Utilizzo delle chiavi di condizione per limitare l'accesso degli utenti di Contributor Insights ai gruppi di log - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle chiavi di condizione per limitare l'accesso degli utenti di Contributor Insights ai gruppi di log

Per creare una regola in Contributor Insights e visualizzarne i risultati, un utente deve disporre dell'autorizzazione cloudwatch:PutInsightRule. Per impostazione predefinita, un utente con questa autorizzazione può creare una regola di Contributor Insights che valuta qualsiasi gruppo di log in CloudWatch Logs e quindi visualizza i risultati. I risultati possono contenere dati dei collaboratori per tali gruppi di log.

È possibile creare IAM politiche con chiavi di condizione per concedere agli utenti l'autorizzazione a scrivere regole di Contributor Insights per alcuni gruppi di log, impedendo loro di scrivere regole per altri gruppi di log e di visualizzare questi dati da altri gruppi di log.

Per ulteriori informazioni sull'Conditionelemento nelle IAM politiche, consulta Elementi IAM JSON delle politiche: Condizione.

Consentire l'accesso alla scrittura di regole e visualizzare i risultati solo per determinati gruppi di log

La policy seguente consente all'utente di accedere alla scrittura di regole e visualizzare i risultati per il gruppo di log denominato AllowedLogGroup e tutti i gruppi di log i cui nomi iniziano con AllowedWildCard. Non concede l'accesso alla scrittura di regole o alla visualizzazione dei risultati delle regole per altri gruppi di log.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}

Negare regole di scrittura per gruppi di log specifici ma consente la scrittura di regole per tutti gli altri gruppi di log

La policy seguente nega esplicitamente all'utente l'accesso per scrivere regole e visualizzare i risultati delle regole per il gruppo di log denominato ExplicitlyDeniedLogGroup, ma consente la scrittura di regole e la visualizzazione dei risultati delle regole per tutti gli altri gruppi di log.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}