Usar políticas baseadas em recursos com o CloudWatch RUM - Amazon CloudWatch
Ações compatíveisExemplos de políticas para uso com o CloudWatch RUM

Usar políticas baseadas em recursos com o CloudWatch RUM

Você pode anexar uma política de recursos a um monitor de aplicação do CloudWatch RUM. Por padrão, os monitores de aplicações não têm uma política de recursos anexada a eles. As políticas baseadas em recursos do CloudWatch RUM não são compatíveis com acesso entre contas.

Para saber mais sobre as políticas de recursos da AWS, consulte Políticas baseadas em identidade e em recurso.

Para saber mais sobre como políticas de recursos e políticas de identidade são avaliadas, consulte Lógica da avaliação de política.

Para saber mais sobre a gramática de políticas do IAM, consulte Referência de elemento de política JSON do IAM.

Ações compatíveis

Políticas baseadas em recursos em monitores de aplicações compatíveis com a ação rum:PutRumEvents.

Exemplos de políticas para uso com o CloudWatch RUM

O exemplo a seguir permite que qualquer pessoa grave dados no monitor da aplicação, incluindo aqueles sem credenciais do SigV4.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/app monitor name",
            "Principal": "*"
        }
    ]
}

Você pode modificar a política para bloquear endereços IP de origem específicos usando a chave de condição aws:SourceIp. Com este exemplo, usando esta política, o PutRumEvents do endereço IP listado será rejeitado. Todas as outras solicitações de outros endereços IP serão aceitas. Para obter mais informações sobre essa chave de condição, consulte Propriedades da rede no Guia do usuário do IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/AppMonitorName",
            "Principal": "*"
        },
        {
            "Effect": "Deny",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/AppMonitorName",
            "Principal": "*",
            "Condition": {
                "NotIpAddress": {
                "aws:SourceIp": "198.51.100.252"
                }
            }
        }
    ]
}

Além disso, você pode usar a chave de contexto do serviço rum:alias para controlar quais solicitações são aceitas.

Em monitores de aplicações Web, é necessário configurar o cliente Web para enviar o Alias usando a versão 1.20 ou posterior do cliente Web do CloudWatch RUM, conforme descrito em Application-specific Configurations no GitHub.

Em monitores de aplicações móveis, você deve configurar a instrumentação de acordo com o SDK.

No exemplo a seguir, a política do recurso exige que as solicitações contenham um alias1 ou alias2 para o evento ser aceito.


    {
    "Version":"2012-10-17",                   
    "Statement": [
        {
            "Sid": "AllowRUMPutEvents",
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/MyApplication",
            "Principal": "*",
            "Condition": {
                "StringEquals": {
                    "rum:alias":["alias1", "alias2"]
                }
            }
        }
    ]
}