# 使用条件键限制告警操作
<a name="iam-cw-condition-keys-alarm-actions"></a>

当 CloudWatch 告警更改状态时，它们可以执行不同的操作，例如停止和终止 EC2 实例以及执行 Systems Manager 操作。当告警变为任何状态（包括 ALARM（告警）、OK（正常）或 INSUFFICIENT\$1DATA（数据不足））时，可以启动这些操作。

使用 `cloudwatch:AlarmActions` 条件键，以允许用户创建告警，这些告警只能在告警状态发生变化时执行您指定的操作。例如，您可以允许用户创建只能执行非 EC2 操作的告警。

**允许用户创建只能发送 Amazon SNS 通知或执行 Systems Manager 操作的告警**

以下策略限制用户只能创建发送 Amazon SNS 通知或执行 Systems Manager 操作的告警。用户不能创建执行 EC2 操作的告警。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricAlarm",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "cloudwatch:AlarmActions": [
                        "arn:aws:sns:*",
                        "arn:aws:ssm:*"
                    ]
                }
            }
        }
    ]
}
```

------