Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Partage de CloudWatch tableaux de bord
Vous pouvez partager vos CloudWatch tableaux de bord avec des personnes qui n'ont pas un accès direct à votre AWS . Ainsi, vous pouvez partager des tableaux de bord entre les équipes, les parties prenantes et les personnes externes à votre organisation. Vous pouvez même afficher des tableaux de bord sur de grands écrans dans les espaces réservés aux équipes, ou les incorporer dans des Wikis et d'autres pages web.
Avertissement
Toutes les personnes avec lesquelles vous partagez le tableau de bord bénéficient des autorisations répertoriées dans Autorisations accordées aux personnes avec lesquelles vous partagez le tableau de bord pour le compte. Si vous partagez le tableau de bord publiquement, tous ceux qui ont le lien vers le tableau de bord disposent de ces autorisations.
Les ec2:DescribeTags
autorisations cloudwatch:GetMetricData
et ne peuvent pas être limitées à des mesures ou à des EC2 instances spécifiques. Les personnes ayant accès au tableau de bord peuvent donc interroger toutes les CloudWatch mesures ainsi que les noms et balises de toutes les EC2 instances du compte.
Lorsque vous partagez des tableaux de bord, vous pouvez désigner qui peut afficher le tableau de bord de trois manières différentes :
-
Partagez un tableau de bord unique et désignez jusqu'à cinq adresses e-mail aux personnes autorisées à consulter le tableau de bord. Chacun de ces utilisateurs crée son propre mot de passe qu'il doit saisir afin de pouvoir afficher le tableau de bord.
-
Partagez publiquement un tableau de bord unique, afin que tous ceux qui ont le lien puissent consulter le tableau de bord.
-
Partagez tous les CloudWatch tableaux de bord de votre compte et spécifiez un fournisseur d'authentification unique (SSO) tiers pour accéder au tableau de bord. Tous les utilisateurs membres de la liste de ce SSO fournisseur peuvent accéder à tous les tableaux de bord du compte. Pour ce faire, vous devez intégrer le SSO fournisseur à Amazon Cognito. Le SSO fournisseur doit prendre en charge le langage de balisage d'assertions de sécurité (SAML). Pour plus d'informations sur Amazon Cognito, consultez la page Qu'est-ce qu'Amazon Cognito ?.
Le partage d'un tableau de bord n'entraîne pas de frais, mais les widgets d'un tableau de bord partagé entraînent des frais aux tarifs standard CloudWatch . Pour plus d'informations sur CloudWatch les tarifs, consultez Amazon CloudWatch Pricing
Lorsque vous partagez un tableau de bord, les ressources Amazon Cognito sont créées dans la région USA Est (Virginie du Nord).
Important
Ne modifiez pas les noms et les identifiants des ressources créés par le processus de partage de tableau de bord. Cela inclut Amazon Cognito et IAM les ressources. La modification de ces ressources peut entraîner des fonctionnalités non voulues et incorrectes dans les tableaux de bord partagés.
Note
Si vous partagez un tableau de bord contenant des widgets de métriques avec des annotations d'alerte, les personnes avec lesquelles vous partagez ce tableau de bord ne verront pas ces widgets. Ils verront plutôt un widget vide avec du texte indiquant que le widget n'est pas disponible. Vous verrez toujours les widgets de métriques avec des annotations d'alerte lorsque vous visualiserez vous-même le tableau de bord.
Autorisations requises pour partager un tableau de bord
Pour pouvoir partager des tableaux de bord à l'aide de l'une des méthodes suivantes et pour voir quels tableaux de bord ont déjà été partagés, vous devez être connecté en tant qu'utilisateur ou avec un IAM rôle doté de certaines autorisations.
Pour pouvoir partager des tableaux de bord, votre utilisateur ou votre IAM rôle doit inclure les autorisations incluses dans la déclaration de politique suivante :
{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CWDBSharing*", "arn:aws:iam::*:policy/*" ] }, { "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*", ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetDashboard", ], "Resource": [ "*" // or the ARNs of dashboards that you want to share ] }
Pour être en mesure de voir quels tableaux de bord sont partagés, mais pas de partager des tableaux de bord, un utilisateur ou un IAM rôle peut inclure une déclaration de politique similaire à la suivante :
{ "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListDashboards", ], "Resource": [ "*" ] }
Autorisations accordées aux personnes avec lesquelles vous partagez le tableau de bord
Lorsque vous partagez un tableau de bord, CloudWatch crée un IAM rôle dans le compte qui donne les autorisations suivantes aux personnes avec lesquelles vous partagez le tableau de bord :
cloudwatch:GetInsightRuleReport
cloudwatch:GetMetricData
cloudwatch:DescribeAlarms
ec2:DescribeTags
Avertissement
Toutes les personnes avec lesquelles vous partagez le tableau de bord bénéficient de ces autorisations pour le compte. Si vous partagez le tableau de bord publiquement, tous ceux qui ont le lien vers le tableau de bord disposent de ces autorisations.
Les ec2:DescribeTags
autorisations cloudwatch:GetMetricData
et ne peuvent pas être limitées à des mesures ou à des EC2 instances spécifiques. Les personnes ayant accès au tableau de bord peuvent donc interroger toutes les CloudWatch mesures ainsi que les noms et balises de toutes les EC2 instances du compte.
