Membatasi pengguna untuk melihat canary tertentu

Anda dapat membatasi kemampuan pengguna untuk melihat informasi tentang canary, sehingga mereka hanya dapat melihat informasi tentang canary yang Anda tentukan. Untuk melakukan ini, gunakan kebijakan IAM dengan pernyataan Condition yang mirip dengan berikut ini, dan lampirkan kebijakan ini ke pengguna atau peran IAM.

Contoh berikut membatasi pengguna untuk hanya melihat informasi tentang name-of-allowed-canary-1 dan name-of-allowed-canary-2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "synthetics:DescribeCanaries",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "synthetics:Names": [
                        "name-of-allowed-canary-1",
                        "name-of-allowed-canary-2"
                    ]
                }
            }
        }
    ]
}

CloudWatch Synthetics mendukung daftar sebanyak lima item dalam array. synthetics:Names

Anda juga dapat membuat kebijakan yang menggunakan * sebagai wildcard dalam nama canary yang diizinkan, seperti pada contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "synthetics:DescribeCanaries",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "synthetics:Names": [
                        "my-team-canary-*"
                    ]
                }
            }
        }
    ]
}

Setiap pengguna yang masuk dengan salah satu kebijakan terlampir ini tidak dapat menggunakan CloudWatch konsol untuk melihat informasi kenari apa pun. Mereka dapat melihat informasi kenari hanya untuk kenari yang diotorisasi oleh kebijakan dan hanya dengan menggunakan DescribeCanariesAPI atau perintah AWS CLI deskripsi-kenari.