Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CloudWatch Dashboard di condivisione
Puoi condividere le tue CloudWatch dashboard con persone che non hanno accesso diretto alle tue AWS conto. In questo modo puoi condividere pannelli di controllo tra i team, con le parti interessate e con persone esterne all'organizzazione. Puoi anche visualizzare pannelli di controllo su grandi schermi nelle aree del team, o incorporarli in pagine Wiki e altre pagine Web.
avvertimento
A tutte le persone con cui condividi il pannello di controllo vengono concesse le autorizzazioni elencate in Autorizzazioni concesse agli utenti con cui condividi il pannello di controllo per l'account. Se condividi pubblicamente il pannello di controllo, tutti coloro che dispongono del collegamento al pannello di controllo dispongono di queste autorizzazioni.
Le ec2:DescribeTags
autorizzazioni cloudwatch:GetMetricData
e non possono essere limitate a metriche o EC2 istanze specifiche, quindi le persone con accesso alla dashboard possono interrogare tutte le CloudWatch metriche e i nomi e i tag di tutte le EC2 istanze dell'account.
Quando si condividono pannelli di controllo, è possibile specificare chi può visualizzare il pannello di controllo in tre modi:
-
Condividi un'unica dashboard e designa fino a cinque indirizzi e-mail di persone che possono visualizzarla. Ognuno di questi utenti crea la propria password che deve immettere per visualizzare il pannello di controllo.
-
Condividi pubblicamente un singolo pannello di controllo, in modo che chiunque disponga del collegamento possa visualizzarlo.
-
Condividi tutte le CloudWatch dashboard del tuo account e specifica un provider Single Sign-on (SSO) di terze parti per l'accesso alla dashboard. Tutti gli utenti che sono membri dell'elenco di questo SSO provider possono accedere a tutte le dashboard dell'account. Per abilitare ciò, integri il SSO provider con Amazon Cognito. Il SSO provider deve supportare Security Assertion Markup Language (). SAML Per ulteriori informazioni su Amazon Cognito, consulta Che cos'è Amazon Cognito?
La condivisione di una dashboard non comporta costi, ma i widget all'interno di una dashboard condivisa comportano addebiti secondo le tariffe standard. CloudWatch Per ulteriori informazioni sui CloudWatch prezzi, consulta la pagina CloudWatch dei prezzi di Amazon
Quando condividi una dashboard, le risorse di Amazon Cognito vengono create nella regione Stati Uniti orientali (Virginia settentrionale).
Importante
Non modificare i nomi e gli identificatori delle risorse creati dal processo di condivisione del pannello di controllo. Ciò include Amazon Cognito e IAM le risorse. La modifica di queste risorse può causare funzionalità impreviste e non corrette dei pannelli di controllo condivisi.
Nota
Se condividi un pannello di controllo contenente widget parametrici con annotazioni di allarme, le persone con cui condividi il pannello di controllo non visualizzeranno tali widget. Vedranno invece un widget vuoto con un testo che indica che il widget non è disponibile. Quando visualizzi personalmente il pannello di controllo, visualizzerai comunque i widget parametrici con le annotazioni di allarme.
Autorizzazioni necessarie per condividere un pannello di controllo
Per poter condividere le dashboard utilizzando uno dei seguenti metodi e per vedere quali dashboard sono già state condivise, devi accedere come utente o con un IAM ruolo che dispone di determinate autorizzazioni.
Per poter condividere le dashboard, l'utente o il IAM ruolo deve includere le autorizzazioni incluse nella seguente dichiarazione politica:
{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CWDBSharing*", "arn:aws:iam::*:policy/*" ] }, { "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*", ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetDashboard", ], "Resource": [ "*" // or the ARNs of dashboards that you want to share ] }
Per vedere quali dashboard sono condivise, ma non condividere dashboard, un utente o un IAM ruolo può includere una dichiarazione politica simile alla seguente:
{ "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListDashboards", ], "Resource": [ "*" ] }
Autorizzazioni concesse agli utenti con cui condividi il pannello di controllo
Quando condividi una dashboard, CloudWatch crea un IAM ruolo nell'account che concede le seguenti autorizzazioni alle persone con cui condividi la dashboard:
cloudwatch:GetInsightRuleReport
cloudwatch:GetMetricData
cloudwatch:DescribeAlarms
ec2:DescribeTags
avvertimento
A tutte le persone con cui condividi il pannello di controllo vengono concesse queste autorizzazioni per l'account. Se condividi pubblicamente il pannello di controllo, tutti coloro che dispongono del collegamento al pannello di controllo dispongono di queste autorizzazioni.
Le ec2:DescribeTags
autorizzazioni cloudwatch:GetMetricData
e non possono essere limitate a metriche o EC2 istanze specifiche, quindi le persone con accesso alla dashboard possono interrogare tutte le CloudWatch metriche e i nomi e i tag di tutte le istanze dell'account. EC2
Quando condividi una dashboard, per impostazione predefinita le autorizzazioni CloudWatch create limitano l'accesso solo agli allarmi e alle regole di Contributor Insights presenti nella dashboard quando è condivisa. Se si aggiungono nuovi avvisi o regole di Contributor Insights dei collaboratori al pannello di controllo e si desidera che vengano visualizzati anche dagli utenti con cui è stato condiviso il pannello di controllo, devi aggiornare la policy per consentire queste risorse.
