Menggunakan kunci syarat untuk membatasi akses pengguna Wawasan Kontributor ke grup log - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kunci syarat untuk membatasi akses pengguna Wawasan Kontributor ke grup log

Untuk membuat aturan di Wawasan Kontributor dan melihat hasilnya, pengguna harus memiliki izin cloudwatch:PutInsightRule. Secara default, pengguna dengan izin ini dapat membuat aturan Contributor Insights yang mengevaluasi grup log apa pun di CloudWatch Log dan kemudian melihat hasilnya. Hasil dapat memuat data kontributor untuk grup log tersebut.

Anda dapat membuat IAM kebijakan dengan kunci kondisi untuk memberi pengguna izin untuk menulis aturan Wawasan Kontributor untuk beberapa grup log sekaligus mencegah mereka menulis aturan untuk dan melihat data ini dari grup log lain.

Untuk informasi selengkapnya tentang Condition elemen dalam IAM kebijakan, lihat elemen IAM JSON kebijakan: Kondisi.

Izinkan akses untuk menulis aturan dan melihat hasil hanya untuk grup log tertentu

Kebijakan berikut memungkinkan akses pengguna untuk menulis aturan dan melihat hasil untuk grup log yang diberi nama AllowedLogGroup dan semua grup log yang memiliki nama yang dimulai dengan AllowedWildCard. Ini tidak memberikan akses untuk menulis aturan atau melihat aturan hasil untuk setiap grup log lainnya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}

Tolak aturan penulisan untuk grup log tertentu, tetapi izinkan penulisan aturan untuk semua grup log lainnya

Kebijakan berikut secara eksplisit menolak akses pengguna untuk menulis aturan dan melihat hasil aturan untuk grup log yang diberi nama ExplicitlyDeniedLogGroup, tetapi memungkinkan untuk menulis aturan dan melihat hasil aturan untuk semua grup log lainnya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}