Utilisation des clés de condition pour limiter les actions d'alarme - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des clés de condition pour limiter les actions d'alarme

Lorsque les CloudWatch alarmes changent d'état, elles peuvent effectuer différentes actions, telles que l'arrêt et la résiliation d'EC2instances et l'exécution d'actions de Systems Manager. Ces actions peuvent être lancées lorsque l'alarme passe à n'importe quel étatALARM, y compris OK ou INSUFFICIENT _DATA.

Utilisation de la clé de condition cloudwatch:AlarmActions pour permettre à un utilisateur de créer des alarmes qui ne peuvent effectuer que les actions que vous spécifiez lorsque l'état de l'alarme change. Par exemple, vous pouvez autoriser un utilisateur à créer des alarmes qui ne peuvent effectuer que des actions qui ne sont pas EC2 des actions.

Autoriser un utilisateur à créer des alarmes qui peuvent uniquement envoyer SNS des notifications à Amazon ou effectuer des actions de Systems Manager

La politique suivante limite l'utilisateur à créer des alarmes qui peuvent uniquement envoyer SNS des notifications à Amazon et effectuer des actions de Systems Manager. L'utilisateur ne peut pas créer d'alarmes qui exécutent EC2 des actions.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricAlarm",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "cloudwatch:AlarmActions": [
                        "arn:aws:sns:*",
                        "arn:aws:ssm:*"
                    ]
                }
            }
        }
    ]
}