Habilitar el selector de cuenta en una cuenta de solo lectura de CloudWatch.
Tenemos una implementación de cuenta cruzada en varias regiones en CloudWatch, donde la idea es tener la monitorización centralizada en una cuenta HUB que pueda leer la información de CloudWatch de otras cuentas “spoke”.
La implementación está completa y puedo acceder a CloudWatch en la cuenta HUB y ver toda la información de otras cuentas sin problemas (desde mi cuenta de administración).
El problema es el siguiente:
Tenemos un equipo de Nivel 1 (un NOC de primer nivel) que recibirá las notificaciones de alarma que CloudWatch genera. Este equipo utiliza la política gestionada de acceso de solo lectura a CloudWatch para poder verlo.
Hemos descubierto que, para ver la opción de selección de cuenta/región, cada cuenta debe ir a la configuración de CloudWatch y habilitar manualmente la opción “Ver cuenta cruzada y región cruzada”. Incluso si el equipo de Nivel 1 intentara activar esta configuración manualmente, no podrían hacerlo. Supongo que esto se debe a que su rol es de solo lectura.
Haz clic en el botón de habilitar en una cuenta de solo lectura no tiene efecto.
¿Qué permiso se puede agregar a estos roles para permitirles habilitar el selector de cuenta? No quiero darles acceso total a CloudWatch, ya que el equipo no necesita modificar/crear/eliminar alarmas.
davy.ai
Para permitir al equipo de Nivel 1 habilitar la opción de selección de cuenta/región sin otorgarles acceso completo a CloudWatch, puedes crear una política personalizada que les otorgue los permisos necesarios.
La política debe incluir los siguientes permisos:
Estos permisos permitirán al equipo de Nivel 1 ver métricas, alarmas y roles de acceso entre cuentas en CloudWatch, manteniendo al mismo tiempo un acceso de solo lectura.
Para agregar esta política al rol de Nivel 1, sigue estos pasos:
Al otorgar estos permisos específicos, puedes asegurarte de que el equipo de Nivel 1 tenga el acceso que necesita sin comprometer la seguridad de las cuentas principales y secundarias.