Compartir paneles de CloudWatch
Puede compartir los paneles de CloudWatch con quienes no tienen acceso directo a su cuenta de AWS. Esto le permite compartir paneles entre equipos, con inversores y con personas externas a su organización. Incluso puede mostrar paneles en pantallas grandes en áreas de equipo o integrarlos en Wikis y otras páginas web.
aviso
A todas las personas con las que comparta el panel se les conceden los permisos enumerados en Permisos que se conceden a las personas con las que se comparte el panel para la cuenta. Si comparte el panel públicamente, todos aquellos que cuenten con el vínculo al panel tendrán estos permisos.
Los permisos cloudwatch:GetMetricData
y ec2:DescribeTags
no se pueden limitar a métricas específicas o a instancias EC2, por lo que quienes cuenten con acceso al panel pueden consultar todas las métricas de CloudWatch y los nombres y etiquetas de todas las instancias EC2 de la cuenta.
Cuando comparte paneles, puede designar quién puede ver el panel de tres maneras:
-
Compartir un único panel y designar hasta cinco direcciones de email de quienes pueden ver el panel. Cada uno de estos usuarios crea su propia contraseña que deben ingresar para ver el panel.
-
Compartir un único panel de control de manera pública para que cualquiera que cuente con el enlace pueda verlo.
-
Compartir todos los paneles de CloudWatch de su cuenta y especificar un proveedor de inicio de sesión único (SSO) de terceros para acceder al panel. Todos los usuarios que son miembros de la lista de proveedores de este SSO pueden acceder a todos los paneles de la cuenta. Para habilitarlo, integre el proveedor de SSO con Amazon Cognito. El proveedor de SSO debe admitir Security Assertion Markup Language (SAML) (Lenguaje de Marcado para Confirmaciones de Seguridad). Para obtener más información acerca de Amazon Cognito, consulte What is Amazon Cognito? (¿Qué es Amazon Cognito?)
Compartir un panel de control no conlleva cargos, pero los widgets dentro de un panel compartido sí se cobran según las tarifas estándar de CloudWatch. Para obtener más información sobre los precios de CloudWatch, consulte Precios de Amazon CloudWatch
Al compartir un panel, los recursos de Amazon Cognito se crean en la región Este de EE. UU. (Norte de Virginia).
importante
No modifique los nombres ni los identificadores de los recursos creados por el proceso de uso compartido del panel. Esto incluye los recursos de Amazon Cognito e IAM. Modificar estos recursos puede provocar un funcionamiento inesperado e incorrecto de los paneles compartidos.
nota
Si comparte un panel que tiene widgets de métricas con anotaciones de alarmas, las personas con las que comparte el panel no verán esos widgets. En su lugar, verán un widget en blanco con texto que indica que el widget no está disponible. Podrá seguir viendo widgets de métricas con anotaciones de alarma cuando usted mismo vea el panel.
Permisos necesarios para compartir un panel
Para poder compartir paneles con cualquiera de los siguientes métodos y ver qué paneles ya se han compartido, debe iniciar sesión en un usuario de IAM o rol de IAM que tenga determinados permisos.
Para poder compartir paneles, su usuario o rol de IAM debe incluir los permisos incluidos en la siguiente declaración de políticas:
{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CWDBSharing*", "arn:aws:iam::*:policy/*" ] }, { "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*", ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetDashboard", ], "Resource": [ "*" // or the ARNs of dashboards that you want to share ] }
Para poder ver qué paneles se comparten, pero no compartir paneles, su usuario o rol de IAM puede incluir una declaración de políticas similar a la siguiente:
{ "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListDashboards", ], "Resource": [ "*" ] }
Permisos que se conceden a las personas con las que se comparte el panel
Cuando se comparte un panel, CloudWatch crea un rol de IAM en la cuenta que otorga los siguientes permisos a las personas con las que se comparte el panel:
cloudwatch:GetInsightRuleReport
cloudwatch:GetMetricData
cloudwatch:DescribeAlarms
ec2:DescribeTags
aviso
Todas las personas con las que comparte el panel de control reciben estos permisos para la cuenta. Si comparte el panel públicamente, todas las personas que cuenten con el enlace al panel tendrán estos permisos.
Los permisos cloudwatch:GetMetricData
y ec2:DescribeTags
no se pueden limitar a métricas específicas o a instancias EC2, por lo que quienes cuenten con acceso al panel pueden consultar todas las métricas de CloudWatch y los nombres y etiquetas de todas las instancias EC2 de la cuenta.
