# Administración del acceso a orígenes de datos CloudWatch utiliza CloudFormation para crear los recursos necesarios en la cuenta. Le recomendamos que utilice la condición `cloudformation:TemplateUrl` para controlar el acceso a las plantillas CloudFormation cuando conceda permisos `CreateStack` a los usuarios de IAM. **aviso** Cualquier usuario al que conceda permiso de invocación a un origen de datos puede consultar las métricas de ese origen de datos, incluso si ese usuario no tiene permisos de IAM directos para acceder al origen de datos. Por ejemplo, si concede permisos `lambda:InvokeFunction` en una función de Lambda de origen de datos de Amazon Managed Service para Prometheus a un usuario, ese usuario podrá consultar las métricas del espacio de trabajo correspondiente de Amazon Managed Service para Prometheus aunque no le haya concedido acceso de IAM directo a ese espacio de trabajo. Puede encontrar las URL de plantillas para los orígenes de datos en la página **Crear pila** de la consola de configuración de CloudWatch. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowCloudFormationCreateStack", "Effect": "Allow", "Action": [ "cloudformation:CreateStack" ], "Resource": "*", "Condition": { "StringEquals": { "cloudformation:TemplateUrl": [ "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json" ] } } } ] } ``` ------ Para obtener más información sobre cómo controlar el acceso CloudFormation, consulte [Controlar el acceso con Administración de identidad y acceso de AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html).