amazon-web-services - 只读 AWS CLI 访问严格的 CloudWatch 计费指标-6ren

amazon-web-services - 只读 AWS CLI 访问严格的 CloudWatch 计费指标

转载作者：行者123 更新时间：2023-12-02 04:28:28

26

4

我只需要为某人提供对我们 CloudWatch 计费指标的只读 AWS CLI 访问权限。我不确定如何执行此操作，因为 CloudWatch 没有任何可以控制访问的特定资源。这意味着在 IAM 策略中没有要指定的 ARN，因此，策略中的任何资源指定都是“*”。有关 CloudWatch ARN 限制的更多信息，请访问 here .我考虑使用 namespaces但我相信“aws-portal”命名空间是用于控制台的。任何方向或想法都非常感谢。

使用当前的 CloudWatch ARN 限制，IAM 策略看起来像这样。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:DescribeMetricData",
        "cloudwatch:GetMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

最佳答案

正如您所说，您将无法在 CloudWatch 中实现这一目标。根据docs :

CloudWatch doesn't have any specific resources for you to control access to... For example, you can't give a user access to CloudWatch data for only a specific set of EC2 instances or a specific load balancer. Permissions granted using IAM cover all the cloud resources you use or monitor with CloudWatch.

另一种选择可能是:

使用 Scheduled events在 lambda 函数上定期将相关计费指标从 Cloudwatch 导出到 S3 存储桶。例如，使用 Python SDK，lambda 可能如下所示:

import boto3
from datetime import datetime, timedelta
def lambda_handler(event, context):
    try:
        bucket_name = "so-billing-metrics"
        filename = '-'.join(['billing', datetime.now().strftime("%Y-%m-%d-%H")])
        region_name = "us-east-1"
        dimensions = {'Name': 'Currency', 'Value':'USD'}
        metric_name = 'EstimatedCharges'
        namespace = 'AWS/Billing'
        start_time = datetime.now() - timedelta(hours = 1)
        end_time = datetime.now()

        # Create CloudWatch client
        cloudwatch = boto3.client('cloudwatch', region_name=region_name)  

        # Get billing metrics for the last hour
        metrics = cloudwatch.get_metric_statistics(
            Dimensions=[dimensions], 
            MetricName=metric_name, 
            Namespace=namespace,
            StartTime=start_time,
            EndTime=end_time,
            Period=60,
            Statistics=['Sum'])

        # Save data to temp file
        with open('/tmp/billingmetrics', 'wb') as f:
            # Write header and data
            f.write("Timestamp, Cost")
            for entry in metrics['Datapoints']:
                f.write(",".join([entry['Timestamp'].strftime('%Y-%m-%d %H:%M:%S'), str(entry['Sum']), entry['Unit']]))

        # Upload temp file to S3
        s3 = boto3.client('s3')
        with open('/tmp/billingmetrics', 'rb') as data:
            s3.upload_fileobj(data, bucket_name, filename)

    except Exception as e:
        print str(e)
        return 0
    return 1

备注 :您需要确保 Lambda 函数具有写入 S3 和从 cloudwatch 读取的相关权限。

将 IAM 用户/角色限制为对 S3 存储桶的只读访问权限。

关于amazon-web-services - 只读 AWS CLI 访问严格的 CloudWatch 计费指标，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/51385136/

