本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組 若要在 Contributor Insights 中建立規則並查看其結果,使用者必須擁有 `cloudwatch:PutInsightRule` 許可。根據預設,具有此許可的使用者可以建立 Contributor Insights 規則,以評估 CloudWatch Logs 中的任何日誌群組,然後查看結果。結果可能包含這些日誌群組的參與者資料。 您可以建立具有條件索引鍵的 IAM 政策,以授予使用者為某些記錄群組撰寫 Contributor Insights 規則的許可,同時防止他們為其他日誌群組撰寫規則和查看此資料。 如需 IAM 政策中的 `Condition` 元素的詳細資訊,請參閱 [IAM JSON 政策元素:Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 **僅允許存取特定日誌群組的寫入規則和檢視結果** 下列政策允許使用者存取寫入規則,並檢視名為 `AllowedLogGroup` 的日誌群組和名稱開頭為 `AllowedWildCard` 的所有日誌群組的結果。它不會授予寫入規則或檢視任何其他日誌群組的規則結果的存取權。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowCertainLogGroups", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "AllowedLogGroup", "AllowedWildcard*" ] } } } ] } ``` ------ **拒絕特定日誌群組的寫入規則,但允許所有其他日誌群組的寫入規則** 下列政策會明確拒絕使用者存取寫入規則,並檢視名為 `ExplicitlyDeniedLogGroup` 的日誌群組,但允許為所有其他日誌群組的寫入規則和檢視規則結果。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowInsightRulesOnLogGroupsByDefault", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*" }, { "Sid": "ExplicitDenySomeLogGroups", "Effect": "Deny", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "/test/alpine/ExplicitlyDeniedLogGroup" ] } } } ] } ``` ------