Menggunakan tombol kondisi untuk membatasi akses ke ruang CloudWatch nama - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tombol kondisi untuk membatasi akses ke ruang CloudWatch nama

Gunakan kunci ketentuan IAM untuk membatasi pengguna hanya untuk memublikasikan metrik di CloudWatch ruangnama yang Anda tentukan. Bagian ini memberikan contoh yang menjelaskan cara mengizinkan dan mengecualikan pengguna dari penerbitan metrik di namespace.

Mengizinkan penerbitan hanya dalam satu namespace

Kebijakan berikut membatasi pengguna untuk menerbitkan metrik hanya di namespace yang disebut MyCustomNamespace.

JSON
{
    "Version":"2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "MyCustomNamespace"
            }
        }
    }
}

Tidak termasuk menerbitkan dari suatu namespace

Kebijakan berikut memungkinkan pengguna menerbitkan metrik di namespace apa pun kecuali CustomNamespace2.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        },
        {
            "Effect": "Deny",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "CustomNamespace2"
                }
            }
        }
    ]
}

Mengontrol konsumsi OTLP

Kebijakan berikut memungkinkan pengguna untuk mempublikasikan metrik menggunakan OTLP API:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        }
    ]
}

Untuk menonaktifkan dual ingest, yaitu hanya menggunakan PutMetricData dan menolak konsumsi OTLP apa pun, Anda dapat menggunakan kebijakan berikut. Ini membatasi pengguna untuk menerbitkan metrik menggunakan PutMetricData di namespace MyCustomNamespace dan pada saat yang sama secara implisit menolak konsumsi OTLP apa pun karena kondisi: StringEquals

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}

Untuk mengaktifkan dual ingest, yaitu mengizinkan keduanya PutMetricData dan konsumsi OTLP, Anda dapat menggunakan kebijakan berikut. Ini membatasi pengguna untuk menerbitkan metrik menggunakan PutMetricData di namespace bernama MyCustomNamespace dan pada saat yang sama memungkinkan konsumsi OTLP karena kondisi: StringEqualsIfExists

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}