Usar políticas baseadas em recursos com o CloudWatch RUM
Você pode anexar uma política de recursos a um monitor de aplicação do CloudWatch RUM. Por padrão, os monitores de aplicações não têm uma política de recursos anexada a eles. As políticas baseadas em recursos do CloudWatch RUM não são compatíveis com acesso entre contas.
Para saber mais sobre as políticas de recursos da AWS, consulte Políticas baseadas em identidade e em recurso.
Para saber mais sobre como políticas de recursos e políticas de identidade são avaliadas, consulte Lógica da avaliação de política.
Para saber mais sobre a gramática de políticas do IAM, consulte Referência de elemento de política JSON do IAM.
Ações compatíveis
Políticas baseadas em recursos em monitores de aplicações compatíveis com a ação rum:PutRumEvents
.
Exemplos de políticas para uso com o CloudWatch RUM
O exemplo a seguir permite que qualquer pessoa grave dados no monitor da aplicação, incluindo aqueles sem credenciais do SigV4.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:
region
:accountID
:appmonitor/app monitor name
", "Principal" : "*" } ] }
Você pode modificar a política para bloquear endereços IP de origem específicos usando a chave de condição aws:SourceIp
. Com este exemplo, usando esta política, o PutRumEvents do endereço IP listado será rejeitado. Todas as outras solicitações de outros endereços IP serão aceitas. Para obter mais informações sobre essa chave de condição, consulte Propriedades da rede no Guia do usuário do IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:
region
:accountID
:appmonitor/app monitor name
", "Principal" : "*" }, { "Effect": "Deny", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region
:accountID
:appmonitor/app monitor name
", "Principal" : "*", "Condition": { "NotIpAddress": { "aws:SourceIp": "************
" } } } ] }
Além disso, você também pode optar por aceitar somente solicitações PutRumEvents assinadas com um determinado alias usando a chave rum:alias
de contexto de serviço. No exemplo a seguir, PutRumEvents
terá que definir o parâmetro de solicitação Alias
opcional como alias1
ou alias2
para que o evento seja aceito. Para configurar seu cliente da web para enviar Alias
, você deve usar a versão 1.20 ou mais recente do cliente da web do CloudWatch RUM, conforme descrito em Application-specific Configurations
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:
region
:accountID
:appmonitor/app monitor name
", "Principal" : "*", "Condition": { "StringEquals": { "rum:alias": [ "alias1
", "alias2
"] } } } ] }