Utilizzo delle chiavi condizionali per limitare l'accesso ai CloudWatch namespace - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle chiavi condizionali per limitare l'accesso ai CloudWatch namespace

Utilizza le chiavi di condizione IAM per limitare gli utenti a pubblicare le metriche solo nei CloudWatch namespace che specifichi. Questa sezione fornisce esempi che descrivono come consentire ed escludere gli utenti dalla pubblicazione di metriche in un namespace.

Consentire la pubblicazione in un solo spazio dei nomi

La policy seguente limita l'utente alla pubblicazione dei parametri solo nello spazio dei nomi denominato MyCustomNamespace.

JSON
{
    "Version":"2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "MyCustomNamespace"
            }
        }
    }
}

Esclusione della pubblicazione da uno spazio dei nomi

La policy seguente consente all'utente di pubblicare i parametri in qualsiasi spazio dei nomi, ad eccezione di CustomNamespace2.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        },
        {
            "Effect": "Deny",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "CustomNamespace2"
                }
            }
        }
    ]
}

Controllo dell'acquisizione OTLP

La seguente politica consente all'utente di pubblicare metriche utilizzando l'API OTLP:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": "cloudwatch:PutMetricData"
        }
    ]
}

Per disabilitare il dual ingest, ovvero utilizzare PutMetricData e negare solo qualsiasi acquisizione OTLP, puoi utilizzare la seguente politica. Limita l'utente alla pubblicazione delle metriche utilizzate PutMetricData nel namespace MyCustomNamespace e allo stesso tempo nega implicitamente qualsiasi acquisizione OTLP a causa della condizione: StringEquals

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}

Per abilitare il dual ingest, ovvero consentire sia l'ingest che l'acquisizione OTLP, puoi utilizzare la PutMetricData seguente politica. Limita l'utente alla pubblicazione delle metriche utilizzate PutMetricData nello spazio dei nomi denominato MyCustomNamespace e allo stesso tempo consente l'acquisizione di OTLP a causa della condizione: StringEqualsIfExists

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                     "cloudwatch:namespace": "MyCustomNamespace"
                }
            }
         }
    ]
}