Usar chaves de condição para limitar o acesso dos usuários do Contributor Insights aos grupos de log - Amazon CloudWatch

Usar chaves de condição para limitar o acesso dos usuários do Contributor Insights aos grupos de log

Para criar uma regra no Contributor Insights e visualizar seus resultados, o usuário deve ter a permissão cloudwatch:PutInsightRule. Por padrão, um usuário com essa permissão pode criar uma regra do Contributor Insights que avalia qualquer grupo de log no CloudWatch Logs e ver os resultados. Os resultados podem conter dados de colaborador para esses grupos de log.

É possível criar políticas do IAM com chaves de condição para conceder aos usuários a permissão para gravar regras do Contributor Insights para alguns grupos de log, impedindo que eles gravem regras e visualizem esses dados de outros grupos de log.

Para obter mais informações sobre o elemento Condition em políticas do IAM, consulte Elementos de políticas JSON do IAM: condição.

Permitir acesso para gravar regras e exibir resultados apenas a determinados grupos de logs

A política a seguir concede ao usuário acesso para gravar regras e exibir resultados para o grupo de logs chamado AllowedLogGroup e todos os grupos de logs que têm nomes começados com AllowedWildCard. Não concede acesso para gravar regras ou exibir resultados de regra para quaisquer outros grupos de log.

JSON
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}

Negar gravação de regras para grupos específicos de logs, mas permitir a gravação de regras para todos os outros grupos de logs

A política a seguir nega explicitamente o acesso do usuário para gravar regras e exibir resultados de regra para o grupo de log chamado ExplicitlyDeniedLogGroup, mas permite gravar regras e exibir resultados de regra para todos os outros grupos de log.

JSON
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}