本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 CloudWatch RUM 使用資源型政策
您可以將資源政策連接至 CloudWatch RUM 應用程式監視器。根據預設,應用程式監控不會連接資源政策。CloudWatch RUM 資源型政策不支援跨帳戶存取。
若要進一步了解 AWS 資源政策,請參閱身分型政策和資源型政策。
若要進一步了解如何評估資源政策和身分政策,請參閱政策評估邏輯。
若要進一步了解 IAM 政策文法,請參閱 IAM JSON 政策元素參考。
支援的動作
應用程式監視器上的資源型政策支援 rum:PutRumEvents動作。
搭配 CloudWatch RUM 使用的範例政策
下列範例允許任何人將資料寫入您的應用程式監視器,包括沒有 SigV4 登入資料的監視器。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*" } ] }
您可以使用 aws:SourceIp條件金鑰修改政策以封鎖指定的來源 IP 地址。在此範例中,使用此政策時,來自所列 IP 地址的 PutRumEvents 將會遭到拒絕。系統會接受來自其他 IP 地址的所有其他請求。如需此條件金鑰的詳細資訊,請參閱《IAM 使用者指南》中的網路屬性。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*" }, { "Effect": "Deny", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*", "Condition": { "NotIpAddress": { "aws:SourceIp": "************" } } } ] }
此外,您也可以選擇只接受使用rum:alias服務內容金鑰以特定別名簽署的 PutRumEvents 請求。在下列範例中, PutRumEvents 必須將選用的Alias請求參數設定為 alias1或 alias2 ,才能接受事件。若要將 Web 用戶端設定為傳送Alias,您必須使用 1.20 版或更新版本的 CloudWatch RUM Web 用戶端,如 GitHub 上的應用程式特定組態
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*", "Condition": { "StringEquals": { "rum:alias": [ "alias1", "alias2"] } } } ] }
