Verwendung ressourcenbasierter Richtlinien mit RUM CloudWatch - Amazon CloudWatch
Unterstützte AktionenBeispielrichtlinien zur Verwendung mit RUM CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung ressourcenbasierter Richtlinien mit RUM CloudWatch

Sie können eine Ressourcenrichtlinie an einen CloudWatch RUM-App-Monitor anhängen. Standardmäßig ist App-Monitoren keine Ressourcenrichtlinie zugeordnet. CloudWatch Auf Ressourcen basierende RUM-Richtlinien unterstützen keinen kontenübergreifenden Zugriff.

Weitere Informationen zu AWS Ressourcenrichtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

Weitere Informationen darüber, wie Ressourcen- und Identitätsrichtlinien bewertet werden, finden Sie unter Bewertungslogik für Richtlinien.

Weitere Informationen zur Grammatik von IAM-Richtlinien finden Sie unter Referenz zu IAM-JSON-Richtlinienelementen.

Unterstützte Aktionen

Ressourcenbasierte Richtlinien auf App-Monitoren unterstützen die rum:PutRumEvents Aktion.

Beispielrichtlinien zur Verwendung mit RUM CloudWatch

Das folgende Beispiel ermöglicht es jedem, Daten in Ihren App Monitor zu schreiben, auch solche ohne SigV4-Anmeldeinformationen.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/app monitor name",
            "Principal": "*"
        }
    ]
}

Mithilfe des aws:SourceIp Bedingungsschlüssels können Sie die Richtlinie so ändern, dass bestimmte Quell-IP-Adressen blockiert werden. In diesem Beispiel wird die Verwendung dieser Richtlinie PutRumEvents von der aufgelisteten IP-Adresse abgelehnt. Alle anderen Anfragen von anderen IP-Adressen werden akzeptiert. Weitere Informationen zu diesem Bedingungsschlüssel finden Sie unter Eigenschaften des Netzwerks im IAM-Benutzerhandbuch.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:accountID:appmonitor/app monitor name",
            "Principal": "*"
        },
        {
            "Effect": "Deny",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/app monitor name",
            "Principal": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "************"
                }
            }
        }
    ]
}

Darüber hinaus können Sie mithilfe des rum:alias Dienstkontextschlüssels festlegen, dass nur PutRumEventsAnfragen akzeptiert werden, die mit einem bestimmten Alias signiert sind. Im folgenden Beispiel müssen PutRumEvents Sie den optionalen Alias Anforderungsparameter entweder auf alias1 oder setzen, alias2 damit das Ereignis akzeptiert wird. Um Ihren Webclient für das Senden zu konfigurieren, müssen Alias Sie Version 1.20 oder höher des CloudWatch RUM-Webclients verwenden, wie unter Anwendungsspezifische Konfigurationen unter beschrieben. GitHub

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRUMPutEvents",
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/MyApplication",
            "Principal": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:rum:us-east-1:123456789012:appmonitor/MyApplication"
                }
            }
        }
    ]
}