# 데이터 소스에 대한 액세스 관리
<a name="CloudWatch_MultiDataSources_Permissions"></a>

 CloudWatch는 CloudFormation을 사용하여 계정에 필요한 리소스를 생성합니다. IAM 사용자에게 `CreateStack` 권한을 부여할 때 `cloudformation:TemplateUrl` 조건을 사용하여 CloudFormation 템플릿에 대한 액세스를 제어하는 것이 좋습니다.

**주의**  
데이터 소스 호출 권한을 부여받은 모든 사용자는 해당 데이터 소스에 대한 직접적인 IAM 권한이 없더라도 해당 데이터 소스에서 지표를 쿼리할 수 있습니다. 예를 들어, Amazon Managed Service for Prometheus 데이터 소스 Lambda 함수에 대한 `lambda:InvokeFunction` 권한을 사용자에게 부여하면 해당 작업 공간에 대한 직접적인 IAM 액세스 권한을 부여하지 않았더라도 사용자는 해당하는 Amazon Managed Service for Prometheus 작업 영역에서 지표를 쿼리할 수 있습니다.

CloudWatch 설정 콘솔의 **스택 생성** 페이지에서 데이터 소스의 템플릿 URL을 찾을 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}
```

------

CloudFormation 액세스 제어에 대한 자세한 내용은 [AWS Identity and Access Management를 사용한 액세스 제어](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html)를 참조하세요.