Limitar a un usuario a ver canaries específicos

Puede limitar la capacidad de un usuario para ver información sobre canaries, de modo que solo pueda ver información sobre los canaries que usted especifique. Para ello, utilice una política de IAM con una declaración de Condition similar a la siguiente y asocie esta política a un usuario o a un rol de IAM.

En el ejemplo siguiente se limita al usuario a ver únicamente información sobre name-of-allowed-canary-1 y name-of-allowed-canary-2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "synthetics:DescribeCanaries",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "synthetics:Names": [
                        "name-of-allowed-canary-1",
                        "name-of-allowed-canary-2"
                    ]
                }
            }
        }
    ]
}

CloudWatch Synthetics admite mostrar hasta cinco elementos en la matriz synthetics:Names.

También puede crear una política que utilice un * como un comodín en nombres de valor controlado que deben permitirse, como en el ejemplo siguiente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "synthetics:DescribeCanaries",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "synthetics:Names": [
                        "my-team-canary-*"
                    ]
                }
            }
        }
    ]
}

Cualquier usuario que haya iniciado sesión con una de estas políticas asociadas no puede utilizar la consola de CloudWatch para ver ninguna información de valor controlado. Solo pueden ver la información de valor controlado para los valores controlados autorizados por la política y exclusivamente mediante el uso de la API DescribeCanaries o el comando describe-canaries en la AWS CLI.