Usar chaves de condição para limitar o acesso dos usuários do Contributor Insights aos grupos de log
Para criar uma regra no Contributor Insights e visualizar seus resultados, o usuário deve ter a permissão cloudwatch:PutInsightRule. Por padrão, um usuário com essa permissão pode criar uma regra do Contributor Insights que avalia qualquer grupo de log no CloudWatch Logs e ver os resultados. Os resultados podem conter dados de colaborador para esses grupos de log.
É possível criar políticas do IAM com chaves de condição para conceder aos usuários a permissão para gravar regras do Contributor Insights para alguns grupos de log, impedindo que eles gravem regras e visualizem esses dados de outros grupos de log.
Para obter mais informações sobre o elemento Condition em políticas do IAM, consulte Elementos de políticas JSON do IAM: condição.
Permitir acesso para gravar regras e exibir resultados apenas a determinados grupos de logs
A política a seguir concede ao usuário acesso para gravar regras e exibir resultados para o grupo de logs chamado AllowedLogGroup e todos os grupos de logs que têm nomes começados com AllowedWildCard. Não concede acesso para gravar regras ou exibir resultados de regra para quaisquer outros grupos de log.
Negar gravação de regras para grupos específicos de logs, mas permitir a gravação de regras para todos os outros grupos de logs
A política a seguir nega explicitamente o acesso do usuário para gravar regras e exibir resultados de regra para o grupo de log chamado ExplicitlyDeniedLogGroup, mas permite gravar regras e exibir resultados de regra para todos os outros grupos de log.
