2011年5月27日金曜日

IAMでCloudWatchのみ閲覧できるユーザーを作成

スズキです。

まず、下記のようなIAMのログインURLの数字の部分を分かりにくいので、変更します。


変更するには、"Create Account Alias"ボタンから下記のように入力します。


すると、以下のようにわかりやすいログインURLになります。


そして、いよいよCloudWatchの閲覧専用ユーザーの作成です。


まずはグループの作成です。


そのグループにポリシーを設定します。
幸いCloudWatchの閲覧のみができるポリシーテンプレート
(CloudWatch Read Only Access)があったので、それをそのまま利用します。


実際のポリシーは下記の通りです。


{
  "Statement": [
    {
      "Action": [
        "sns:Get*",
        "sns:List*",
        "autoscaling:Describe*",
        "cloudwatch:Describe*",
        "cloudwatch:List*",
        "cloudwatch:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

そして、いよいよユーザーの作成です。



キー情報(Access Key / Secret Key)は下記の"Download Credentials"から
ダウンロード(credentials.csv)できます。


最初に調整したログインURLから、作成したユーザーでログインするには、
下記の"Manage Password"ボタンからパスワードの設定をする必要があります。


今回は、"Assign a custom password"を選択して、
自分の好きなパスワードを設定しました。


最後に最初で調整したログインURLから、作成したユーザーでログインします。


無事、CloudWatchのみ閲覧できることが確認できました。


ただ、CloudWatchのみだと、各リソースがIDのみでしか認識できないので、非常に分かりにくいです。
ですので、EC2やRDSなどの閲覧ポリシーも付与しておいたほうがいいと思います。

IAMがコンソールで対応してくれたのは大きいなー。
--------
http://www.suz-lab.com

0 コメント: