搭配資源型政策使用 CloudWatch RUM
您可以將資源政策連結至 CloudWatch RUM 應用程式監視器。根據預設,應用程式監視器不會連結資源政策。CloudWatch RUM 資源型政策不支援跨帳戶存取權。
如需有關 AWS 資源政策的詳細資訊,請參閱以身分為基礎的政策和以資源為基礎的政策。
如需如何評估資源政策和身分政策的詳細資訊,請參閱政策評估邏輯。
如需了解 IAM 政策文法的詳細資訊,請參閱 IAM JSON 政策元素參考。
支援的動作
應用程式監視器上的資源型政策支援 rum:PutRumEvents 動作。
要搭配 CloudWatch RUM 使用的政策範例
下列範例允許任何人將資料寫入您的應用程式監視器,包括沒有 SigV4 憑證的人。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "rum:PutRumEvents",
"Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/app monitor name",
"Principal": "*"
}
]
}
您可以使用 aws:SourceIp 條件金鑰修改政策以封鎖指定的來源 IP 位址。在此範例中,使用此政策時,來自所列 IP 位址的 PutRumEvents 將會遭到拒絕。系統會接受來自其他 IP 位址的所有其他請求。如需此條件金鑰的詳細資訊,請參閱《IAM 使用者指南》中的網路屬性。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "rum:PutRumEvents",
"Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/AppMonitorName",
"Principal": "*"
},
{
"Effect": "Deny",
"Action": "rum:PutRumEvents",
"Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/AppMonitorName",
"Principal": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": "198.51.100.252"
}
}
}
]
}
此外,您也可以選擇只接受使用 rum:alias 服務內容金鑰以特定別名簽署的 PutRumEvents 請求。在下列範例中,PutRumEvents 必須將選用的 Alias 請求參數設定為 alias1 或 alias2,才能接受事件。若要將 Web 用戶端設定為傳送 Alias,您必須使用 1.20 或更高版本的 CloudWatch RUM Web 用戶端,如 GitHub 上的應用程式特定組態中所述。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRUMPutEvents",
"Effect": "Allow",
"Action": "rum:PutRumEvents",
"Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/MyApplication",
"Principal": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:rum:us-east-1:123456789012:appmonitor/MyApplication"
}
}
}
]
}
