Utilisation de clés de condition pour limiter l'accès aux espaces de CloudWatch noms - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de clés de condition pour limiter l'accès aux espaces de CloudWatch noms

Utilisez les clés de condition IAM pour limiter les utilisateurs à publier des métriques uniquement dans les CloudWatch espaces de noms que vous spécifiez. Cette section fournit des exemples qui décrivent comment autoriser et exclure des utilisateurs de la publication de métriques dans un espace de noms.

Autorisation de publication dans un seul espace de noms

La politique suivante contraint l'utilisateur à publier des métriques uniquement dans l'espace de noms appelé MyCustomNamespace.

JSON
{
    "Version":"2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "MyCustomNamespace"
            }
        }
    }
}

Exclusion de publication dans un espace de noms

La politique suivante permet à l'utilisateur de publier des métriques dans n'importe quel espace de noms, à l'exception de CustomNamespace2.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        },
        {
            "Effect": "Deny",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "CustomNamespace2"
                }
            }
        }
    ]
}

Contrôle de l'ingestion OTLP

La politique suivante permet à l'utilisateur de publier des métriques à l'aide de l'API OTLP :

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        }
    ]
}

Pour désactiver la double ingestion, c'est-à-dire utiliser PutMetricData et refuser uniquement une ingestion OTLP, vous pouvez utiliser la politique suivante. Cela limite l'utilisateur à publier des métriques PutMetricData en utilisant l'espace de noms MyCustomNamespace tout en refusant implicitement toute ingestion OTLP en raison de la condition suivante : StringEquals

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}

Pour activer la double ingestion, c'est-à-dire autoriser à la fois l'ingestion OTLP PutMetricData et l'ingestion OTLP, vous pouvez utiliser la politique suivante. Cela limite l'utilisateur à publier des métriques PutMetricData en utilisant l'espace de noms nommé MyCustomNamespace et autorise en même temps l'ingestion OTLP en raison de la condition suivante : StringEqualsIfExists

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}