Usar chaves de condição para limitar as ações de alarme - Amazon CloudWatch

Usar chaves de condição para limitar as ações de alarme

Quando os alarmes do CloudWatch mudam de estado, podem executar ações diferentes, como interromper e terminar instâncias do EC2 e executar ações do Systems Manager. Essas ações podem ser iniciadas quando o alarme muda para qualquer estado, inclusive ALARM, OK ou INSUFFICIENT_DATA.

Usar a chave de condição cloudwatch:AlarmActions para permitir que um usuário crie alarmes que só possam executar as ações que você especificar quando o estado do alarme mudar. Por exemplo, é possível permitir que um usuário crie alarmes que só possam executar ações que não sejam ações do EC2.

Permitir que um usuário crie alarmes que possam enviar apenas notificações do Amazon SNS ou executar ações do Systems Manager

A política a seguir limita o usuário a criar alarmes que possam apenas enviar notificações do Amazon SNS e executar ações do Systems Manager. O usuário não pode criar alarmes que executem ações do EC2.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricAlarm",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "cloudwatch:AlarmActions": [
                        "arn:aws:sns:*",
                        "arn:aws:ssm:*"
                    ]
                }
            }
        }
    ]
}