Verwendung von Bedingungsschlüsseln zur Beschränkung des Zugriffs auf Namespaces CloudWatch - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von Bedingungsschlüsseln zur Beschränkung des Zugriffs auf Namespaces CloudWatch

Verwenden Sie IAM-Bedingungsschlüssel, um Benutzer darauf zu beschränken, Metriken nur in den von Ihnen angegebenen CloudWatch Namespaces zu veröffentlichen. Dieser Abschnitt enthält Beispiele, in denen beschrieben wird, wie Sie zulassen und ausschließen können, dass Benutzer in einem Namespace Metriken veröffentlichen.

Zulassen des Veröffentlichens in nur einem Namespace

Die folgende Richtlinie schränkt den Benutzer auf das Veröffentlichen von Metriken im Namespace mit dem Namen MyCustomNamespace ein.

JSON
{
    "Version":"2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "MyCustomNamespace"
            }
        }
    }
}

Ausschließen des Veröffentlichens aus einem Namespace

Die folgende Richtlinie ermöglicht dem Benutzer das Veröffentlichen von Metriken in jedem Namespace mit Ausnahme von CustomNamespace2.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        },
        {
            "Effect": "Deny",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "CustomNamespace2"
                }
            }
        }
    ]
}

Steuerung der OTLP-Aufnahme

Die folgende Richtlinie ermöglicht es dem Benutzer, Metriken mithilfe der OTLP-API zu veröffentlichen:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        }
    ]
}

Um duales Ingest zu deaktivieren, d. h. nur OTLP-Ingest zu verwenden PutMetricData und abzulehnen, können Sie die folgende Richtlinie verwenden. Sie beschränkt den Benutzer auf die Veröffentlichung von Metriken, die PutMetricData im Namespace verwendet werden, MyCustomNamespace und verweigert gleichzeitig implizit jegliche OTLP-Aufnahme aufgrund der folgenden Bedingung: StringEquals

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}

Sie können die folgende Richtlinie verwenden, um die duale Aufnahme zu aktivieren, d. h. PutMetricData sowohl die Aufnahme als auch die OTLP-Aufnahme zuzulassen. Sie beschränkt den Benutzer darauf, Metriken PutMetricData im genannten Namespace zu veröffentlichen, MyCustomNamespace und ermöglicht gleichzeitig OTLP-Ingest aufgrund der folgenden Bedingung: StringEqualsIfExists

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}