# Usar chaves de condição para limitar as ações de alarme
<a name="iam-cw-condition-keys-alarm-actions"></a>

Quando os alarmes do CloudWatch mudam de estado, podem executar ações diferentes, como interromper e terminar instâncias do EC2 e executar ações do Systems Manager. Essas ações podem ser iniciadas quando o alarme muda para qualquer estado, inclusive ALARM, OK ou INSUFFICIENT\_DATA.

Usar a chave de condição `cloudwatch:AlarmActions` para permitir que um usuário crie alarmes que só possam executar as ações que você especificar quando o estado do alarme mudar. Por exemplo, é possível permitir que um usuário crie alarmes que só possam executar ações que não sejam ações do EC2.

**Permitir que um usuário crie alarmes que possam enviar apenas notificações do Amazon SNS ou executar ações do Systems Manager**

A política a seguir limita o usuário a criar alarmes que possam apenas enviar notificações do Amazon SNS e executar ações do Systems Manager. O usuário não pode criar alarmes que executem ações do EC2.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricAlarm",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "cloudwatch:AlarmActions": [
                        "arn:aws:sns:*",
                        "arn:aws:ssm:*"
                    ]
                }
            }
        }
    ]
}
```

------