CloudWatch ダッシュボードを Cognito 認証を使って共有する

Last updated at 2024-12-27Posted at 2024-12-26

はじめに

みなさま、Amazon CloudWatch ダッシュボード使ってますか？
私はバリバリ使っています。
なぜ、CloudWatch ダッシュボードを使うかというと、New Relic や Datadog のお金を払えないからです！！笑
とはいえ、実は CloudWatch ダッシュボードは色々な機能があります。
例えば、以下のようなことができます。

複数のリージョンやアカウントに跨ってメトリクスやログ、トレースを集約できる
ダッシュボード変数を使って、複数のウィジェットでさまざまなコンテンツをすばやく切り替えられる
ライブデータを使ってリアルタイムで分析できる
グラフ、メトリクス、線、数値、ゲージ、テキスト、アラームテーブル、リンクといったさまざまなウィジェットが用意されている
AWS アカウントに直接アクセスできないユーザーと共有できる
その他、CloudWatch 外のデータをメトリクス化して表示したり（たとえば Prometheus や RDS など）、カスタムウィジェットを使って(Lambdaをつかって)表示を自由にカスタマイズしたりすることも可能

より詳しく CloudWatch ダッシュボードの機能を知りたい場合は AWSが用意している One Observability Workshop をご覧頂くとイメージがつきやすいです。

やりたいこと

さて、ここから本題ですが、CloudWatch ダッシュボードをAWSアカウントへのアクセス権のない人にも使わせたいということはないでしょうか。
例えば、SREだけでなくアプリ側のエンジニアとダッシュボードを共有したい。むしろ、ビジネス側とSLOやエラーバジェットを共有したい。そもそも、AWSアカウントへのログインがめんどくさい。といったことがあると思います。

CloudWatch ダッシュボードを共有する場合、３つの選択肢があります。１つはリンクを知っている人全ての共有する方法。もう一つはユーザー/パスワードをCloudWatchに登録してその認証でログイン共有する方法。最後に、SSOを利用して共有する方法です。

これらを考えたときに、１つ目の方法はセキュリティ上、好ましくありません。２つ目の方法は利用者のパスワード管理が増えてしまい、あまりやりたくありません。そのため、SSO認証を利用して管理したいと考えました。ただし、私の場合は外部のSSOプロバイダーを利用しておらず、かつ Google Workspace ユーザーと共に(業務委託などで)個別にユーザーID/パスワードを発行する２つのユーザー管理を使う必要がありました。そのため、要望を満たせる Cognito を使おうと思いました。

今回、Cognito User pool は2つ必要です。

1つは CloudWatch Dashbord が自動で生成される「CloudWatchDashboardSharing」です。もう1つは「CloudWatchDashboardSharing」の Identity provider として利用する「CloudWatchIdentityProvider」です。
いやいや、そもそも「CloudWatchDashboardSharing」でユーザー管理まですれば良いじゃないかと思われるかもしれません。私は初めそう思いました。しかし、CloudWatch ダッシュボード共有で SSO プロバイダーとして認識するのは「CloudWatchDashboardSharing」に登録した「Identity provider」のみであり、必ず「Identity provider」を追加しなければなりません。そのため、「Identity provider」として Cognito User pool をもう1つ作成しなければなりませんでした。
なお、Cognito User pool の Identity provider として Cognito を利用する方法は、こちらの記事を参考にさせていただきました。

やってみた

Cognito User pool「CloudWatchIdentityProvider」を作成する

マネジメントコンソールで Cognito の画面を開き、左のメニューから「User pools」を選択します。
「User pools」の画面で「Create user pool」をクリックします。
「Set up your application」ページが開きます。
「Application type」を「Traditional web application」、「Name your application」に「CloudWatchIdentityProvider」を入力します。
「Options for sign-in identifiers」は「Email」を選択し、「Required attributes for sign-up」は「email」を選択します。
「Add a return URL」は入力せずに、「Create」を選択します。
「Set up your application」は何もする必要はないため、下までスクロールして「Go to overview」をクリックします。
「Overview: User pool - xxxx」ページが開きます。「User pool ID」は後で利用するため、コピーしておきます。また、分かりやすいように名前をつけておきます。「Rename」をクリックします。
「User pool name」に「CloudWatchIdentityProvider」を入力し、「Save changes」を選択します。
これで名前が変わりました。次に、App client を確認します。左メニューの「App clients」を選択します。
「CloudWatchIdentityProvider」を選択します。
「Client ID」と「Client secret」を後で使うため、コピーします。

次に、Cognito User pool「CloudWatchDashboardSharing」を作成します。ただし、再度「App client: CloudWatchIdentityProvider」ページに戻りますので後続は別のタブを開いて作業します。

