Utilisation de clés de condition pour limiter l'accès aux espaces de noms CloudWatch - Amazon CloudWatch

Utilisation de clés de condition pour limiter l'accès aux espaces de noms CloudWatch

Utilisez des clés de condition IAM pour contraindre les utilisateurs à publier des métriques uniquement dans les espaces de noms CloudWatch que vous spécifiez. Cette section fournit des exemples qui décrivent comment autoriser et exclure des utilisateurs de la publication de métriques dans un espace de noms.

Autorisation de publication dans un seul espace de noms

La politique suivante contraint l'utilisateur à publier des métriques uniquement dans l'espace de noms appelé MyCustomNamespace.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "MyCustomNamespace"
            }
        }
    }
}

Exclusion de publication dans un espace de noms

La politique suivante permet à l'utilisateur de publier des métriques dans n'importe quel espace de noms, à l'exception de CustomNamespace2.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        },
        {
            "Effect": "Deny",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "CustomNamespace2"
                }
            }
        }
    ]
}