# 管理对数据来源的访问
<a name="CloudWatch_MultiDataSources_Permissions"></a>

 CloudWatch 通过 CloudFormation 在您的账户中创建所需资源。在向 IAM 用户授予 `CreateStack` 权限时，我们建议您使用 `cloudformation:TemplateUrl` 条件来控制对 CloudFormation 模板的访问权限。

**警告**  
您对其授予数据来源调用权限的任何用户都可以查询该数据来源中的指标，即使此用户没有该数据来源的直接 IAM 访问权限。例如，如果您向用户授予 Amazon Managed Service for Prometheus 数据来源 Lambda 函数的 `lambda:InvokeFunction` 权限，则即使您没有向用户授予该工作区的直接 IAM 访问权限，该用户也将能够查询相应 Amazon Managed Service for Prometheus 工作区的指标。

您可以在 CloudWatch 设置控制台的**创建堆栈**页面上找到数据来源的模板 URL。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}
```

------

有关控制 CloudFormation 访问的更多信息，请参阅[使用 AWS Identity and Access Management 控制访问](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html)。