Utilisation des clés de condition pour limiter les actions d'alarme - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des clés de condition pour limiter les actions d'alarme

Lorsque les CloudWatch alarmes changent d'état, elles peuvent effectuer différentes actions, telles que l'arrêt et la résiliation d' EC2 instances et l'exécution d'actions de Systems Manager. Ces actions peuvent être lancées lorsque l'alarme change à n'importe quel état, y compris ALARM, OK ou INSUFFICIENT_DATA.

Utilisation de la clé de condition cloudwatch:AlarmActions pour permettre à un utilisateur de créer des alarmes qui ne peuvent effectuer que les actions que vous spécifiez lorsque l'état de l'alarme change. Par exemple, vous pouvez autoriser un utilisateur à créer des alarmes qui ne peuvent effectuer que des actions qui ne sont pas EC2 des actions.

Autoriser un utilisateur à créer des alarmes qui peuvent uniquement envoyer des notifications Amazon SNS ou effectuer des actions du Systems Manager

La politique suivante limite l'utilisateur à créer des alarmes qui peuvent uniquement envoyer des notifications Amazon SNS et à effectuer des actions du Systems Manager. L'utilisateur ne peut pas créer d'alarmes qui exécutent EC2 des actions.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricAlarm",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "cloudwatch:AlarmActions": [
                        "arn:aws:sns:*",
                        "arn:aws:ssm:*"
                    ]
                }
            }
        }
    ]
}