今回は、IAMでCloudWatchのみ閲覧できるユーザーの作成方法について、まとめてみました。
まずはじめに、下記のようなIAMのログインURLが分かりにくいので、数字部分を変更します。
変更方法ですが、Create Account Aliasボタンから数字部分に代わる文字列を入力します。
変更後、以下のように設定したログインURLになります。
そしてここから、CloudWatchの閲覧専用ユーザーの作成をします。
はじめに、グループを作成します。
作成したグループにポリシーを設定をしていくのですが、CloudWatchの閲覧のみができるポリシーテンプレート
(CloudWatch Read Only Access)があったので、これをそのまま利用します。
実際のポリシーは下記になります。
{
"Statement": [
{
"Action": [
"sns:Get*",
"sns:List*",
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:List*",
"cloudwatch:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
そして、ユーザーを作成していきます。
ユーザーの情報を入力し、Finishボタンを押すと、キー情報(Access Key / Secret Key)が、下記のDownload Credentialsよりダウンロード(credentials.csv)できます。
最初に調整したログインURLから、作成したユーザーでログインするには、下記のManage Passwordボタンからパスワードの設定をする必要があります。
今回は、Assign a custom passwordを選択して、任意のパスワードを設定しました。
最後に最初に調整したログインURLから、作成したユーザーでログインしてみます。
これで無事に、CloudWatchのみ閲覧できることが確認できました。
ただ、CloudWatchのみだと、各リソースがIDのみでしか認識できないので、非常に分かりにくいためEC2やRDSなどの閲覧ポリシーも付与しておいた方が分かりやすいと思います。
IAMがコンソールで対応してくれたのはいいですね。
