Wählen Sie in der IAM Konsole die angezeigte Richtlinie aus.

  7. Wählen Sie Richtlinie bearbeiten und fügen Sie die folgende Anweisung hinzu. In der neuen Erklärung empfehlen wir, dass Sie nur die ARNs Protokollgruppen angeben, die Sie gemeinsam nutzen möchten. Sehen Sie sich das folgende -Beispiel an.

    {
            "Effect": "Allow",
            "Action": [
                "logs:FilterLogEvents",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetLogRecord",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "SharedLogGroup1ARN",
                "SharedLogGroup2ARN"
           ]
        },

  8. Wählen Sie Save Changes.

Wenn Ihre IAM Richtlinie für die gemeinsame Nutzung von Dashboards bereits diese fünf Berechtigungen * als Ressource beinhaltet, empfehlen wir Ihnen dringend, die Richtlinie zu ändern und nur die ARNs Protokollgruppen anzugeben, die Sie gemeinsam nutzen möchten. Wenn Ihr Resource-Abschnitt für diese Berechtigungen beispielsweise wie folgt lautet:

"Resource": "*"

Ändern Sie die Richtlinie so, dass nur ARNs die Protokollgruppen angegeben werden, die Sie gemeinsam nutzen möchten, wie im folgenden Beispiel:

"Resource": [
  "SharedLogGroup1ARN",
  "SharedLogGroup2ARN"
]

Erlauben von Benutzern, für die Sie freigeben, dass benutzerdefinierte Widgets angezeigt werden

Wenn Sie ein Dashboard freigeben, sind die benutzerdefinierten Widgets, die sich auf dem Dashboard befinden, standardmäßig für die Personen, für die Sie das Dashboard freigeben, nicht sichtbar. Dies betrifft sowohl benutzerdefinierte Widgets, die jetzt vorhanden sind, als auch alle, die dem Dashboard hinzugefügt werden, nachdem Sie es freigegeben haben.

Wenn Sie möchten, dass diese Personen benutzerdefinierte Widgets sehen können, müssen Sie der IAM Rolle für das Teilen von Dashboards Berechtigungen hinzufügen.

So lassen Sie den Personen, für die Sie ein Dashboard freigeben, die benutzerdefinierten Widgets anzeigen

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Dashboards aus.

  3. Wählen Sie den Namen des freigegebenen Dashboards aus.

  4. Klicken Sie auf Aktionen,Freigeben von Dashboards.

  5. Wählen Sie unter Ressourcen die Option IAMRolle aus.

  6. Wählen Sie in der IAM Konsole die angezeigte Richtlinie aus.

  7. Wählen Sie Richtlinie bearbeiten und fügen Sie die folgende Anweisung hinzu. In der neuen Anweisung empfehlen wir, dass Sie nur die ARNs Lambda-Funktionen angeben, die Sie gemeinsam nutzen möchten. Sehen Sie sich das folgende -Beispiel an.

    {
  "Sid": "Invoke",
  "Effect": "Allow",
  "Action": [
      "lambda:InvokeFunction"
  ],
  "Resource": [
    "LambdaFunction1ARN",
    "LambdaFunction2ARN"
  ]
 }

  8. Wählen Sie Save Changes.

Wenn Ihre IAM Richtlinie für die gemeinsame Nutzung von Dashboards diese Berechtigung bereits * als Ressource beinhaltet, empfehlen wir Ihnen dringend, die Richtlinie zu ändern und nur die ARNs Lambda-Funktionen anzugeben, die Sie gemeinsam nutzen möchten. Wenn Ihr Resource-Abschnitt für diese Berechtigungen beispielsweise wie folgt lautet:

"Resource": "*"

Ändern Sie die Richtlinie so, dass nur ARNs die benutzerdefinierten Widgets angegeben werden, die Sie teilen möchten, wie im folgenden Beispiel:

"Resource": [
  "LambdaFunction1ARN",
  "LambdaFunction2ARN"
]