# 条件キーを使用した CloudWatch 名前空間へのアクセスの制限 IAM 条件キーを使用して、ユーザーがメトリクスを公開する先を、指定した CloudWatch 名前空間に限定します。このセクションでは、名前空間にメトリクスを発行することをユーザーに許可または禁止する方法を示した例を紹介します。 **1 つの名前空間でのみ公開を許可する** 次のポリシーでは、ユーザーがメトリクスを公開する先を、`MyCustomNamespace` という名前空間に限定します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "MyCustomNamespace" } } } } ``` ------ **名前空間から公開を除外する** 次のポリシーでは、ユーザーがメトリクスを公開する先として、`CustomNamespace2` 以外のすべての名前空間を許可します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData" }, { "Effect": "Deny", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "CustomNamespace2" } } } ] } ``` ------ **OTLP 取り込みの制御** 次のポリシーでは、ユーザーは OTLP API を使用してメトリクスを発行できます。 ------ #### [ JSON ] ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData" } ] } ``` ------ デュアル取り込みを無効にする場合、つまり PutMetricData のみを使用し、OTLP 取り込みを拒否する場合は、次のポリシーを使用できます。これにより、ユーザーは名前空間 `MyCustomNamespace` で PutMetricData を使用してメトリクスを発行するように制限され、同時に `StringEquals` 条件により OTLP の取り込みが暗黙的に拒否されます。 ------ #### [ JSON ] ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "MyCustomNamespace" } } } ] } ``` ------ デュアル取り込みを有効にする場合、つまり PutMetricData と OTLP の両方の取り込みを許可するには、次のポリシーを使用できます。これにより、ユーザーは `MyCustomNamespace` という名前の名前空間で PutMetricData を使用してメトリクスを発行するように制限され、同時に `StringEqualsIfExists` 条件により OTLP 取り込みが許可されます。 ------ #### [ JSON ] ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEqualsIfExists": { "cloudwatch:namespace": "MyCustomNamespace" } } } ] } ``` ------