Menggunakan kebijakan berbasis sumber daya dengan RUM CloudWatch - Amazon CloudWatch
Tindakan yang didukungContoh kebijakan untuk digunakan dengan CloudWatch RUM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis sumber daya dengan RUM CloudWatch

Anda dapat melampirkan kebijakan sumber daya ke monitor aplikasi CloudWatch RUM. Secara default, monitor aplikasi tidak memiliki kebijakan sumber daya yang dilampirkan padanya. CloudWatch Kebijakan berbasis sumber daya RUM tidak mendukung akses lintas akun.

Untuk mempelajari lebih lanjut tentang kebijakan AWS sumber daya, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya.

Untuk mempelajari lebih lanjut tentang bagaimana kebijakan sumber daya dan kebijakan identitas dievaluasi, lihat Logika evaluasi kebijakan.

Untuk mempelajari lebih lanjut tentang tata bahasa kebijakan IAM, lihat referensi elemen kebijakan IAM JSON.

Tindakan yang didukung

Kebijakan berbasis sumber daya pada monitor aplikasi mendukung tindakan tersebut. rum:PutRumEvents

Contoh kebijakan untuk digunakan dengan CloudWatch RUM

Contoh berikut memungkinkan siapa saja untuk menulis data ke monitor aplikasi Anda, termasuk yang tidak memiliki kredensi SigV4.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name",
            "Principal" : "*"
           
        }
    ]
}

Anda dapat mengubah kebijakan untuk memblokir alamat IP sumber tertentu dengan menggunakan tombol aws:SourceIp kondisi. Dengan contoh ini, Menggunakan kebijakan ini, PutRumEvents dari alamat IP yang tercantum akan ditolak. Semua permintaan lain dari alamat IP lainnya akan diterima. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat Properti jaringan di Panduan Pengguna IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name",
            "Principal" : "*"
           
        }, 
        {
            "Effect": "Deny",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name",
            "Principal" : "*",
           "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "************"
                }
            }        
        }
    ]
}

Selain itu, Anda juga dapat memilih untuk hanya menerima PutRumEventspermintaan yang ditandatangani dengan alias tertentu menggunakan kunci konteks rum:alias layanan. Dalam contoh berikut, PutRumEvents harus mengatur parameter Alias permintaan opsional ke salah satu alias1 atau alias2 untuk acara yang akan diterima. Untuk mengkonfigurasi klien web Anda untuk mengirim Alias Anda harus menggunakan versi 1.20 atau yang lebih baru dari klien web CloudWatch RUM, seperti yang dijelaskan dalam Konfigurasi Khusus Aplikasi pada. GitHub

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name",
            "Principal" : "*",
             "Condition": { 
             "StringEquals": { "rum:alias": [ "alias1", "alias2"] } }
        }
    ]
}