CloudWatch 대시보드 공유
AWS 계정에 직접 액세스할 수 없는 사용자와 CloudWatch 대시보드를 공유할 수 있습니다. 이렇게 하면 팀 간에 그리고 이해 관계자 및 조직 외부의 사람들과 대시보드를 공유할 수 있습니다. 대시보드를 팀 영역의 큰 화면에 표시하거나 Wiki 및 다른 웹 페이지에 포함할 수도 있습니다.
주의
대시보드를 공유받는 모든 사람에게는 계정의 대시보드를 공유받는 사용자에게 부여되는 권한 단원에 나열된 권한이 부여됩니다. 대시보드를 공개적으로 공유하면 대시보드에 대한 링크가 있는 모든 사람이 이러한 권한을 보유합니다.
cloudwatch:GetMetricData
및 ec2:DescribeTags
권한의 경우 특정 지표 또는 EC2 인스턴스로 범위를 좁힐 수 없으므로 대시보드에 대한 액세스 권한이 있는 사용자는 모든 CloudWatch 지표와 계정에 있는 모든 EC2 인스턴스의 이름 및 태그를 쿼리할 수 있습니다.
대시보드를 공유할 때 다음 세 가지 방법으로 대시보드를 볼 수 있는 사용자를 지정할 수 있습니다.
-
단일 대시보드를 공유하고 대시보드를 볼 수 있는 사용자의 이메일 주소를 최대 5개 지정합니다. 이러한 각 사용자는 대시보드를 보기 위해 입력해야 하는 고유한 암호를 생성합니다.
-
링크가 있는 사람은 누구나 대시보드를 볼 수 있도록 단일 대시보드를 공개적으로 공유합니다.
-
계정의 모든 CloudWatch 대시보드를 공유하고 대시보드 액세스를 위한 서드 파티 통합 인증(SSO) 공급자를 지정합니다. 이 SSO 공급자 목록의 멤버인 모든 사용자는 계정의 모든 대시보드에 액세스할 수 있습니다. 이를 사용하려면 SSO 공급자를 Amazon Cognito와 통합합니다. SSO 공급자는 Security Assertion Markup Language(SAML)를 지원해야 합니다. Amazon Cognito에 대한 자세한 내용은 Amazon Cognito란? 단원을 참조하세요.
대시보드 공유에는우 요금이 발생하지 않지만 공유 대시보드 내의 위젯에는 표준 CloudWatch 요금이 부과됩니다. CloudWatch 요금에 대한 자세한 내용은 Amazon CloudWatch 요금
대시보드를 공유하면 Amazon Cognito 리소스가 미국 동부(버지니아 북부) 리전에 생성됩니다.
중요
대시보드 공유 프로세스에서 생성된 리소스 이름 및 식별자를 수정하지 마세요. 여기에는 Amazon Cognito 및 IAM 리소스가 포함됩니다. 이러한 리소스를 수정하면 공유 대시보드의 예상치 못한 잘못된 기능이 발생할 수 있습니다.
참고
경보 주석이 포함된 지표 위젯이 있는 대시보드를 공유하는 경우 대시보드가 공유된 사용자들에게는 해당 위젯이 표시되지 않습니다. 대신 위젯을 사용할 수 없다는 텍스트가 포함된 빈 위젯이 표시됩니다. 대시보드를 본인이 직접 확인하는 경우 경보 주석이 포함된 지표 위젯이 계속 표시됩니다.
대시보드 공유에 필요한 권한
다음 방법 중 하나를 사용하여 대시보드를 공유하고 이미 공유된 대시보드를 확인하려면 사용자로 로그인하거나 특정 권한이 있는 IAM 역할로 로그인해야 합니다.
대시보드를 공유할 수 있으려면 사용자 또는 IAM 역할에 다음 정책 설명에 포함된 권한이 포함되어 있어야 합니다.
{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/CWDBSharing*", "arn:aws:iam::*:policy/*" ] }, { "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*", ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:GetDashboard", ], "Resource": [ "*" // or the ARNs of dashboards that you want to share ] }
어떤 대시보드가 공유되는지 볼 수 있지만 대시보드를 공유할 수 없도록 하려면 사용자 또는 IAM 역할에 다음과 유사한 정책 설명을 포함하세요.
{ "Effect": "Allow", "Action": [ "cognito-idp:*", "cognito-identity:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:ListDashboards", ], "Resource": [ "*" ] }
대시보드를 공유받는 사용자에게 부여되는 권한
대시보드를 공유할 때 CloudWatch는 대시보드를 공유받는 사용자에게 다음 권한을 부여하는 IAM 역할을 계정에 생성합니다.
cloudwatch:GetInsightRuleReport
cloudwatch:GetMetricData
cloudwatch:DescribeAlarms
ec2:DescribeTags
주의
대시보드를 공유받는 모든 사람에게는 계정의 이러한 권한이 부여됩니다. 대시보드를 공개적으로 공유하면 대시보드에 대한 링크가 있는 모든 사람이 이러한 권한을 보유합니다.
cloudwatch:GetMetricData
및 ec2:DescribeTags
권한의 경우 특정 지표 또는 EC2 인스턴스로 범위를 좁힐 수 없으므로 대시보드에 대한 액세스 권한이 있는 사용자는 모든 CloudWatch 지표와 계정에 있는 모든 EC2 인스턴스의 이름 및 태그를 쿼리할 수 있습니다.
