Verwenden von Bedingungsschlüsseln, um den Zugriff von Contributor-Insights-Benutzern auf Protokollgruppen einzuschränken - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Bedingungsschlüsseln, um den Zugriff von Contributor-Insights-Benutzern auf Protokollgruppen einzuschränken

Um eine Regel in Contributor Insights zu erstellen und ihre Ergebnisse anzuzeigen, muss ein Benutzer die Berechtigung cloudwatch:PutInsightRule haben. Standardmäßig kann ein Benutzer mit dieser Berechtigung eine Contributor Insights-Regel erstellen, die jede Protokollgruppe in CloudWatch Logs auswertet und dann die Ergebnisse anzeigt. Die Ergebnisse können Contributor-Daten für diese Protokollgruppen enthalten.

Sie können IAM-Richtlinien mit Bedingungsschlüsseln erstellen, um Benutzern die Berechtigung zum Schreiben von Contributor-Insights-Regeln für einige Protokollgruppen zu erteilen und gleichzeitig zu verhindern, dass sie Regeln für andere Protokollgruppen schreiben und diese Daten aus anderen Protokollgruppen anzeigen.

Weitere Informationen zum Element Condition in IAM-Richtlinien finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung.

Zugriff auf Schreibregeln und Anzeigen von Ergebnissen nur für bestimmte Protokollgruppen zulassen

Die folgende Richtlinie ermöglicht dem Benutzer den Zugriff zum Schreiben von Regeln und Anzeigen von Ergebnissen für die Protokollgruppe mit dem Namen AllowedLogGroup und alle Protokollgruppen, deren Namen mit AllowedWildCard beginnen. Sie gewährt keinen Zugriff auf Schreibregeln oder das Anzeigen von Regelergebnissen für andere Protokollgruppen.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}

Schreibregeln für bestimmte Protokollgruppen verweigern, aber Schreibregeln für alle anderen Protokollgruppen zulassen

Die folgende Richtlinie verweigert dem Benutzer explizit den Zugriff auf das Schreiben von Regeln und das Anzeigen von Regelergebnissen für die Protokollgruppe mit dem Namen ExplicitlyDeniedLogGroup, erlaubt jedoch das Schreiben von Regeln und das Anzeigen von Regelergebnissen für alle anderen Protokollgruppen.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}