View a markdown version of this page

Uso de claves de condición para limitar el acceso a los espacios de nombres de CloudWatch - Amazon CloudWatch

Uso de claves de condición para limitar el acceso a los espacios de nombres de CloudWatch

Utilice claves de condición de IAM para que los usuarios solo puedan publicar métricas en los espacios de nombres de CloudWatch que usted especifique. En esta sección se proporcionan ejemplos que describen cómo permitir y excluir a los usuarios de la publicación de métricas en un espacio de nombres.

Permiso sobre la publicación en un solo espacio de nombres

La siguiente política limita la capacidad de publicación del usuario a solo el espacio de nombres denominado MyCustomNamespace.

JSON
{
    "Version":"2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "MyCustomNamespace"
            }
        }
    }
}

Exclusión de la publicación de un espacio de nombres

La siguiente política permite al usuario publicar métricas en cualquier espacio de nombres excepto en CustomNamespace2.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        },
        {
            "Effect": "Deny",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "CustomNamespace2"
                }
            }
        }
    ]
}

Control de la incorporación mediante OTP

La siguiente política permite al usuario publicar métricas mediante la API de OTLP:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        }
    ]
}

Para desactivar la incorporación doble, es decir, usar solo PutMetricData y denegar cualquier incorporación mediante OTLP, puede usar la siguiente política. Limita al usuario a publicar métricas mediante PutMetricData en el espacio de nombres MyCustomNamespace y, al mismo tiempo, deniega implícitamente cualquier incorporación mediante OTLP debido a la condición StringEquals:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}

Para activar la incorporación doble, es decir, para permitir la incorporación tanto mediante PutMetricData como OTLP, puede usar la siguiente política. Limita al usuario a publicar métricas mediante PutMetricData en el espacio de nombres MyCustomNamespace nombrado y, al mismo tiempo, permite la incorporación mediante TLP debido a la condición StringEqualsIfExists:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}