Utilisation de politiques basées sur les ressources avec RUM CloudWatch - Amazon CloudWatch
Actions prises en chargeExemples de politiques à utiliser avec CloudWatch RUM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques basées sur les ressources avec RUM CloudWatch

Vous pouvez associer une politique de ressources à un moniteur d'application CloudWatch RUM. Par défaut, aucune politique de ressources n'est attachée aux moniteurs d'applications. CloudWatch Les politiques basées sur les ressources RUM ne prennent pas en charge l'accès entre comptes.

Pour en savoir plus sur les politiques relatives aux AWS ressources, consultez les sections Politiques basées sur l'identité et politiques basées sur les ressources.

Pour en savoir plus sur la façon dont les politiques basées sur les identités et les politiques basées sur les ressources sont évaluées, consultez Logique d’évaluation des politiques.

Pour en savoir plus sur la syntaxe des politiques IAM, consultez Référence des éléments de politique IAM JSON.

Actions prises en charge

Les politiques basées sur les ressources appliquées aux moniteurs d’application prennent en charge l’action rum:PutRumEvents.

Exemples de politiques à utiliser avec CloudWatch RUM

L’exemple suivant autorise toute personne à écrire des données dans votre moniteur d’application, y compris celles ne disposant pas d’informations d’identification SigV4.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/app monitor name",
            "Principal": "*"
        }
    ]
}

Vous pouvez modifier cette politique pour bloquer certaines adresses IP sources en utilisant la clé de condition aws:SourceIp. Dans cet exemple, en utilisant cette politique, PutRumEvents l'adresse IP répertoriée sera rejetée. Toutes les autres requêtes en provenance d’autres adresses IP seront acceptées. Pour plus d’informations sur cette clé de condition, consultez Propriétés du réseau dans le Guide de l’utilisateur IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/AppMonitorName",
            "Principal": "*"
        },
        {
            "Effect": "Deny",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/AppMonitorName",
            "Principal": "*",
            "Condition": {
                "NotIpAddress": {
                "aws:SourceIp": "198.51.100.252"
                }
            }
        }
    ]
}

En outre, vous pouvez utiliser la clé de contexte de rum:alias service pour contrôler les demandes acceptées.

Pour les moniteurs d'applications Web, vous devez configurer votre client Web pour qu'il envoie à Alias l'aide de la version 1.20 ou ultérieure du client Web CloudWatch RUM, comme décrit dans Configurations spécifiques à l'application sur. GitHub

Pour les moniteurs d'applications mobiles, vous devez configurer votre instrumentation conformément au SDK.

Dans l'exemple suivant, la politique de ressources exige que les demandes contiennent l'un alias1 ou alias2 l'autre ou que l'événement soit accepté.


    {
    "Version":"2012-10-17",                   
    "Statement": [
        {
            "Sid": "AllowRUMPutEvents",
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/MyApplication",
            "Principal": "*",
            "Condition": {
                "StringEquals": {
                    "rum:alias":["alias1", "alias2"]
                }
            }
        }
    ]
}