# Usar chaves de condição para limitar o acesso dos usuários do Contributor Insights aos grupos de log
<a name="iam-cw-condition-keys-contributor"></a>

Para criar uma regra no Contributor Insights e visualizar seus resultados, o usuário deve ter a permissão `cloudwatch:PutInsightRule`. Por padrão, um usuário com essa permissão pode criar uma regra do Contributor Insights que avalia qualquer grupo de log no CloudWatch Logs e ver os resultados. Os resultados podem conter dados de colaborador para esses grupos de log.

É possível criar políticas do IAM com chaves de condição para conceder aos usuários a permissão para gravar regras do Contributor Insights para alguns grupos de log, impedindo que eles gravem regras e visualizem esses dados de outros grupos de log.

 Para obter mais informações sobre o elemento `Condition` em políticas do IAM, consulte [Elementos de políticas JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).

**Permitir acesso para gravar regras e exibir resultados apenas a determinados grupos de logs**

A política a seguir concede ao usuário acesso para gravar regras e exibir resultados para o grupo de logs chamado `AllowedLogGroup` e todos os grupos de logs que têm nomes começados com `AllowedWildCard`. Não concede acesso para gravar regras ou exibir resultados de regra para quaisquer outros grupos de log.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}
```

------

**Negar gravação de regras para grupos específicos de logs, mas permitir a gravação de regras para todos os outros grupos de logs**

A política a seguir nega explicitamente o acesso do usuário para gravar regras e exibir resultados de regra para o grupo de log chamado `ExplicitlyDeniedLogGroup`, mas permite gravar regras e exibir resultados de regra para todos os outros grupos de log.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}
```

------