Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Utilizzo delle chiavi di condizione per limitare l'accesso degli utenti di Contributor Insights ai gruppi di log Per creare una regola in Contributor Insights e visualizzarne i risultati, un utente deve disporre dell'autorizzazione `cloudwatch:PutInsightRule`. Per impostazione predefinita, un utente con questa autorizzazione può creare una regola di Contributor Insights che valuta qualsiasi gruppo di log in CloudWatch Logs e quindi visualizza i risultati. I risultati possono contenere dati dei collaboratori per tali gruppi di log. È possibile creare policy IAM con chiavi di condizione per concedere agli utenti l'autorizzazione a scrivere regole di Contributor Insights per alcuni gruppi di log impedendo loro di scrivere regole per e visualizzare questi dati da altri gruppi di log. Per ulteriori informazioni sull'elemento `Condition` nelle policy IAM, consulta [Elementi JSON della policy IAM: Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html). **Consentire l'accesso alla scrittura di regole e visualizzare i risultati solo per determinati gruppi di log** La policy seguente consente all'utente di accedere alla scrittura di regole e visualizzare i risultati per il gruppo di log denominato `AllowedLogGroup` e tutti i gruppi di log i cui nomi iniziano con `AllowedWildCard`. Non concede l'accesso alla scrittura di regole o alla visualizzazione dei risultati delle regole per altri gruppi di log. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowCertainLogGroups", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "AllowedLogGroup", "AllowedWildcard*" ] } } } ] } ``` ------ **Negare regole di scrittura per gruppi di log specifici ma consente la scrittura di regole per tutti gli altri gruppi di log** La policy seguente nega esplicitamente all'utente l'accesso per scrivere regole e visualizzare i risultati delle regole per il gruppo di log denominato `ExplicitlyDeniedLogGroup`, ma consente la scrittura di regole e la visualizzazione dei risultati delle regole per tutti gli altri gruppi di log. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowInsightRulesOnLogGroupsByDefault", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*" }, { "Sid": "ExplicitDenySomeLogGroups", "Effect": "Deny", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "/test/alpine/ExplicitlyDeniedLogGroup" ] } } } ] } ``` ------