为不同客户隔离 CloudWatch 指标
Posted
技术标签:
【中文标题】为不同客户隔离 CloudWatch 指标【英文标题】:Isolating CloudWatch metrics for Different Customers 【发布时间】:2020-04-21 04:17:34 【问题描述】:让我们想象一个像下面这样的系统:
有一个云应用程序从各种设备收集传感器指标并将这些指标保存到 AWS 的 CloudWatch 中。 这些物联网设备可能属于客户 X 或客户 Y。 为 Grafana 中的每个客户创建的单独组织。因此,就仪表板而言,它们是孤立的。问题在于指标存储在一个通用 AWS 账户中(即使它们存储在单独的 CloudWatch 命名空间中)!因此,客户 X 的成员可以通过添加访问客户 Y 的命名空间的数据源来查看客户 Y 的指标。
是否有一种机制可以使用单独的凭证来安全地隔离 CloudWatch 命名空间?或者其他解决方案(除了为每个客户拥有一个单独的 AWS 账户)来解决这个问题?
【问题讨论】:
【参考方案1】:您可以将 IAM 角色与 condition keys to limit access to particular CloudWatch namespace 一起使用。因此,每个 Grafana 组织都将使用自己的有限 IAM 角色。
【讨论】:
以上是关于为不同客户隔离 CloudWatch 指标的主要内容,如果未能解决你的问题,请参考以下文章
AWS Cloudwatch get-metric-statistics 命令返回的是指标名称,而不是自定义 cloudwatch 指标的值
我可以在 Cloudwatch 仪表板的同一轴上为一个指标绘制多个统计数据吗?
如何为自定义 cloudwatch 指标使用多个单独的维度?
CloudWatch SQS 指标问题上的 AWS Autoscaling