特定の canary を表示するようにユーザーを限定する
canary に関する情報を表示するユーザーの機能を制限して、指定した canary に関する情報のみを表示できるようにします。これを行うには、次のような Condition
ステートメントで IAM ポリシーを使用し、このポリシーをユーザーまたは IAM ロールにアタッチします。
次の例では、ユーザーが name-of-allowed-canary-1
と name-of-allowed-canary-2
の情報のみを表示するように制限します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "synthetics:DescribeCanaries", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "synthetics:Names": [ "
name-of-allowed-canary-1
", "name-of-allowed-canary-2
" ] } } } ] }
CloudWatch Synthetics では、synthetics:Names
配列に最大 5 つの項目をリストできます。
次の例に示すように、許可される canary 名で * をワイルドカードとして使用するポリシーを作成することもできます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "synthetics:DescribeCanaries", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "synthetics:Names": [ "my-team-canary-*" ] } } } ] }
これらのポリシーのいずれかをアタッチしてサインインしたユーザーは、CloudWatch コンソールを使用して canary 情報を表示することはできません。これらのユーザーは、ポリシーで承認された canary に関する canary 情報のみを DescribeCanaries API または describe-canaries AWS CLI コマンドを使用して表示できます。