Limitar um usuário a visualizar canaries específicos - Amazon CloudWatch

Limitar um usuário a visualizar canaries específicos

Você pode limitar a capacidade de um usuário visualizar informações sobre canaries, para que só possa ver informações sobre os canaries especificados. Para fazer isso, use uma política do IAM com uma instrução Condition, semelhante à que se segue, e anexe essa política a um usuário ou a um perfil do IAM.

O exemplo a seguir limita o usuário a visualizar apenas informações sobre name-of-allowed-canary-1 e name-of-allowed-canary-2. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "synthetics:DescribeCanaries",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "synthetics:Names": [
                        "name-of-allowed-canary-1",
                        "name-of-allowed-canary-2"
                    ]
                }
            }
        }
    ]
}

O CloudWatch Synthetics é compatível com a listagem de até cinco itens na matriz synthetics:Names.

Você também pode criar uma política que use um * como curinga nos nomes do canário que devem ser permitidos, conforme mostrado no exemplo a seguir:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "synthetics:DescribeCanaries",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "synthetics:Names": [
                        "my-team-canary-*"
                    ]
                }
            }
        }
    ]
}

Um usuário que fez login com uma dessas políticas anexadas não pode usar o console do CloudWatch para exibir informações sobre canaries. Os usuários só podem visualizar informações sobre os canaries autorizados pela política e apenas usando a API DescribeCanaries ou o comando describe-canaries da AWS CLI.