Menggunakan kebijakan berbasis sumber daya dengan RUM CloudWatch - Amazon CloudWatch
Tindakan yang didukungContoh kebijakan untuk digunakan dengan CloudWatch RUM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis sumber daya dengan RUM CloudWatch

Anda dapat melampirkan kebijakan sumber daya ke monitor aplikasi CloudWatch RUM. Secara default, monitor aplikasi tidak memiliki kebijakan sumber daya yang dilampirkan padanya. CloudWatch Kebijakan berbasis sumber daya RUM tidak mendukung akses lintas akun.

Untuk mempelajari lebih lanjut tentang kebijakan AWS sumber daya, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya.

Untuk mempelajari lebih lanjut tentang bagaimana kebijakan sumber daya dan kebijakan identitas dievaluasi, lihat Logika evaluasi kebijakan.

Untuk mempelajari lebih lanjut tentang tata bahasa kebijakan IAM, lihat referensi elemen kebijakan IAM JSON.

Tindakan yang didukung

Kebijakan berbasis sumber daya pada monitor aplikasi mendukung tindakan tersebut. rum:PutRumEvents

Contoh kebijakan untuk digunakan dengan CloudWatch RUM

Contoh berikut memungkinkan siapa saja untuk menulis data ke monitor aplikasi Anda, termasuk yang tidak memiliki kredensi SigV4.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/app monitor name",
            "Principal": "*"
        }
    ]
}

Anda dapat mengubah kebijakan untuk memblokir alamat IP sumber tertentu dengan menggunakan kunci aws:SourceIp kondisi. Dengan contoh ini, Menggunakan kebijakan ini, PutRumEvents dari alamat IP yang tercantum akan ditolak. Semua permintaan lain dari alamat IP lainnya akan diterima. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat Properti jaringan di Panduan Pengguna IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/AppMonitorName",
            "Principal": "*"
        },
        {
            "Effect": "Deny",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/AppMonitorName",
            "Principal": "*",
            "Condition": {
                "NotIpAddress": {
                "aws:SourceIp": "198.51.100.252"
                }
            }
        }
    ]
}

Selain itu, Anda dapat menggunakan kunci konteks rum:alias layanan untuk mengontrol permintaan mana yang diterima.

Untuk monitor aplikasi web, Anda harus mengonfigurasi klien web Anda untuk mengirim Alias menggunakan klien web CloudWatch RUM versi 1.20 atau yang lebih baru, seperti yang dijelaskan dalam Konfigurasi Khusus Aplikasi pada. GitHub

Untuk monitor aplikasi seluler, Anda harus mengonfigurasi instrumentasi sesuai dengan SDK.

Dalam contoh berikut, kebijakan sumber daya mengharuskan permintaan harus berisi salah satu alias1 atau alias2 agar acara dapat diterima.


    {
    "Version":"2012-10-17",                   
    "Statement": [
        {
            "Sid": "AllowRUMPutEvents",
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/MyApplication",
            "Principal": "*",
            "Condition": {
                "StringEquals": {
                    "rum:alias":["alias1", "alias2"]
                }
            }
        }
    ]
}