Cognito User pool「CloudWatchDashboardSharing」を作成する

「CloudWatchDashboardSharing」は CloudWatchダッシュボードから作成します。

マネジメントコンソールで CloudWatch ダッシュボードを開き、「Actions > Share dashbord」をクリックします。
「Go to CloudWatch setting」をクリックし、CloudWatch 設定の Dashboard sharing を開きます。
「Available SSO providers」の選択肢がないことを確認し、「Manage SSO providers」をクリックして Amazon Cognito User pools を開きます。
「CloudWatchDashboardSharing」という User pools が追加されていますので、選択します。
左メニューの「Authentication > Social and custom providers」を選択します。
「Add Identity provider」を選択します。
「OpenID Connect (OIDC)」を選択します。

なお、ドキュメントには以下のような情報が書かれています。

今回は SSOプロバイダーに Cognito を利用しているため問題なしと判断しました。もし、この方法を利用する場合はご注意ください。
「Provider name」に「CloudWatchIdentityProvider」を入力します。
「Client ID」と「Client secret」に User pool 「CloudWatchIdentityProvider」の App client でコピーした「Client ID」と「Client secret」を入力します。
「Authorized scopes」に「openid email aws.cognito.signin.user.admin」を入力します。
「Issuer URL には「https://cognito-idp.us-east-1.amazonaws.com/[UserPoolID]」を入力します。[UserPoolID] は User pool 「CloudWatchIdentityProvider」の「User pool ID」です。
「Add identity provider」をクリックします。
画面が一覧に戻り、追加した Identity provider がリストに表示されます。

次に、Cognito User pool「CloudWatchDashboardSharing」の「App client」を作成します。

Cognito User pool「CloudWatchDashboardSharing」の「App client」を作成する

Cognito User pool「CloudWatchDashboardSharing」の「App client」は CloudWatch が自動で作成します。

先ほど開いていた「Dashboard sharing」を再度表示します。「Available SSO providers」に「CloudWatchIdentityProvider」が選択できるようになっているので選択します。「Save changes」を選択します。
保存すると「SSO enabled」と表示が変わります。
次に、 Cognito User pool の「CloudWatchDashboardSharing」の画面を開き、「App clients」を選択します。すると、「CloudWatchDashboardSharingFederated」が追加されていることが確認できます。「CloudWatchDashboardSharingFederated」を選択します。
「Login pages」タブを開き、「Edit」を選択します。
「OpenID Connect scopes」で「Profile」を削除し、「Save changes」を選択します。
次に、「Domain」を選択します。「Domain」の url は後で使うためコピーします。

Cognito User pool 「CloudWatchIdentityProvider」の「App client」を更新する

次に、「CloudWatchIdentityProvider」の「App client」を設定します。先ほど残していた「CloudWatchIdentityProvider」の「App clients」タブを再度開きます。App client の「CloudWatchIdentityProvider」を選択します。
「Login pages」タブを開き、「Edit」を選択します。
「Allowed callback URLs」に先ほどコピーした User pool「CloudWatchDashboardSharing」の「Domain」の url を利用し、末尾に「/oauth2/idpresponse」を追加します。
「OAuth 2.0 grant types」で「Implicit grant」を追加します。
「OpenID Connect scopes」で「Phone」を削除し、「aws.cognito.signin.user.admin」を追加します。
「Save changes」を選択します。これで、「App client: CloudWatchIdentityProvider」の更新は完了です。

Cognito User pool 「CloudWatchIdentityProvider」にユーザーを追加する

Cognito User pool 「CloudWatchIdentityProvider」の左のメニューから「Users」を選択します。「Create user」を選択します。
任意の「Email address」と「Password」を入力し、「Create user」を選択します。

これで設定は完了です。それでは動作を確認します。

動作を確認する

マネジメントコンソールで CloudWatch ダッシュボードを表示します。「Actions > Share dashbord」を選択します。
「Shareable link」をクリックし、新しいタブを開きます。
「CloudWatchIdentityProvider」を選択します。
「Email address」を入力し、「Next」を選択します。
「Password」を入力し、「Continue」をクリックします。
「Change password」が表示される場合はパスワードを変更します。
問題なければ、CloudWatch ダッシュボードの画面が表示されます！！

これで、CloudWatch ダッシュボードを Cognito 認証を使って共有できました！！

最後に

今回、CloudWatch ダッシュボードの共有に　Cognito User Pool のみを利用して行なってみました。
通常は SAML に対応したIdP プロバイダーを使うところCognito のみで完結させることで、AWSに閉じた世界でかつ、AWSアカウントにアクセス権を付与せずに共有できました。
同じようなことをやろうと思った方の助けになればと思います。