Limitar um usuário a visualizar canaries específicos
Você pode limitar a capacidade de um usuário visualizar informações sobre canaries, para que só possa ver informações sobre os canaries especificados. Para fazer isso, use uma política do IAM com uma instrução Condition
, semelhante à que se segue, e anexe essa política a um usuário ou a um perfil do IAM.
O exemplo a seguir limita o usuário a visualizar apenas informações sobre name-of-allowed-canary-1
e name-of-allowed-canary-2
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "synthetics:DescribeCanaries", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "synthetics:Names": [ "
name-of-allowed-canary-1
", "name-of-allowed-canary-2
" ] } } } ] }
O CloudWatch Synthetics é compatível com a listagem de até cinco itens na matriz synthetics:Names
.
Você também pode criar uma política que use um * como curinga nos nomes do canário que devem ser permitidos, conforme mostrado no exemplo a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "synthetics:DescribeCanaries", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "synthetics:Names": [ "my-team-canary-*" ] } } } ] }
Um usuário que fez login com uma dessas políticas anexadas não pode usar o console do CloudWatch para exibir informações sobre canaries. Os usuários só podem visualizar informações sobre os canaries autorizados pela política e apenas usando a API DescribeCanaries ou o comando describe-canaries da AWS CLI.