CloudWatch RUM에서 리소스 기반 정책 사용
CloudWatch RUM 앱 모니터에 리소스 정책을 연결할 수 있습니다. 기본적으로 앱 모니터에는 연결된 리소스 정책이 없습니다. CloudWatch RUM 리소스 기반 정책은 교차 계정 액세스를 지원하지 않습니다.
AWS 리소스 정책에 대해 자세히 알아보려면 ID 기반 정책 및 리소스 기반 정책을 참조하세요.
리소스 정책 및 ID 정책 평가 방법에 대한 자세한 내용은 정책 평가 로직을 참조하세요.
IAM 정책 문법에 대한 자세한 내용은 IAM JSON 정책 요소 참조를 참조하세요.
지원되는 작업
앱 모니터의 리소스 기반 정책은 rum:PutRumEvents 작업을 지원합니다.
CloudWatch RUM에서 사용하는 샘플 정책
다음 예제에서는 SigV4 자격 증명이 없는 사람을 포함하여 누구나 앱 모니터에 데이터를 쓸 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*" } ] }
지정된 소스 IP 주소를 차단하도록 aws:SourceIp 조건 키를 사용하여 정책을 수정할 수 있습니다. 이 예제에서는 이 정책을 사용하여 나열된 IP 주소의 PutRumEvents가 거부됩니다. 다른 IP 주소의 다른 요청은 모두 수락됩니다. 이 조건 키에 대한 자세한 내용은 IAM 사용 설명서의 네트워크의 속성을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*" }, { "Effect": "Deny", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*", "Condition": { "NotIpAddress": { "aws:SourceIp": "************" } } } ] }
또한 rum:alias 서비스 컨텍스트 키를 사용하여 특정 별칭으로 서명된 PutRumEvents 요청만 수락하도록 선택할 수도 있습니다. 다음 예제에서는 이벤트를 수락하려면 PutRumEvents가 선택적 Alias 요청 파라미터를 alias1 또는 alias2로 설정해야 합니다. Alias를 전송하도록 웹 클라이언트를 구성하려면 GitHub의 애플리케이션별 구성
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*", "Condition": { "StringEquals": { "rum:alias": [ "alias1", "alias2"] } } } ] }
