# Uso de claves de condición para limitar el acceso de los usuarios de Contributor Insights a los grupos de registro
<a name="iam-cw-condition-keys-contributor"></a>

Para crear una regla en Contributor Insights y ver los resultados, un usuario debe tener el permiso `cloudwatch:PutInsightRule`. De forma predeterminada, un usuario con este permiso puede crear una regla de Contributor Insights que evalúe cualquier grupo de registros en CloudWatch Logs y, a continuación, ver los resultados. Los resultados pueden contener datos de colaborador para esos grupos de registro.

Puede crear políticas de IAM con claves de condición para conceder a los usuarios el permiso para registrar reglas de Contributor Insights para algunos grupos de registro, al tiempo que les impide registrar reglas para ver estos datos de otros grupos de registro.

 Para obtener más información sobre el elemento `Condition` en la política de IAM, consulte [IAM JSON policy elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos de las políticas JSON de IAM: Condición).

**Permitir el acceso a reglas de escritura y ver resultados solo para determinados grupos de registro**

La siguiente política permite al usuario acceder al registro de reglas y ver resultados para el grupo de registro denominado `AllowedLogGroup` y todos los grupos de registro que tienen nombres que comienzan por `AllowedWildCard`. No concede acceso a las reglas de escritura ni a ver resultados de reglas para ningún otro grupo de registros.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}
```

------

**Denegar reglas de escritura para grupos de registro específicos pero permitir reglas de escritura para todos los demás grupos de registro**

La siguiente política deniega explícitamente al usuario el acceso para registrar reglas y ver resultados de reglas para el grupo de registro denominado `ExplicitlyDeniedLogGroup`, pero permite registrar reglas y ver resultados de reglas para todos los demás grupos de registro.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}
```

------