대시보드를 공유할 때 기본적으로 CloudWatch가 생성하는 권한은 대시보드가 공유될 때 대시보드에 있는 경보 및 Contributor Insights 규칙에 대한 액세스만 제한합니다. 대시보드에 새 경보 또는 Contributor Insights 규칙을 추가하고 대시보드를 공유받은 사용자도 해당 경보 또는 규칙을 볼 수 있도록 하려면 이러한 리소스를 허용하도록 정책을 업데이트해야 합니다.
공유받는 사용자가 복합 경보를 볼 수 있도록 허용
대시보드를 공유할 때 기본적으로 대시보드의 복합 경보 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 복합 경보 위젯을 표시하려면 대시보드 공유 정책에 DescribeAlarms: *
권한을 추가해야 합니다. 해당 권한은 다음과 같습니다.
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }
주의
앞의 정책 문은 계정의 모든 경보에 대한 액세스 권한을 부여합니다. cloudwatch:DescribeAlarms
의 범위를 줄이려면 Deny
문을 사용해야 합니다. 정책에 Deny
문을 추가하고 잠그려는 경보의 ARN을 지정할 수 있습니다. 해당 Deny 문은 다음과 비슷합니다.
{ "Effect": "Allow", "Action": "cloudwatch:DescribeAlarms", "Resource": "*" }, { "Effect": "Deny", "Action": "cloudwatch:DescribeAlarms", "Resource": [ "SensitiveAlarm1ARN", "SensitiveAlarm1ARN" ] }
공유받는 사용자가 로그 테이블 위젯을 볼 수 있도록 허용
대시보드를 공유할 때 기본적으로 대시보드에 있는 CloudWatch Logs Insights 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 이는 현재 존재하는 CloudWatch Logs Insights 위젯과 공유 이후에 대시보드에 추가되는 항목에 모두 적용됩니다.
이러한 사용자가 CloudWatch Logs 위젯을 볼 수 있도록 하려면 대시보드 공유를 위한 IAM 역할에 권한을 추가해야 합니다.
대시보드를 공유받는 사용자가 CloudWatch Logs 위젯을 볼 수 있도록 허용하려면
https://console.aws.amazon.com/cloudwatch/
에서 CloudWatch 콘솔을 엽니다. 탐색 창에서 대시보드(Dashboards)를 선택합니다.
공유된 대시보드의 이름을 선택합니다.
[작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.
[리소스(Resources)]에서 [IAM 역할(IAM Role)]을 선택합니다.
IAM 콘솔에서 표시된 정책을 선택합니다.
[정책 편집(Edit policy)]을 선택하고 다음 명령문을 추가합니다. 새 명령문에서, 공유하려는 로그 그룹의 ARN만 지정하는 것이 좋습니다. 다음 예를 참조하세요.
{ "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:StartQuery", "logs:StopQuery", "logs:GetLogRecord", "logs:DescribeLogGroups" ], "Resource": [ "
SharedLogGroup1ARN
", "SharedLogGroup2ARN
" ] },변경 사항 저장을 선택합니다.
대시보드 공유에 대한 IAM 정책에 *
를 리소스로 사용하는 5가지 권한이 이미 포함되어 있는 경우 정책을 변경하고 공유하려는 로그 그룹의 ARN만 지정하는 것이 좋습니다. 예를 들어 이러한 권한의 Resource
섹션이 다음과 같은 경우
"Resource": "*"
다음 예와 같이 공유하려는 로그 그룹의 ARN만 지정하도록 정책을 변경합니다.
"Resource": [ "
SharedLogGroup1ARN
", "SharedLogGroup2ARN
" ]
공유받는 사용자가 사용자 지정 위젯을 볼 수 있도록 허용
대시보드를 공유할 때 기본적으로 대시보드에 있는 사용자 지정 위젯은 대시보드를 공유받는 사용자에게 표시되지 않습니다. 이는 현재 존재하는 사용자 지정 위젯과 공유 이후에 대시보드에 추가되는 항목에 모두 적용됩니다.
이러한 사용자가 사용자 지정 위젯을 볼 수 있도록 하려면 대시보드 공유를 위한 IAM 역할에 권한을 추가해야 합니다.
대시보드를 공유받는 사용자가 사용자 지정 위젯을 볼 수 있도록 허용하려면
https://console.aws.amazon.com/cloudwatch/
에서 CloudWatch 콘솔을 엽니다. 탐색 창에서 대시보드(Dashboards)를 선택합니다.
공유된 대시보드의 이름을 선택합니다.
[작업(Actions)], [대시보드 공유(Share dashboard)]를 선택합니다.
[리소스(Resources)]에서 [IAM 역할(IAM Role)]을 선택합니다.
IAM 콘솔에서 표시된 정책을 선택합니다.
[정책 편집(Edit policy)]을 선택하고 다음 명령문을 추가합니다. 새 명령문에서, 공유하려는 Lambda 함수의 ARN만 지정하는 것이 좋습니다. 다음 예를 참조하세요.
{ "Sid": "Invoke", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "LambdaFunction1ARN", "LambdaFunction2ARN" ] }
변경 사항 저장을 선택합니다.
대시보드 공유를 위한 IAM 정책에 *
를 리소스로 지정하는 해당 권한이 이미 포함되어 있는 경우 정책을 변경하고 공유하려는 Lambda 함수의 ARN만 지정하는 것이 좋습니다. 예를 들어 이러한 권한의 Resource
섹션이 다음과 같은 경우
"Resource": "*"
다음 예와 같이 공유하려는 사용자 지정 위젯의 ARN만 지정하도록 정책을 변경합니다.
"Resource": [ "
LambdaFunction1ARN
", "LambdaFunction2ARN
" ]