Uso de claves de condición para limitar el acceso de los usuarios de Contributor Insights a los grupos de registro

Para crear una regla en Contributor Insights y ver los resultados, un usuario debe tener el permiso cloudwatch:PutInsightRule. De forma predeterminada, un usuario con este permiso puede crear una regla de Contributor Insights que evalúe cualquier grupo de registros en CloudWatch Logs y, a continuación, ver los resultados. Los resultados pueden contener datos de colaborador para esos grupos de registro.

Puede crear políticas de IAM con claves de condición para conceder a los usuarios el permiso para registrar reglas de Contributor Insights para algunos grupos de registro, al tiempo que les impide registrar reglas para ver estos datos de otros grupos de registro.

Para obtener más información sobre el elemento Condition en la política de IAM, consulte IAM JSON policy elements: Condition (Elementos de las políticas JSON de IAM: Condición).

Permitir el acceso a reglas de escritura y ver resultados solo para determinados grupos de registro

La siguiente política permite al usuario acceder al registro de reglas y ver resultados para el grupo de registro denominado AllowedLogGroup y todos los grupos de registro que tienen nombres que comienzan por AllowedWildCard. No concede acceso a las reglas de escritura ni a ver resultados de reglas para ningún otro grupo de registros.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}

Denegar reglas de escritura para grupos de registro específicos pero permitir reglas de escritura para todos los demás grupos de registro

La siguiente política deniega explícitamente al usuario el acceso para registrar reglas y ver resultados de reglas para el grupo de registro denominado ExplicitlyDeniedLogGroup, pero permite registrar reglas y ver resultados de reglas para todos los demás grupos de registro.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de claves de condición para limitar el acceso a los espacios de nombres de CloudWatch

Uso de claves de condición para limitar las acciones de la alarma