Usar políticas baseadas em recursos com o CloudWatch RUM - Amazon CloudWatch
Ações compatíveisExemplos de políticas para uso com o CloudWatch RUM

Usar políticas baseadas em recursos com o CloudWatch RUM

Você pode anexar uma política de recursos a um monitor de aplicação do CloudWatch RUM. Por padrão, os monitores de aplicações não têm uma política de recursos anexada a eles. As políticas baseadas em recursos do CloudWatch RUM não são compatíveis com acesso entre contas.

Para saber mais sobre as políticas de recursos da AWS, consulte Políticas baseadas em identidade e em recurso.

Para saber mais sobre como políticas de recursos e políticas de identidade são avaliadas, consulte Lógica da avaliação de política.

Para saber mais sobre a gramática de políticas do IAM, consulte Referência de elemento de política JSON do IAM.

Ações compatíveis

Políticas baseadas em recursos em monitores de aplicações compatíveis com a ação rum:PutRumEvents.

Exemplos de políticas para uso com o CloudWatch RUM

O exemplo a seguir permite que qualquer pessoa grave dados no monitor da aplicação, incluindo aqueles sem credenciais do SigV4.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name",
            "Principal" : "*"
           
        }
    ]
}

Você pode modificar a política para bloquear endereços IP de origem específicos usando a chave de condição aws:SourceIp. Com este exemplo, usando esta política, o PutRumEvents do endereço IP listado será rejeitado. Todas as outras solicitações de outros endereços IP serão aceitas. Para obter mais informações sobre essa chave de condição, consulte Propriedades da rede no Guia do usuário do IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name",
            "Principal" : "*"
           
        }, 
        {
            "Effect": "Deny",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name",
            "Principal" : "*",
           "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "************"
                }
            }        
        }
    ]
}

Além disso, você também pode optar por aceitar somente solicitações PutRumEvents assinadas com um determinado alias usando a chave rum:alias de contexto de serviço. No exemplo a seguir, PutRumEvents terá que definir o parâmetro de solicitação Aliasopcional como alias1 ou alias2 para que o evento seja aceito. Para configurar seu cliente da web para enviar Alias, você deve usar a versão 1.20 ou mais recente do cliente da web do CloudWatch RUM, conforme descrito em Application-specific Configurations no GitHub.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name",
            "Principal" : "*",
             "Condition": { 
             "StringEquals": { "rum:alias": [ "alias1", "alias2"] } }
        }
    ]
}