Amazon CloudWatch の SCP の例

ユーザーによる CloudWatch の無効化または設定の変更を禁止する

CloudWatch の下位レベルのオペレーターについては、ダッシュボードとアラームをモニタリングする必要があります。ただし、オペレーターが、上級者が設置したダッシュボードやアラームを削除または変更できないようにする必要があります。この SCP では、影響を受けるアカウントのユーザーまたはロールは、ダッシュボードまたはアラームを削除または変更する可能性のある CloudWatch コマンドを実行できなくなります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudwatch:DeleteAlarms",
        "cloudwatch:DeleteDashboards",
        "cloudwatch:DisableAlarmActions",
        "cloudwatch:PutDashboard",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:SetAlarmState"
      ],
      "Resource": "*"
    }
  ]
}