Consentire alle persone con cui condividi di vedere allarmi compositi
Quando condividi un pannello di controllo, per impostazione predefinita i widget di allarme composito sul pannello di controllo non sono visibili agli utenti con cui si condivide il pannello di controllo. Affinché i widget di allarme composito siano visibili, devi aggiungere un'autorizzazione DescribeAlarms: *
alle policy di condivisione del pannello di controllo. L'autorizzazione avrebbe il seguente aspetto:
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }
avvertimento
L'istruzione precedente offre l'accesso a tutti gli allarmi presenti nell'account. Per ridurre l'ambito di cloudwatch:DescribeAlarms
, devi utilizzare un'istruzione Deny
. Puoi aggiungere una Deny
dichiarazione alla politica e specificare gli ARNs allarmi che desideri bloccare. Questa istruzione di negazione dovrebbe essere simile alla seguente:
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Effect": "Deny", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "SensitiveAlarm1ARN", "SensitiveAlarm1ARN" ] }
Consentire alle persone con cui condividi di visualizzare i widget della tabella dei log
Quando condividi una dashboard, per impostazione predefinita i widget di CloudWatch Logs Insights presenti nella dashboard non sono visibili alle persone con cui condividi la dashboard. Ciò influisce sia sui widget di CloudWatch Logs Insights esistenti sia su quelli aggiunti alla dashboard dopo la condivisione.
Se vuoi che queste persone possano vedere CloudWatch i widget di Logs, devi aggiungere le autorizzazioni al ruolo per la condivisione della IAM dashboard.
Per consentire alle persone con cui condividi una dashboard di visualizzare i widget Logs CloudWatch
Apri la CloudWatch console all'indirizzo. https://console.aws.amazon.com/cloudwatch/
Nel pannello di navigazione seleziona Dashboards (Pannelli di controllo).
Scegli il nome del pannello di controllo condiviso.
Scegli Actions (Operazioni), Share dashboard (Condividi pannello di controllo).
In Risorse, scegli IAMRuolo.
Nella IAM console, scegli la politica visualizzata.
Scegli Edit policy (Modifica policy) e aggiungi la seguente istruzione. Nella nuova dichiarazione, ti consigliamo di specificare solo i gruppi ARNs di log che desideri condividere. Guarda l'esempio seguente.
{ "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:StartQuery", "logs:StopQuery", "logs:GetLogRecord", "logs:DescribeLogGroups" ], "Resource": [ "
SharedLogGroup1ARN
", "SharedLogGroup2ARN
" ] },Seleziona Salva modifiche.
Se la tua IAM politica per la condivisione della dashboard include già quelle cinque autorizzazioni *
come risorsa, ti consigliamo vivamente di modificare la politica e specificare solo i gruppi ARNs di log che desideri condividere. Ad esempio, se la sezione Resource
per queste autorizzazioni era la seguente:
"Resource": "*"
Modifica la politica per specificare solo i gruppi ARNs di log che desideri condividere, come nell'esempio seguente:
"Resource": [ "
SharedLogGroup1ARN
", "SharedLogGroup2ARN
" ]
Consentire alle persone con cui condividi di visualizzare i widget personalizzati
Quando condividi un pannello di controllo, per impostazione predefinita i widget personalizzati presenti nel pannello di controllo non sono visibili agli utenti con cui condividi il pannello di controllo. Ciò influisce sia sui widget personalizzati esistenti che su quelli aggiunti al pannello di controllo dopo la condivisione.
Se vuoi che queste persone possano vedere i widget personalizzati, devi aggiungere le autorizzazioni al IAM ruolo per la condivisione della dashboard.
Per consentire agli utenti con cui condividi un pannello di controllo di visualizzare i widget personalizzati
Apri la CloudWatch console all'indirizzo. https://console.aws.amazon.com/cloudwatch/
Nel pannello di navigazione seleziona Dashboards (Pannelli di controllo).
Scegli il nome del pannello di controllo condiviso.
Scegli Actions (Operazioni), Share dashboard (Condividi pannello di controllo).
In Risorse, scegli IAMRuolo.
Nella IAM console, scegli la politica visualizzata.
Scegli Edit policy (Modifica policy) e aggiungi la seguente istruzione. Nella nuova dichiarazione, ti consigliamo ARNs di specificare solo le funzioni Lambda che desideri condividere. Guarda l'esempio seguente.
{ "Sid": "Invoke", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "LambdaFunction1ARN", "LambdaFunction2ARN" ] }
Seleziona Salva modifiche.
Se la tua IAM politica per la condivisione della dashboard include già tale autorizzazione *
come risorsa, ti consigliamo vivamente ARNs di modificare la politica e specificare solo le funzioni Lambda che desideri condividere. Ad esempio, se la sezione Resource
per queste autorizzazioni era la seguente:
"Resource": "*"
Modifica la policy per specificare solo ARNs i widget personalizzati che desideri condividere, come nell'esempio seguente:
"Resource": [ "
LambdaFunction1ARN
", "LambdaFunction2ARN
" ]