Я пытаюсь ограничить действия CloudWatch определенным VPC или ресурсом. Я могу это сделать?. Ниже приводится политика
{
"Sid": "AllowCloudWatchActions",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
Могу ли я указать какое-либо условие для этого?
CloudWatch не имеет разрешений на уровне ресурсов. Чтобы процитировать документы AWS:
У CloudWatch нет конкретных ресурсов, доступ к которым вы могли бы контролировать. Таким образом, вы не можете использовать CloudWatch ARN в политике IAM. Вы используете * в качестве ресурса при написании политики для управления доступом к действиям CloudWatch.
Источник: http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/UsingIAM.html
Поэтому невозможно создать политику, которая ограничивает данные метриками из определенных ресурсов (VPC и т. д.).
«Условия» обычно не применяются к запрашиваемым данным или ресурсу (т. е. к вашим показателям). Вместо этого «Условие» применяется к источнику запроса, например к VPC или IP-адресу.
logs:PutLogEvents к ресурсу arn:aws:logs:REGION:ACCOUNT_ID:log-group:LOG_GROUP_NAME:log-stream:* — см. docs.aws.amazon.com/AmazonCloudWatch/latest/logs/
- person ryanp; 08.07.2019
Согласно документу AWS, условные ключи можно использовать для ограничения доступа к пространствам имен CloudWatch. https://docs.amazonaws.cn/en_us/AmazonCloudWatch/latest/monitoring/iam-cw-condition-keys-namespace.html
На самом деле, я поднял тикет в AWS за ограничение на получение метрик CloudWatch и получил подтверждение, что он работает для PutMetricData, но не для GetMetricData.