Cuando comparte un panel, de forma predeterminada, los permisos que crea CloudWatch restringen el acceso solo a las alarmas y a las reglas de Contributor Insights que se encuentran en el panel cuando se comparte. Si agrega nuevas alarmas o reglas de Contributor Insights al panel y desea que también las vean las personas con las que compartió el panel, debe actualizar la política para permitir estos recursos.
Permitir ver alarmas compuestas a las personas con las que comparte
Cuando comparte un panel, de forma predeterminada, los widgets de alarmas compuestas del panel no son visibles para las personas con las que comparte el panel. Para que los widgets de alarmas compuestas sean visibles, debe agregar un permiso DescribeAlarms: *
a la política de uso compartido del panel. Ese permiso tendría el siguiente aspecto:
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }
aviso
La declaración de política anterior da acceso a todas las alarmas de la cuenta. Para reducir el alcance de cloudwatch:DescribeAlarms
, debe utilizar una declaración de Deny
. Puede añadir una declaración de Deny
a la política y especificar los ARN de las alarmas que desea bloquear. Esa declaración de denegación debería tener un aspecto similar al siguiente:
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Effect": "Deny", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "SensitiveAlarm1ARN", "SensitiveAlarm1ARN" ] }
Se concede permiso a las personas con las que se comparten los paneles para que vean los widgets de las tablas de registros
Cuando comparte un panel, de forma predeterminada los widgets de CloudWatch Logs Insights que se encuentran en el panel no son visibles para las personas con las que comparte el panel. Esto afecta tanto a los widgets de CloudWatch Logs Insights existentes como a los que se agregan al panel después de compartirlo.
Si desea que puedan ver los widgets de CloudWatch Logs, debe agregar permisos al rol de IAM para el uso compartido de paneles.
Para permitir que las personas con las que comparte un panel vean los widgets de CloudWatch Logs
Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/
. En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel compartido.
Elija Actions (Acciones) y, luego, Share dashboard (Compartir panel).
En Resources (Recursos), elija Rol de IAM.
En la consola de IAM, elija la política que se muestra.
Seleccione Edit policy (Editar política) y agregue la siguiente declaración. En la nueva declaración, se recomienda que especifique los ARN de sólo los grupos de registro que desea compartir. Consulte el siguiente ejemplo.
{ "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:StartQuery", "logs:StopQuery", "logs:GetLogRecord", "logs:DescribeLogGroups" ], "Resource": [ "
SharedLogGroup1ARN
", "SharedLogGroup2ARN
" ] },Elija Save changes (Guardar cambios).
Si la política de IAM para el uso compartido de paneles ya incluye esos cinco permisos con *
como el recurso, se recomienda encarecidamente que cambie la política y especifique solo los ARN de los grupos de registro que desea compartir. Por ejemplo, si la sección Resource
para estos permisos fuera la siguiente:
"Resource": "*"
Cambie la política para especificar sólo los ARN de los grupos de registros que desea compartir, como en el siguiente ejemplo:
"Resource": [ "
SharedLogGroup1ARN
", "SharedLogGroup2ARN
" ]
Se concede permiso a las personas con las que comparte para que vean los widgets personalizados
Cuando comparte un panel, de forma predeterminada los widgets personalizados que están en el panel no son visibles para las personas con las que comparte el panel. Esto afecta tanto a los widgets personalizados existentes como a los que se agregan al panel después de compartirlo.
Si desea que puedan ver los widgets personalizados, agregue permisos al rol de IAM para compartir el panel.
Para permitir que las personas con las que comparte un panel vean los widgets personalizados
Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/
. En el panel de navegación, elija Dashboards (Paneles).
Elija el nombre del panel compartido.
Elija Actions (Acciones) y, luego, Share dashboard (Compartir panel).
En Resources (Recursos), elija Rol de IAM.
En la consola de IAM, elija la política que se muestra.
Seleccione Edit policy (Editar política) y agregue la siguiente declaración. En la nueva declaración, se recomienda que especifique los ARN de sólo las funciones de Lambda que desea compartir. Consulte el siguiente ejemplo.
{ "Sid": "Invoke", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "LambdaFunction1ARN", "LambdaFunction2ARN" ] }
Elija Save changes (Guardar cambios).
Si la política de IAM para compartir el panel ya incluye ese permiso con *
como recurso, se le recomienda encarecidamente que cambie la política y especifique sólo los ARN de las funciones de Lambda que desea compartir. Por ejemplo, si la sección Resource
para estos permisos fuera la siguiente:
"Resource": "*"
Cambie la política para especificar sólo los ARN de los widgets personalizados que desea compartir, como en el ejemplo siguiente:
"Resource": [ "
LambdaFunction1ARN
", "LambdaFunction2ARN
" ]