内容
IAMユーザーを作成しなくても、CloudWatchダッシュボードを外部ユーザーと共有することができます。本記事では、その手順と注意点について記載します。
手順
1. CloudWatchダッシュボードの画面で「ダッシュボードの共有」をクリックします。
2. 「ダッシュボードを共有し、ユーザー名とパスワードを要求する」の「共有を開始」をクリックします。
3. 共有先のメールアドレスを入力して、手順を進めます。
4. 入力したメールアドレス宛に、ユーザー名とパスワードが記載されたメールが送信されます。
5. CloudWatchダッシュボードの「リンクをコピー」からURLをコピーし、ブラウザでアクセスします。
6. 以下のログイン画面が表示されるため、メールに記載されたユーザー名とパスワードでログインします。
7. ダッシュボードが共有され、内容を閲覧できるようになります。
注意点
1. 共有によって自動作成されるリソース
ダッシュボード共有時には、IAMロールやAmazon CognitoのUser Poolなどのリソースが自動的に作成されます。CloudWatchのダッシュボード共有画面の「リソース」欄からこれらを確認できます。
作成されたIAMロールには以下のようなポリシーが付与されています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"cloudwatch:GetMetricData"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetInsightRuleReport",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetDashboard"
],
"Resource": [
"arn:aws:cloudwatch::account_name:dashboard/dashbord_name"
]
}
]
}
公式ドキュメントにも記載がありますが、cloudwatch:GetMetricData および ec2:DescribeTags は、特定リソースへのスコープ制限ができません。
そのため、共有されたユーザーは、アカウント内のすべての CloudWatch メトリクスと、全EC2インスタンスの名前およびタグ情報を参照可能になります。
2. Amazon Cognito リソースの作成リージョンに注意
ダッシュボードを共有すると Amazon Cognito のリソースが米国東部(バージニア北部)リージョンに作成される 点にも注意が必要です。
