管理对数据来源的访问 - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理对数据来源的访问

CloudWatch 通过 Amazon CloudFormation 在您的账户中创建所需资源。我们建议您在向 IAM 用户授予 CreateStack 权限时使用 cloudformation:TemplateUrl 条件来控制对 Amazon CloudFormation 模板的访问权限。

警告

您对其授予数据来源调用权限的任何用户都可以查询该数据来源中的指标,即使此用户没有该数据来源的直接 IAM 访问权限。例如,如果您向用户授予 Amazon Managed Service for Prometheus 数据来源 Lambda 函数的 lambda:InvokeFunction 权限,则即使您没有授予其该工作区的直接 IAM 访问权限,该用户也将能够查询相应 Amazon Managed Service for Prometheus 工作区的指标。

您可以在 CloudWatch 设置控制台的创建堆栈页面上找到数据来源的模板 URL。

{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "StringEquals" : { "cloudformation:TemplateUrl" : [ data-source-template-url ] } } } ] }

有关控制 Amazon CloudFormation 访问的更多信息,请参阅使用 Amazon Identity and Access Management 控制访问