26

4

0

文章推荐： java - 在新窗口的 JFrame 或 JPanel 之间切换？

文章推荐： java - 网页无法识别 HtmlUnit 设置的文本

文章推荐： d3.js - 在 D3 缩放中未触发 Mouseup 事件

javascript - php 访问 mqsql 或 html 访问 json 或 html 访问 xml ？哪个更快？
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 4 年前。 Improv
powershell - API 访问 PowerShell Web 访问？
PowerShell Web Access 允许您通过 Web 浏览器运行 PowerShell cmdlet。它显示了一个基于 Web 的控制台窗口。有没有办法运行 cmdlet 而无需在控制台窗
c# - 如何使用应用程序级身份验证/访问 token 访问 Sharepoint 文件？
我尝试在无需用户登录的情况下访问 Sharepoint 文件。我可以通过以下任一方式获取访问 token 方法一: var client = new RestClient("https://logi
soap - 使用 OAuth 访问 token 访问 SOAP 服务？
我目前正在尝试通过 Chrome 扩展程序访问 Google 服务。我的理解是，对于 JS 应用程序，Google 首选的身份验证机制是 OAuth。我的应用目前已成功通过 OAuth 向服务进行身份
C++ - 允许通过基类(接口(interface))访问，禁止通过派生类(具体实现)访问？
假设我有纯抽象类 IHandler 和派生自它的类: class IHandler { public: virtual int process_input(char input) = 0; };
css - 可以通过 URL 访问 CSS 文件，但不能从 HTML 访问
我有一个带有 ThymeLeaf 和 Dojo 的 Spring 应用程序，这给我带来了问题。当我从我的 HTML 文件中引用 CSS 文件时，它们在 Firebug 中显示为中止。但是，当我通过在地
javascript - 为什么我可以用 [val] 访问 js 对象，但不能用 .val 访问？
这个问题已经有答案了: JavaScript property access: dot notation vs. brackets? (17 个回答) 已关闭 6 年前。为什么这不起作用？ func
.htaccess - 仅允许通过 http 访问 robot.txt，其他通过 https 访问
我想将所有流量重定向到 https，只有 robot.txt 应该可以通过 http 访问。是否可以为 robot.txt 文件创建异常(exception)？我的 .htaccess 文件: R
oauth-2.0 - 无法使用有效的 oauth2 访问 token 访问 Linkedin 个人资料
我遇到了 LinkedIn OAuth2: "Unable to verify access token" 中描述的相同问题;但是，那里描述的解决方案并不能解决我的问题。我能够成功请求访问 toke
Docker 容器不能通过 localhost 访问，但可以通过 127.0.0.1 访问
问题我有一个暴露给 *:8080 的 Docker 服务容器. 我无法通过 localhost:8080 访问容器. Chrome /curl无限期挂断。但是如果我使用任何其他本地IP，我就可以访
python - 使用 OAuth 2.0 访问 token 访问 Gmail Imap
我正在使用 Google 的 Oauth 2.0 来获取用户的 access_token，但我不知道如何将它与 imaplib 一起使用来访问收件箱。最佳答案下面是带有 oauth 2.0 的 I
curl - 可以从 curl 访问 docker 服务，但不能从 postman/chrome 访问
我正在做 docker 入门指南:https://docs.docker.com/get-started/part3/#recap-and-cheat-sheet-optional docker-co
azure - 带有 Nginx 的 AKS 无法通过 IP 访问，只能通过 DNS 访问
我正在尝试使用静态 IP 在 AKS 上创建一个 Web 应用程序，自然找到了一个带有 Nginx ingress controller in Azure's documentation 的解决方案。
javascript - 为什么可以将 'module.exports' 作为 'exports' 访问，但不能使用 'module.id' 访问？
这是我在名为 foo.js 的文件中的代码。 console.log('module.exports:', module.exports) console.log('module.id:', modu
amazon-web-services - aws 访问 key ID 和 secret 访问 key
我试图理解访问键。我读过https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-se
xcode - 从 iOS 5 访问 Twitter 时 OAuth 访问 token 失败
我正在使用 MGTwitterEngine"将 twitter 集成到我的应用程序中。它在 iOS 4.2 上运行良好。当我尝试从任何 iOS 5 设备访问 twitter 时，我遇到了身份验证 to
amazon-web-services - aws 访问 key ID 和 secret 访问 key
我试图理解访问键。我读过https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-se
ios - 如果 Facebook 访问 token 过期，会生成新的 Facebook 访问 token 吗？
我正在使用以下 API 列出我的 Facebook 好友。 https://graph.facebook.com/me/friends?access_token= ??? 我想知道访问 token 过
google-app-engine - 尝试使用 API key 访问 BigQuery 时出错(简单 API 访问)
401 Unauthorized - Show headers - { "error": { "errors": [ { "domain": "global", "reas
django - 从 heroku 访问 s3 内容时，AWS 访问 key 显示在浏览器 url 中
我已经将我的 django 应用程序部署到 heroku 并使用 Amazon s3 存储桶存储静态文件，我发现从 s3 存储桶到 heroku 获取数据没有问题。但是，当我测试查看内容存储位置时，除

首页

博学

6Ren·AI

商城

amazon-web-services - 只读 AWS CLI 访问严格的 CloudWatch 计费指标