Lorsque vous partagez un tableau de bord, par défaut, les autorisations qui le CloudWatch créent limitent l'accès aux seules alarmes et aux règles Contributor Insights présentes sur le tableau de bord lorsqu'il est partagé. Si vous ajoutez de nouvelles alertes ou règles Contributor Insights au tableau de bord et souhaitez qu'elles soient également visibles par les personnes avec lesquelles vous avez partagé le tableau de bord, vous devez mettre à jour la stratégie pour autoriser ces ressources.
Autoriser les personnes avec lesquelles vous partagez les tableaux de bord à voir les alertes composites
Lorsque vous partagez un tableau de bord, les widgets d'alerte composites du tableau de bord ne sont par défaut pas visibles par les personnes avec lesquelles vous partagez le tableau de bord. Pour que les widgets d'alerte composites soient visibles, vous devez ajouter une autorisation DescribeAlarms: *
à la stratégie de partage du tableau de bord. Cette autorisation se présente comme suit :
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }
Avertissement
L'instruction de stratégie précédente donne accès à toutes les alertes du compte. Pour réduire la portée de cloudwatch:DescribeAlarms
, vous devez utiliser une instruction Deny
. Vous pouvez ajouter une Deny
déclaration à la politique et spécifier ARNs les alarmes que vous souhaitez verrouiller. Cette instruction de refus doit ressembler à l'exemple ci-dessous :
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Effect": "Deny", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "SensitiveAlarm1ARN", "SensitiveAlarm1ARN" ] }
Autoriser les personnes avec lesquelles vous partagez les tableaux de bord à voir les widgets de table des journaux
Lorsque vous partagez un tableau de bord, les widgets CloudWatch Logs Insights présents sur le tableau de bord ne sont pas visibles par les personnes avec lesquelles vous partagez le tableau de bord. Cela concerne à la fois les widgets CloudWatch Logs Insights qui existent actuellement et ceux qui sont ajoutés au tableau de bord une fois que vous l'avez partagé.
Si vous souhaitez que ces personnes puissent voir les widgets CloudWatch Logs, vous devez ajouter des autorisations au IAM rôle pour le partage du tableau de bord.
Pour permettre aux personnes avec lesquelles vous partagez un tableau de bord de voir les widgets CloudWatch Logs
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. Dans le panneau de navigation, choisissez Dashboards (Tableaux de bord).
Choisissez le nom du tableau de bord partagé.
Choisissez Actions, puis Share dashboard (Partager un tableau de bord).
Sous Ressources, sélectionnez IAMRôle.
Dans la IAM console, choisissez la politique affichée.
Choisissez Edit policy (Modifier la stratégie) et ajoutez l'instruction suivante. Dans la nouvelle instruction, nous vous recommandons ARNs de ne spécifier que les groupes de journaux que vous souhaitez partager. Consultez l'exemple suivant.
{ "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:StartQuery", "logs:StopQuery", "logs:GetLogRecord", "logs:DescribeLogGroups" ], "Resource": [ "
SharedLogGroup1ARN
", "SharedLogGroup2ARN
" ] },Choisissez Save Changes (Enregistrer les modifications).
Si votre IAM politique de partage de tableau de bord inclut déjà ces cinq autorisations *
en tant que ressource, nous vous recommandons vivement de modifier la politique et de ne spécifier que les groupes ARNs de journaux que vous souhaitez partager. Par exemple, si votre section Resource
pour ces autorisations était la suivante :
"Resource": "*"
Modifiez la politique pour spécifier uniquement les groupes ARNs de journaux que vous souhaitez partager, comme dans l'exemple suivant :
"Resource": [ "
SharedLogGroup1ARN
", "SharedLogGroup2ARN
" ]
Autoriser les personnes avec lesquelles vous partagez les tableaux de bord à voir les widgets personnalisés
Lorsque vous partagez un tableau de bord, les widgets personnalisés du tableau de bord ne sont par défaut pas visibles par les personnes avec lesquelles vous partagez le tableau de bord. Cela affecte à la fois les widgets personnalisés qui existent actuellement et ceux qui sont ajoutés au tableau de bord après le partage.
Si vous souhaitez que ces personnes puissent voir les widgets personnalisés, vous devez ajouter des autorisations au IAM rôle pour le partage du tableau de bord.
Pour permettre aux personnes avec lesquelles vous partagez un tableau de bord de voir les widgets personnalisés
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. Dans le panneau de navigation, choisissez Dashboards (Tableaux de bord).
Choisissez le nom du tableau de bord partagé.
Choisissez Actions, puis Share dashboard (Partager un tableau de bord).
Sous Ressources, sélectionnez IAMRôle.
Dans la IAM console, choisissez la politique affichée.
Choisissez Edit policy (Modifier la stratégie) et ajoutez l'instruction suivante. Dans la nouvelle instruction, nous vous recommandons ARNs de ne spécifier que les fonctions Lambda que vous souhaitez partager. Consultez l'exemple suivant.
{ "Sid": "Invoke", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "LambdaFunction1ARN", "LambdaFunction2ARN" ] }
Choisissez Save Changes (Enregistrer les modifications).
Si votre IAM politique de partage de tableau de bord inclut déjà cette autorisation *
en tant que ressource, nous vous recommandons vivement de modifier la politique et ARNs de ne spécifier que les fonctions Lambda que vous souhaitez partager. Par exemple, si votre section Resource
pour ces autorisations était la suivante :
"Resource": "*"
Modifiez la politique pour spécifier uniquement ARNs les widgets personnalisés que vous souhaitez partager, comme dans l'exemple suivant :
"Resource": [ "
LambdaFunction1ARN
", "LambdaFunction2ARN
" ]