# Gerenciar o acesso a fontes de dados
<a name="CloudWatch_MultiDataSources_Permissions"></a>

 O CloudWatch usa o CloudFormation para criar os recursos necessários na sua conta. Recomendamos que você use a condição `cloudformation:TemplateUrl` para controlar o acesso aos modelos do CloudFormation ao conceder permissões `CreateStack` aos usuários do IAM. 

**Atenção**  
Qualquer usuário a quem você concede permissão para invocar a fonte de dados pode consultar métricas dessa fonte de dados, mesmo que esse usuário não tenha permissões diretas do IAM para a fonte de dados. Por exemplo, se você conceder permissões `lambda:InvokeFunction` em uma função do Lambda da fonte de dados do Amazon Managed Service for Prometheus a um usuário, esse usuário poderá consultar métricas do espaço de trabalho correspondente do Amazon Managed Service for Prometheus, mesmo que você não tenha concedido a ele acesso direto do IAM a esse espaço de trabalho.

Você pode encontrar URLs de modelos para fontes de dados na página **Criar pilha** no console de configurações do CloudWatch. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}
```

------

Para obter mais informações sobre o controle de acesso ao CloudFormation, consulte [Controlar o acesso com o AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html)